Czym są i jak działają certyfikaty SSL?

SSL to certyfikat, który świadczy obecnie o wiarygodności stron internetowych, który uważany jest za standard w zakresie szyfrowania danych. Dzięki SSL możliwe jest nawiązywanie bezpiecznych połączeń między przeglądarką a serwerem danej strony internetowej. W poniższym artykule dokładnie wyjaśniamy, czym są i jak działają certyfikaty SSL.

 

 

Czym jest certyfikat SSL i do czego służy?

 

W chwili obecnej bezpieczeństwo w internecie pełni niezwykle istotną rolę. Robiąc zakupy w sklepach internetowych niejednokrotnie podajemy swoje poufne dane osobowe, dlatego właściciele witryn WWW muszą podejmować szereg działań mających na celu ograniczenie do minimum ryzyka ich kradzieży, a pojęcia takie jak VPN czy pentesting nie powinny być im obce.

Jednym z najważniejszych terminów w odniesieniu do zapewnienia bezpieczeństwa internautom surfującym po sieci jest certyfikat SSL (z ang. Secure Socket Layer). Jest to protokół sieciowy, który zapewnia bezpieczne połączenia oraz gwarantuje, że wszystkie dane przesyłane między serwerem a użytkownikami są zaszyfrowane.

W związku z niezwykle wysoką skutecznością SSL w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa, w tej chwili rozwiązanie to stosuje się zarówno do zabezpieczenia stron i sklepów internetowych, ale także w pocztach e-mail. 

Gdy witryna korzysta z certyfikatu SSL, informacje takie jak login, hasło, adres e-mail, numer konta bankowego i inne podlegają ochronie. Z kolei gdy witryna certyfikatu SSL nie posiada, wówczas istnieje spore ryzyko, że poufne dane trafią w niepowołane ręce w wyniku ataku hakerskiego. 

Jak sprawdzić, czy strona jest zabezpieczona certyfikatem SSL? To bardzo proste. Wystarczy, że spojrzymy na pasek adresu. Strona posiadająca certyfikat posiada przedrostek https:// oraz symbol zielonej kłódki. W przypadku stron bez SSL przedrostek brzmi http://, a dodatkowo nie ma tam symbolu kłódki.

 

 

W jaki sposób szyfrowane są dane za pomocą certyfikatu SSL?

 

Szyfrowanie jest procesem matematycznym polegającym na kodowaniu i dekodowaniu rozmaitych informacji. W protokołach SSL stosowane są dwa algorytmy szyfrowania: 

  • symetryczne – do szyfrowania i odczytywania informacji służy ten sam klucz,
  • asymetryczne – używa się tutaj pary kluczy; klucza publicznego, który wykorzystuje się do szyfrowania informacji i prywatnego – rozszyfrowującego. 

Gdy dochodzi do nawiązania połączenia ze stroną stosującą certyfikat SSL, dochodzi do połączenia algorytmów i kluczy szyfrujących. Poziom szyfrowania określany jest na podstawie informacji o typie certyfikatu SSL, możliwościach przeglądarki, z której korzysta internauta oraz systemu operacyjnego klienta. W chwili obecnej zdecydowana większość istniejących certyfikatów SSL posiada możliwości bardzo silnego szyfrowania na poziomie 256 bitów.

 

 

Czym się kierować przy wyborze certyfikatu SSL?

 

Podstawowym czynnikiem, który należy wziąć pod uwagę przy wyborze certyfikatu SSL jest liczba użytkowników w naszym serwisie WWW oraz rodzaj prowadzonej działalności. Niektóre certyfikaty dedykowane są właścicielom niewielkich stron, a inne dużym przedsiębiorstwom zbierającym dane tysięcy klientów, np. bankom. W przypadku, gdy posiadamy niewielki blog i nie przetwarzamy wrażliwych danych żadnych osób, inwestycja w najbardziej zaawansowaną wersję certyfikatu SSL jest całkowicie zbędna i byłaby tylko niepotrzebnym wydatkiem.

Istotna jest także pomoc techniczna zagwarantowana przez usługodawcę. Właściciel witryny powinien mieć pewność, że w przypadku wystąpienia jakichkolwiek problemów z funkcjonowaniem certyfikatu SSL, otrzyma wsparcie merytoryczne, aby jak najszybciej je naprawić.

Niektóre firmy oferują również gwarancję finansową, która polega na tym, że w przypadku wystąpienia kłopotów z szyfrowaniem danych deklaruje się zrekompensować poniesione przez nas szkody.

 

 

Jak zainstalować certyfikat SSL?

 

Aby certyfikat SSL zaczął działać na naszej stronie internetowej, musimy otrzymać go od urzędu certyfikacji. Jest to podmiot zewnętrzny potwierdzający, że jesteśmy właścicielem konkretnej strony WWW. 

Warto nadmienić, że instalacji certyfikatu SSL zazwyczaj nie trzeba wykonywać samodzielnie. Zdecydowana większość istniejących firm hostingowych oferuje swoim klientom kompleksową pomoc w zakresie uruchomienia certyfikatu SSL co jest ogromnym ułatwieniem. W zależności od polityki prowadzonej przez daną firmę usługa ustanowienia certyfikatu SSL może być płatna bądź bezpłatna.

 

 

Ile kosztuje certyfikat SSL?

 

Na rynku można znaleźć zarówno firmy oferujące bezpłatne certyfikaty SSL jak i płatne. Rozwiązania płatne zazwyczaj są rozliczane w formule rocznej bądź miesięcznej jako cykliczny abonament. Certyfikat wystawiają upoważnione urzędy certyfikacji. Koszt płatnego certyfikatu SSL wynosi około 100 złotych rocznie, ale należy pamiętać, że ostateczna cena uzależniona jest od tego, na jaki rodzaj certyfikatu ostatecznie się zdecydujemy. 

 

 

Jakie są rodzaje certyfikatów SSL?

 

Podstawowe rodzaje certyfikatów SSL są następujące:

  • Certyfikat DV (ang. Domain Validation). Jest to certyfikat najszybszy oraz najprostszy. Jego implementację zaleca się przede wszystkim posiadaczom niewielkich stron internetowych. Aby uzyskać ten certyfikat, wystarczy posiadać domenę zarejestrowaną na danych firmowych wpisanych w bazie WHOIS a także mieć aktywną pocztę e-mail powiązaną z adresem www, gdzie będzie wysłany link weryfikacyjny.
  • Certyfikat OV (ang. Organization Validated). Rodzaj certyfikatu wystawiany dopiero po przeprowadzeniu wszechstronnej kontroli danego przedsiębiorstwa. W tym przypadku należy nie tylko udowodnić fakt bycia właścicielem domeny. Oprócz tego potrzebne są dokumenty potwierdzające istnienie firmy i skan dowodu osobistego.
  • Certyfikat EV (ang. Extended Validation). Uzyskanie tego certyfikatu wymaga spełnienia największej liczby kryteriów. W takim przypadku w przeglądarce obok kłódki wyświetla się dokładna nazwa danego przedsiębiorstwa. Aby móc uzyskać taki certyfikat, trzeba udowodnić fakt, iż jest się posiadaczem domeny, przekazać niezbędne dokumenty firmowe oraz podjąć kontakt z organizacją odpowiedzialną za weryfikację prawdziwości tych dokumentów. Ten rodzaj certyfikatów stosują zazwyczaj instytucje z branży finansowej, np. banki.