Google Data Studio - łatwe tworzenie raportów

Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.


Certyfikaty SSL – na czym to polega?


Certyfikaty SSL są ważniejsze, niż myślisz. Kiedy dokonujesz płatności w internecie, albo podajesz Twoje dane osobowe, kiedy zapisujesz się na newsletter – praktycznie w każdym z tych wypadków wolisz, żeby Twoje dane pozostały poufne, prawda?


Jak certyfikaty SSL pomagają w takim wypadku?

Janek łączy się z siecią i składa zamówienie. Janek też oczywiście chce, aby jego dane pozostały poufne. Dane są wysyłane na serwer – do firmy hostingowej obsługującej stronę, aby jej właściciel mógł zrealizować zamówienie.

Gdyby transmisja między przeglądarką i serwerem została przechwycona, można je łatwo odczytać! Chodzi o to, że w warstwie transmisji danych – wymiana informacji może zostać podsłuchana – np. poprzez niezabezpieczoną sieć wi-fi. Jeśli dane są przesyłane jawnie – atakujący może poznać ich treść tylko na podstawie analizy transmisji. Teoretycznie może zatem poznać wszystkie poufne informacje, które Janek wysyła do serwera.

Certyfikty ssl. Jak to działa bez ustawionego certyfikatu?

Kiedy stosujesz certyfikat SSL – dane są zaszyfrowane jeszcze w przeglądarce. Dane zostają zaszyfrowane jeszcze w Twoim urządzeniu (telefon, komputer itp.) i dopiero w takiej postaci są przesyłane na serwer. Przechwycenie takiej transmisji nie daje atakującemu wglądu w dane.

Certyfikaty SSL - po włączeniu certyfikatu

Certyfikaty SSL potwierdzają tożsamość, ale jak?

Szyfrowanie to najbardziej znana zaleta certyfikatów SSL, ale nie jedyna. Drugą, nie mniej istotną, jest potwierdzenie tożsamości właściciela domeny, na którą certyfikat jest wystawiony.

Z tego punktu widzenia certyfikaty istotnie różnią się poziomem wiarygodności takiego potwierdzenia – mówi się w tym kontekście o metodzie walidacji.

Certyfikaty SSL DV

Wiarygodność

Cena

DV – Domain Validation. Ten typ certyfikatu oznacza walidację wg domeny. Wiarygodność takiego certyfikatu należy ocenić jako niską, ponieważ zakłada ona jedynie, że osoba, która generuje certyfikat, ma dostęp do skrzynki mailowej w postaci admin@nazwadomenowa.pl lub ma możliwość potwierdzenia swojego uprawnienia do domeny, poprzez wgranie odpowiedniego pliku na serwer, do folderu domeny.

Certyfikat tego rodzaju potwierdza tylko tyle, że został wygenerowany dla danej nazwy domenowej. Certyfikat nie podaje informacji o właścicielu domeny. Zdarza się, że ktoś rejestruje domenę łudząco podobną do innej i generuje certyfikat SSL dla niej.

Ponieważ przeglądarka potwierdza, że dana domena jest chroniona – łatwo może uśpić to czujność użytkowników i spotkałem w sieci doniesienia o tym, że strony wyłudzające dane (np. łudząco podobne do bankowych) były chronione certyfikatem zakładającym taką właśnie walidację, więc przeglądarki traktowały je jako chronione SSL’em. Usypiało to czujność osób, które nieświadome oszustwa, podawały swoje dane logowania na takiej właśnie stronie.

Samo szyfrowanie danych działa natomiast równie dobrze, jak dla wyższych poziomów walidacji. W zakresie przesyłu danych między serwerem i przeglądarką transmisję chronioną SSL’em możesz uznać za poufną i dobrze chronioną.

Certyfikaty SSL OV

Wiarygodność

Cena

OV – ang. Organization Validation. Ten typ certyfikacji zapewnia lepszy poziom potwierdzenia tożsamości właściciela. Dzieje się tak, ponieważ w procesie walidacji domeny sprawdzane są dane identyfikacyjne właściciela wraz z oficjalnymi rejestrami. Przykładowo – nazwa spółki, na którą certyfikat jest wystawiany, musi być zgodna z nazwą figurującą w Krajowym Rejestrze Sądowym.

Taka procedura utrudnia oszustwa – żeby takowego dokonać, niezbędne byłoby posiadanie zarejestrowanej nazwy łudząco podobnej do nazwy „atakowanej” – zatem ochrona swojej marki przy pomocy takiego certyfikatu jest lepsza niż w wypadku prostego DV.

Ochrona poufności jest natomiast identyczna – typ walidacji nie ma bezpośredniego przełożenia na działanie algorytmu szyfrującego dane.

Certyfikaty SSL EV

Wiarygodność

Cena

EV – ang. Extended Validation. W tym wypadku procedura jest najbardziej złożona. Jej szczegóły zależą od wystawcy certyfikatu i nierzadko wymagają np. przesłania umowy spółki dla potwierdzenia tożsamości wnioskodawcy. Powoduje to, że czas i koszty uzyskania tego rodzaju certyfikatu są najwyższe. Równocześnie ten certyfikat stanowi też najbardziej wiarygodne potwierdzenie, że jesteś na właściwej stronie, a nie „podróbce”.

W wypadku tych certyfikatów suma gwarancyjna jest też najwyższa.

Niektóre przeglądarki internetowe „nagradzają” strony chronione tym rodzaju certyfikatu, podając zielony pasek w adresie. Świadczy o najwyższym poziomie zaufania do danej strony.

Certyfikaty SSL – o co chodzi z gwarancjami?

Komercyjne certyfikaty zazwyczaj zapewniają ochronę poprzez mechanizm sumy gwarancyjnej. Jest to kwota, którą wystawca danego certyfikatu (np. Comodo, Certum itp) wypłaca w razie, kiedy Twój użytkownik np. dokona transakcji na stronie zabezpieczonej takim certyfikatem wystawionym na Twoje dane, ale na stronie oszusta – po szczegółowe zasady warto sięgnąć do regulaminów poszczególnych dostawców.

Warto wiedzieć, że w większości wypadków suma gwarancyjna waha się od 10.000 do 100.000 USD. Nie oznacza to jednak, że w razie „złamania” certyfikatu otrzymasz dokładnie taką kwotę. Zazwyczaj mówimy tu o kwotach dla użytkowników końcowych, którzy skutkiem np. nieprawidłowości w procesie certyfikacji po stronie wystawcy, zostaliby wprowadzeni w błąd co do właściciela strony, dokonali na niej zakupu, a ponieważ strona tylko podszywałaby się pod Twój sklep internetowy – nie otrzymaliby towaru i jedynie stracili pieniądze.

Mechanizm gwarancji polega wówczas na zwrocie poniesionych strat dla użytkownika końcowego, do wysokości sumy gwarancyjnej.

Nie są opisane przypadki korzystania z takiej gwarancji u żadnego dużego wystawcy, w naszej firmie też nigdy nie zanotowaliśmy tego rodzaju sytuacji. Z pewnością jednak gwarancje, które występują wyłącznie w wypadku certyfikatów komercyjnych – stanowią dodatkowy atut, przemawiający za wyborem tej formy zabezpieczenia strony.

Gwarancja różnicuje certyfikaty

Istnienie mechanizmu gwarancyjnego to jeden z czynników różnicujących certyfikaty komercyjne od certyfikatów bezpłatnych. Sumy gwarancyjne mogą być także różne w różnych markach certyfikatów, nawet w ramach tego samo poziomu walidacji.

Gwarancje te nie występują natomiast w wypadku certyfikatów Let’s Encrypt.

Certyfikaty SSL – komercyjne vs Let’s Encrypt?

Wiarygodność

Cena

Jeszcze kilka late temu na rynku były wyłącznie certyfikaty komercyjne, od 2-3 lat obserwujemy natomiast wzrost popularności certyfikatów Let’s Encrypt.

Są to certyfikaty darmowe, co stanowi ich główną zaletę. Szyfrują dane równie skutecznie, jak certyfikaty komercyjne. Niestety – mają też wady. Najważniejsze, to:

  • Certyfikat Let’s Encrypt jest wystawiany raz na 3 miesiące i trzeba go później odnawiać – chyba, że hosting wspiera automatyzację tego procesu.
  • Certyfikat Let’s Encrypt opiera się na prostej walidacji DV, więc najsłabszej możliwej.
  • Certyfikat Let’s Encrypt nie oferuje żadnej sumy gwarancyjnej.

W wypadku naszego hostingu obsługa tych certyfikatów jest „wbudowana” w panel Direct Admin i dostępna od pakietu W2GB wzwyż. Warto wiedzieć, że LE może działać jak każdy inny certyfikat, ale bez odpowiedniego wsparcia po stronie dostawcy hostingu niezbędne jest jego ręczne generowanie, odnawianie i instalowanie co trzy miesiące, co dodatkowo zniechęca.

Certyfikat SSL nie chroni przed wszystkim!

Pamiętaj, że istnieje wiele zagrożeń, przed którymi SSL nie chroni. Stosowanie certyfikatu w żaden sposób nie chroni przed:

  • Wykradzeniem informacji z serwera (tu stosuj szyfrowanie baz)
  • Wykradzeniem informacji z Twojego komputera (tu pomoże zdrowy rozsądek, hasła, antywirusy)
  • Naruszeniami w zakresie zakresu zgody na wykorzystanie przesyłanych danych przez operatora serwisu.
  • rejestracją łudząco podobnej nazwy domenowej, ochronieniem jej innym certyfikatem SSL i udawaniem, że to prawdziwa strona. Oszustwo takie wyjdzie na jaw kiedy ktoś sprawdzi dane certyfikatu (na kogo został wystawiony), ale większość osób po prostu tego nie sprawdza.

Certyfikaty SSL wg liczby i zakresu domen

Certyfikaty można podzielić także ze względu na liczbę chronionych adresów, rozpatrując liczbę domen oraz „zasięg” ochrony w obrębie domeny.

Typ Zakres ochrony
Single domainTen typ certyfikatu chroni po prostu JEDEN adres, najczęściej z uwzględnieniem „www.” z przodu. Chroni także wszystko to, co będzie po ukośniku. Nie chroni natomiast subomen. Przykładowy zakres ochrony:
sklep.pl
www.sklep.pl
sklep.pl/logowanie
WildcardTen certyfikat chroni wszystkie subdomeny pierwszego poziomu. Nie zabezpiecza natomiast dalszych subdomen. Będzie zatem chronić adresy typu:
buty.sklep.pl
torebki.sklep.pl
logowanie.sklep.pl
Multidomain Kupiony certyfikat może chronić wiele różnych nazw domenowych, co jest bardziej efektywne kosztowo, niż kupowanie wielu osobnych certyfikatów dla każdej domeny osobno. Jest to jednak liczba skończona, zazwyczaj mówimy o 10-20 domenach. Przykłady:
sklepzbutami.pl
sklepztorebkami.pl

Warto zwrócić uwagę, że niektóre certyfikaty obejmują możliwość instalacji tylko na jednym serwerze, a inne na wielu serwerach. Instalacja na wielu serwerach ma sens, jeśli zasoby chronionej domeny są rozrzucone na różne maszyny z różnymi adresami IP.

Przykładowo strefaklienta.domeny.pl i strefapracownika.domeny.pl to dwie różne subdomeny tej samej domeny. Jeśli są one skierowane na różne serwery. Chcąc chronić je jednym certyfikatem trzeba upewnić się, że można z niego korzystać na wielu serwerach.

Certyfikaty SSL – dlaczego warto?

Podsumujmy, dlaczego warto korzystać z certyfikacji SSL:

  • Ochrona danych między przeglądarką użytkownika, a serwerem
  • Większa wiarygodność strony (więcej konwersji)
  • Posiadanie certyfikatu SSL sprzyja osiąganiu wyższych pozycji w Google. Trudno dziś osiągnąć wysokie wyniki bez SSL’a.
  • Certyfikaty SSL zmniejszają podatność strony na phishing (atak polegający na podstawieniu użytkownikom kopii strony łudząco podobnej do Twojej w celu wyłudzenia np. danych do logowania).
  • Brak certyfikatu SSL powoduje uznanie strony na niezabezpieczoną przez przeglądarki internetowe, oznaczające adres w sposób od razu budzący niepokój u osób odwiedzających stronę.

Certyfikaty SSL – jaki masz wybór?

Zapoznaj się z ofertą certyfikatów i wybierz najlepszy rodzaj SSL’a dla Twojej domeny.

Oferta certyfikatów SSL
Podziel się

Komentarze (1)

Odpowiedz

Adres email nie będzie opublikowany.

*