Blog

Kategoria wpisu: #TO_CIEKAWE!#KNOW_HOW#WWW
SSL wszystko co należy wiedzieć

SSL wszystko co należy wiedzieć

Dla właścicieli stron WWW kluczową kwestią jest bezpieczeństwo. Z kolei w sklepach internetowych interesuje to nie tylko ich właścicieli, ale przede wszystkim kupujących. "Zielona kłódka" przy adresie strony stała się już standardem i decyduje o wyborze sprzedawcy. Elementarną kwestią jest tu certyfikat SSL. Czym tak naprawdę jest ten SSL? Czy warto stosować SSL na własnej stronie? Ile kosztuje certyfikat SSL? Po kolei.

Spis treści

  • Co to jest certyfikat SSL?
  • Jakie są rodzaje certyfikatu SSL?
  • Dlaczego warto mieć certyfikat SSL?
  • SSL ma wpływ na pozycję w Google
  • Phishing, czyli metoda na (internetowego) wnuczka
  • Ile kosztuje certyfikat SSL?
  • Tani SSL? Tak, ale...

Co to jest certyfikat SSL?

SSL (ang. Secure Socket Layer) to protokół internetowy, którego początki sięgają 1994 roku. Jest to technologia służąca bezpiecznej transmisji strumienia danych. Strumień ten jest zaszyfrowany, co oznacza, że nie ma do niego niepowołanego dostępu. Do zasobów internetowych odwołujemy się więc za pomocą HTTPS, a nie HTTP.

Do szyfrowania używany jest protokół TLS 1.2, który jak na razie nie został jeszcze złamany. Zastosowanie 256-cio bitowego szyfrowania AES gwarantuje, że nawet omijając SSL, przechwycone dane nie będą możliwe do odczytania. Tyle w teorii, a co to oznacza w praktyce?

Internauta, który wchodzi na stronę internetową, przesyła pewne dane do serwera i je odbiera. Wykonuje się to nieustannie. Niezależnie od tego, czy wysyłamy dane swojej karty kredytowej przy płatności, czy tylko wyświetlamy w naszej przeglądarce stronę internetową. Transmisja danych przebiega zawsze i wszędzie. Brak szyfrowania tej transmisji naraża nas na przechwycenie tych danych lub ich modyfikacje. To już prosta droga do próby podszywania się pod witrynę banku czy podsłuchiwanie naszej korespondencji.

Jakie są rodzaje certyfikatu SSL?

ile-kosztuje-certyfikat-ssl

SSL dzieli się na 3 klasy. Każda z nich posiada inny poziom zabezpieczeń oraz wiarygodności. Wyróżniamy:

  • Domain validation (DV)
    Jest to podstawowa wersja certyfikatu. Przesyłane dane są szyfrowane w ramach zabezpieczonej strony. Natomiast tożsamość podmiotu, która zamawia SSL, nie jest weryfikowana. Jedynym czynnikiem, który jest sprawdzany to ten, który mówi, że zamawiający jest prawnym właścicielem domeny.
  • Organization Validation (OV)
    Jest to certyfikat oferujący wyższy poziom zabezpieczeń niż DV. Oprócz zabezpieczenia witryny i szyfrowania danych weryfikowany jest także podmiot zamawiający certyfikat. Aby potwierdzić ten certyfikat, należy udostępnić umowy spółki lub wyciąg z KRS.
  • Extended Validation (EV)
    To najbardziej zaawansowana wersja, która wymaga pełnego sprawdzenia zamawiającego. Co ważne, obok adresu firmy wyświetlana jest zielona kłódka oraz nazwa firmy. EV podnosi więc prestiż witryny, ale jest też dużo droższy w utrzymaniu. Takie certyfikaty można najczęściej spotkać na stronach internetowych banków.

Dlaczego warto mieć certyfikat SSL?

Istnieje wiele powodów, dla których warto mieć certyfikat SSL dla swojej domeny. Oczywiście najważniejszym jest zagwarantowanie wyższego poziomu bezpieczeństwa użytkownikom korzystającym z naszej strony. W sklepach internetowych, portalach umożliwiających logowanie, czy stronach przetwarzających transakcje SSL jest podstawą.

Domeny, które nie mają certyfikatu SSL, traktowane są przez wyszukiwarki jako niebezpieczne. Często wtedy zamiast strony pojawia się nam komunikat z odpowiednim ostrzeżeniem, utrudniając użytkownikowi dostęp do strony. To już kolejny argument za tym, aby zainstalować go na swojej stronie. Jest coś jeszcze.

SSL ma wpływ na pozycję w Google

Mówiło się o tym, że strony internetowe zabezpieczone certyfikatem SSL będą wyświetlane na wyższych pozycjach w Google niż strony pozbawione certyfikatów. Ma to swoje logiczne uzasadnienie. Google dba o swoich użytkowników i chce im wyświetlać jak najlepsze wyniki wyszukiwania. SSL to bezpieczeństwo i wiarygodność domeny, więc strony dbające o te aspekty powinny być i są już premiowane.

W 2017 roku do właścicieli witryn internetowych wysyłane były komunikaty (za pośrednictwem platformy "Google Webmaster Tools") zachęcające do stosowania protokołu HTTPS. Dotyczyło to wtedy głównie stron posiadających formularze logowania lub formularze kontaktowe, które przetwarzały dane użytkowników. To był tak naprawdę milowy krok dla SSL. Wielu właścicieli witryn po raz pierwszy usłyszało o tej metodzie zabezpieczenia swojej strony WWW.

Phishing, czyli metoda na (internetowego) wnuczka

tani-certyfikat-ssl

Niestety dość powszechnym zjawiskiem stał się tzw. "Phishing". Polega on na podsyłaniu strony, która jest łudząco podobna do oryginału. Często jest to strona do płatności online, strona do logowania lub inna witryna, która ma na celu wyłudzić newralgiczne dane. Chyba każdy z nas dostał kiedyś e-maila z informacją o spadku czy innej wygranej i zachętą do dokonania drobnej płatności, aby uruchomić wypłatę.

Certyfikat SSL chroni klienta w taki sposób, że nie będzie możliwe jego zainstalowanie na stronie podszywającej się pod dany podmiot. Brak zielonej kłódki powinno w nas wzbudzić wystarczające podejrzenia. Niestety, nadal niewiele osób sprawdza, czy strony, z których korzystają, posiadają tę opcję aktywną. Często nawet SSL nie uchroni nas przed brakiem zdrowego rozsądku.

Ile kosztuje certyfikat SSL?

czy-ssl-wplywa-na-pozycjonowanieCertyfikaty SSL opłacane są w okresach abonamentowych, najczęściej na rok lub dwa lata z góry. Są to koszty porównywalne z kosztem utrzymania domeny internetowej, czyli w granicach 100 zł netto. Wszystko zależy od rodzaju certyfikatu, podmiotu wystawiającego i brokera, u którego ten certyfikat jest zamawiany. Nie powinno być to obciążenie finansowe, biorąc pod uwagę wszystkie zalety posiadania szyfrowania SSL.

Tani SSL? Tak, ale...

Można jednak znaleźć znacznie tańsze oferty. Przykładem jest certyfikat Positive SSL. Korzystamy z niego na naszej firmowej stronie WWW. Jego koszty są aż trzykrotnie mniejsze niż u lidera w branży (firmy hostingowej z "domem" w nazwie). Ten certyfikat można również zarejestrować od razu na 2 lata, przez co nie musimy go ponownie aktywować.

Istnieją również darmowe certyfikaty SSL, które w podstawowy sposób zapewnią bezpieczeństwo stronie. Przy darmowych certyfikatach nie uzyskamy jednak dobrego wsparcia technicznego, a cała procedura rejestracji i konfiguracji najczęściej odbywa się w języku angielskim. Mają również dość niską wiarygodność z czego zdaje sobie sprawę również Google.

Niezależnie od tego, jaki certyfikat SSL wybierzemy dla swojej witryny, jego zalety są nie do przecenienia.