Certyfikaty SSL

Najpierw wprowadzono w pasku przeglądarki ostrzeżenie Bezpieczna / Niebezpieczna dla stron, gdzie występowały płatności i logowanie, a od października 2017 także dla stron, gdzie występuje choćby formularz kontaktowy. Jak podają badania TNS Research 72% internautów przynajmniej raz opuściło stronę www, która wydała im się niebezpieczna, a 91% z nich przyznaje, że pozostałoby na niej, gdyby posiadała certyfikat SSL. Od lipca 2018 r. przeglądarki internetowe wszystkie strony www bez certyfikatu SSL oznaczają jako: "Niezabezpieczone".

Certyfikat SSL jest to cyfrowy plik komputerowy lub fragment kodu, który spełnia dwie podstawowe funkcje:

Autoryzacja i weryfikacja
Certyfikat SSL zawiera informacje o autentyczności niektórych szczegółów dotyczących firmy lub strony internetowej, które będą wyświetlane odwiedzającym w witrynie po kliknięciu symbolu kłódki przeglądarki. Kryteria weryfikacji stosowane przez urzędy certyfikacji w celu ustalenia, czy certyfikat SSL powinien zostać wydany, są najbardziej rygorystyczne dla certyfikatów Extended Validation, co czyni go najbardziej zaufanym certyfikatem SSL.

Szyfrowanie danych
Certyfikat SSL szyfruje przesyłane dane poprzez stronę internetową w taki sposób, aby jedynie odbiorcy informacji mieli do nich dostęp.

Certyfikaty są specjalnie zaprojektowane, aby upewnić się, że podczas przesyłania danych oprogramowanie nie naruszyło ich treści. Jest wielu cyberprzestępców, którzy manipulują dostępnym w Internecie oprogramowaniem. Zdarza się, że dołączają wirusa lub inne szkodliwe oprogramowanie do pakietu, który zostaje pobrany. Certyfikaty SSL działają właśnie w takich wypadkach jako zabezpieczenie w celu wyeliminowania niebezpiecznych sytuacji.

Podobnie jak w przypadku paszportów lub dokumentów tożsamości, które mogą być wydane jedynie przez upoważnione do tego instytucje – tak samo certyfikat SSL może być wydany jedynie przez zaufane urzędy certyfikacji (CA). CA musi przestrzegać bardzo restrykcyjnych zasad i polityki odnoszącej się do reguł przyznawania certyfikatów.

Podobnie jak można zamknąć i otworzyć kluczem drzwi do sejfu, tak samo SSL używa kluczy do zamykania i otwierania dostępu do informacji. Jedynie odpowiedni klucz umożliwia otwarcie dostępu do danych.

Każda sesja SSL składa się z dwóch kluczy:
Klucz publiczny - używany do szyfrowania informacji
Klucz prywatny - używany do odszyfrowania informacji i przywrócenia ich do pierwotnej formy, tak aby można je było odczytać.

Strona niezabezpieczona
Niezabezpieczona strona internetowa wyświetla przed adresem domeny skrót http://. Oznacza on "Hypertext Transfer Protocol" i jest tradycyjną formą przesyłania danych w Internecie. Przeglądarki umieszczają obecnie dodatkowe informacje na temat przeglądanej strony - w sytuacji, gdy strona nie posiada SSL pojawia się znak (i), który po kliknięciu pokazuje informację "Połączenie nie jest bezpiecznie".

Strona zabezpieczona
Strona zabezpieczona za pomocą certyfikatu SSL w pasku adresu posiada https://. Jest to skrót od "Secure http" – zabezpieczony protokół przesyłania danych. Przy adresie strony pojawi się również symbol kłódki na początku lub na końcu paska adresu –
w zależności od używanej przeglądarki.

Strona zabezpieczona certyfikatem EV
Jeśli strona jest chroniona certyfikatem najwyższego poziomu walidacji, tj. Extended Validation (EV) w pasku adresu na zielono wyświetlana jest także nazwa firmy, na jaką wystawiono SSL. Podnosi to zaufanie do strony i poczucie bezpieczeństwa.

Najprostszą odpowiedzią na to pytanie jest - wszystko, co wiąże się z przesyłaniem danych.

Kilka przykładów:
Zabezpieczenie komunikacji pomiędzy Twoją witryną a przeglądarką internetową klientów.
Zabezpieczenie e-maili wysyłanych do lub z Twojej sieci.
Zabezpieczenie przesyłu informacji pomiędzy serwerami.
Zabezpieczenie informacji wysyłanych i otrzymywanych poprzez urządzenia mobilne.

Na rynku dostępnych jest kilka rodzajów certyfikatów SSL.

DV - Certyfikat SSL autoryzujący domenę (Domain Validated), czyli DV. Jest wydawany dość szybko w oparciu o potwierdzenie własności domeny. Jest to najczęściej wybierany typ walidacji, najniższy akceptowalny przez Chrome.

OV - Kolejny, wyższym poziomem zabezpieczeń jest certyfikat OV (Organization Validation). Jest on przyznawany na podstawie weryfikacji właściciela domeny oraz firmy wnioskującej o SSL.

EV - Certyfikat EV (Extended Validation) oferuje największy standard uwierzytelniania, aby zapewnić najwyższy poziom zaufania klientów. Kiedy konsumenci odwiedzają stronę internetową zabezpieczoną certyfikatem SSL EV pasek adresu zaświeci się na zielono (w przeglądarkach o wysokim poziomie bezpieczeństwa) oraz pojawi się specjalny obszar z nazwą prawnego właściciela strony internetowej wraz z informacją o CA, który wystawił certyfikat EV SSL. Te wizualne znaki mają przyczynić się do zwiększenia zaufania konsumentów do sprzedaży on-line. Ten typ walidacji jest wybierany przez niemal wszystkie banki, instytucje finansowe i inne organizacje, którym zależy na budowaniu zaufania.

Wildcard - Nazwa domeny jest często używana z wieloma sub-domenami (np. poczta.alte.pl, panel.alte.pl). Dla tego typu domen rekomendowany jest certyfikat typu Wildcard. Pozwala on na zapewnienie pełnego bezpieczeństwa przesyłania danych do dowolnego hosta Twojej domeny - na przykład, host.nazwa_domeny.pl (gdzie "host" jest zmienną nazwą, ale sama nazwa domeny pozostaje stała).

Multi-Domain / SAN - Większość firm posiada więcej niż jedną domenę, niektóre posiadają ich setki. Dla takich organizacji polecany jest certyfikat typu Multi-Domain, który pozwala zabezpieczyć wiele domen jednocześnie.

Multi-Domain Wildcard - Z kolei firmy posiadające wiele domen, a w nich wiele sub-domen decydują się na opcję dającą najwięcej możliwości - Multi-Domain Wildcard.