Czym jest certyfikat SSL?

Zastanawiasz się co oznacza zielona kłódka przy adresie strony www? A może słyszałeś o protokole SSL, używanym do zabezpieczenia połączeń internetowych? W związku z tym, nie jesteś pewien czy i Ty nie powinieneś wdrożyć go w swojej witrynie? A może zastanawiasz się nad skutecznością takiego certyfikatu?

W poniższym artykule znajdziesz wyczerpujące odpowiedzi, zarówno na te, jak i inne nurtujące Cię pytania z zakresu certyfikacji SSL. Dowiesz się w jaki sposób zwiększyć bezpieczeństwo stosując certyfikaty SSL. A tera usiądź wygodnie i zapraszamy do lektury!.

Poziom trudności:

Artykuł opracowaliśmy dla osób, które nie znają jeszcze tematyki SSL lub znają w mniejszym stopniu i chcą rozszerzyć swoje umiejętności o wiedzę z zakresu certyfikatów SSL.

Internet jest świetnym narzędziem do robienia szybkich zakupów, transakcji bankowych do poznawania nowych ludzi poprzez serwisy społecznościowe. Niestety jest on także pełen niebezpieczeństw:

  • Phising – czyli podszywanie się pod inne strony
  • Oszustwa online
  • Fałszowanie danych
  • Przechwycenie informacji

Każdy właściciel strony zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 roku i rozporządzenia ministra spraw wewnętrznych z dnia 29 kwietnia 2004 roku musi zadbać o dane klientów strony.

… zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem …

Jednym sposobem zabezpieczenia transmisji danych jest właśnie SSL.

SSL w skrócie – okiem laika

Zazwyczaj, jeżeli ukończysz jakikolwiek kurs, przykładowo- kurs gotowania, w nagrodę otrzymasz dokument potwierdzający zdobytą wiedzę lub umiejętności – certyfikat. Certyfikat jest więc pewnym gwarantem w tym przypadku- dowodem ukończenia kursu gotowania. Certyfikat SSL także możesz rozumieć jako dokument, potwierdzający szkolenie z zakresu bezpieczeństwa serwera www. SSL szyfruje całą komunikację pomiędzy Twoją przeglądarką internetową a serwisem internetowym np. sklepem on-line. Dzięki temu masz pewność, że przesyłane dane są bezpieczne. Certyfikat SSL jest więc gwarantem zachowania poufności danych. Ponadto gwarancja jest udzielana przez niezależny podmiot, czyli wystawcę.

SSL technicznym okiem

SSL/TLS zapewnia m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez sieć.

Protokół SSL powstał w latach 90 (dokładnie 1994 roku) i został stworzony przez firmę Netscape. SSL (ang. Secure Socket Layer) używa algorytmu szyfrowania symetrycznego i asymetrycznego. To oznacza, że dane podczas transmisji są szyfrowane sposobem symetrycznym. Klucz symetryczny, jest przesyłany przy wykorzystaniu algorytmu niesymetrycznego, na przykład: RSA, Diffiego-Helmana. Integralność zapewniają podpisy elektroniczne. Kodowane dane są szyfrem blokowym AES.

 

AES (ang. Advanced Encryption Standard) jest to symetryczny szyfr blokowy, który opiera się na algorytmie Rijndael’a. Jest następcą algorytmu DES. Do szyfrowania i do odszyfrowywania wykorzystywany jest ten sam klucz. Więcej o algorytmie symetrycznym dowiesz się już niebawem z poradnika: Na czym polega klucz symetryczny?.

 

Certyfikat opiera się na zasadzie szyfrowania asymetrycznego, gdzie do szyfrowania i deszyfrowania, używane są różne klucze: klucz publiczny i prywatny. Znając tylko klucz szyfrujący nie możemy odszyfrować wiadomości. Potrzebny jest do tego drugi klucz. Stąd swą popularność bardzo szybko zyskał SSL. Ten sposób szyfrowania jest prosty w instalacji i daje gwarancję bezpieczeństwa. Dlatego też SSL stosuje wiele firm i instytucji, takich jak: sklepy internetowe, banki, fora, blogi.

W pierwszej kolejności zapytanie o adres strony www np. http://adevo.pl/ zostaje przesłane do serwera DNS, który zamienia nazwę domeny na adres IP.

Następnie zapytanie zostaje przekazane do serwera hostingowego witryny. Serwer odpowiada, wysyłając zarówno kod strony w postaci HTML do przeglądarki internetowej jak i certyfikat SSL potwierdzający autentyczność. Odtąd cała komunikacja między serwerem a przeglądarką internetową odbywa się już w bezpieczny sposób.

Ciekawostką jest, że SSL najczęściej kojarzymy z protokołem HTTP (HTTPS), choć może on służyć do zabezpieczania wielu innych protokołów, m.in.: Telnet, SMTP, POP, IMAP czy FTP, ponieważ protokoły te same w sobie nie zapewniają szyfrowania transmisji.

Schemat działania certyfikatu SSL:

Do czego jest mi potrzebny certyfikat SSL?

SSL umożliwia głównie uwierzytelnianie serwera hostującego np. sklepu internetowego, gdzie wysyłamy nasz numer karty kredytowej w celu sfinalizowania transakcji. W takim wypadku chcemy mieć pewność, że sklep, do którego podajemy poufne dane, (jakim niewątpliwie jest numer karty kredytowej) jest właściwym odbiorcą a nie fałszywą stroną.

Certyfikat SSL zapewnia:

  • Szyfrowanie przesyłanych danych
  • Integralność danych – dane nie mogą zostać podmienione w locie
  • Poufność i uwierzytelnienie serwera

Do szyfrowania przesyłanych danych stosuje się certyfikat o określonej długości klucza. Rozróżniamy dwa rodzaje kluczy 128 lub 256 bitowe. Dobry certyfikat jest w pełni rozpoznawalny przez najpopularniejsze przeglądarki internetowe bez konieczności instalacji certyfikatów po stronie użytkownika.

W 2014 roku, gigant z Mountain View – Google na swoim blogu poinformował, że strony które mają wdrożony certyfikat SSL, będą wyżej w wynikach wyszukiwania, a także chętniej indeksowane.

Schemat bez zastosowania rozwiązania SSL:

Brak szyfrowania SSL schemat działania - Egeek.pl

 Schemat z zastosowaniem szyfrowania SSL

Szyfrowanie SSL schemat działania - Egeek.pl

Jak sprawdzić czy strona ma certyfikat SSL?

Certyfikat SSL jest widoczny w postaci odpowiedniego oznaczenia protokołu na pasku adresu przeglądarki internetowej. Przed adresem strony zabezpieczonej certyfikatem pojawi się https://. Przykład został przedstawiony na rysunku 3.2.

 

Rysunek 3.2. Strona www z certyfikatem SSL

Kiedy stosować certyfikat SSL?

SSL powinien być stosowany wszędzie tam, gdzie użytkownik podaje wrażliwe dane. Jeśli więc prowadzisz serwis WWW np. forum internetowe, sklep internetowy, w którym użytkownicy zakładają konta posługując się loginem i hasłem powinieneś zainstalować certyfikat. Jeżeli chcesz wiedzieć jak to zrobić zapraszamy już niebawem do artykułu Jak zainstalować certyfikat SSL?.
Możesz także poprosić swojego usługodawcę hostingowego o pomoc w konfiguracji.
Kupując certyfikat poprzez firmę Adevo wdrożenie masz gratis. Sprawdź ofertę

 

Który certyfikat wybrać?

Certyfikaty SSL różnią się od siebie różnym poziomem zabezpieczeń. Można je podzielić na trzy grupy:

  1. Certyfikat SSL walidujący domenę (DV – Domain Validation). Zabezpiecza transmisję danych w obrębie domeny i potwierdza jej autentyczność.
    Zastosowanie: dla niewielkich sklepów internetowych, małych portali czy forów internetowych, blogów, właściciele aplikacji instalowanych na fanpage’ach w portalu Facebook.
    Cena certyfikatu: cena takiego certyfikatu na okres jednego roku to ok. 120 – 140 zł, gwarancja finansowa natomiast wystawcy wynosi nawet 30 000 zł.
  1. Certyfikat SSL (OV – Organization Validation) wyższego poziomu, zabezpiecza autentyczność domeny oraz właściciela.
    Zastosowanie: duże sklepy internetowe, serwisy z np. branży hotelarskiej, witryn urzędów administracji publicznej czy serwerów baz danych.
    Cena certyfikatu: cena wynosi około 450 zł, a gwarancja finansowa, którą możesz uzyskać w razie problemów z prawidłowym działaniem certyfikatu to nawet 750 000 zł.
  1. Certyfikaty SSL uwierzytelniają domenę, dane jej właściciela oraz wyświetlają zielony pasek adresu EV (Extended Validation).
    Zastosowanie: systemy bankowości internetowej czy płatności online
    Cena certyfikatu: jest zależna od wielu czynników

Zobacz także:

  • Klucz symetryczny – charakterystyka i zastosowanie
  • Klucz asymetryczny – charakterystyka i zastosowanie
Moje początki programowania sięgają 2010r. W trakcie wielu projektów zdobywałem doświadczenie, rozwijając nie tylko umiejętności techniczne, ale także kompetencje miękkie. Programuje głównie w PHP i Python.