Certyfikat SSL – podstawa bezpieczeństwa w sieci
Internet to bezwzględnie nieodłączna część naszej codzienności, niezależnie, czy mowa o aspekcie zawodowym, czy prywatnym. Jego niezmiennie rosnąca popularność powoduje niestety także zwiększenie liczby przestępstw i ich rodzajów skierowanych przeciw internautom. Poznaj narzędzie, które jest pierwszą linią obrony informacji przesyłanych za pomocą sieci – certyfikat SSL.
Czym jest certyfikat SSL?
Secure Socket Layer, czy jak częściej go nazywano – SSL jest jednym z protokołów, które służą do zapewnienia bezpieczeństwa w sieci.
Certyfikat szyfruje komunikację pomiędzy przeglądarką użytkownika a serwerem, na którym znajduje się witryna internetowa. W ten sposób nawet w przypadku kradzieży przesyłanych danych nie będzie możliwości ich rozszyfrowania i wykorzystania.
Certyfikat SSL jest przypisywany do wybranej domeny internetowej, dzięki czemu służy zabezpieczeniem zarówno serwisu WWW, jak i poczty elektronicznej opartej o daną domenę. Warto jednak zaznaczyć, że tradycyjny certyfikat nie zapewnia ochrony subdomenom. Jeśli planujesz w ramach swojej witryny tworzenie subdomen, jak np. sklep.domena.pl czy blog.domena.pl, to zalecany jest wybór certyfikatu SSL Wildcard.
Jakie są rodzaje certyfikatów SSL?
Każdy certyfikat SSL w swojej podstawie działa tak samo. Wyróżniamy jednak, w zależności od wymaganego poziomu weryfikacji osób i firm wnioskujących, 3 rodzaje certyfikatów:
- DV (Domain Validation) – jest najczęściej wybieranym rodzajem certyfikatów SSL. Jest on wydawany do domeny od ręki i nie wymaga dodatkowych dokumentów potwierdzających tożsamość kupującego, oprócz dostępnych w bazie WHOIS,
- OV (Organization Validation) – jak świadczy jego nazwa, jest to certyfikat, który wymaga weryfikacji danych firmowych,
- EV (Extended Validation) – wymaga najbardziej kompleksowego sprawdzenia przed wydaniem certyfikatu. Wnioskujący będzie poproszony nie tylko o przedstawienie wszystkich informacji dotyczących firmy. Często także wydanie SSL EV wiąże się z audytem. Są one stosowane przez banki, instytucje finansowe i ubezpieczeniowe, a także podmioty przechowujące duże zakresy wrażliwych danych.
Podział na kategorie według poziomu weryfikacji podmiotu wnioskującego wiąże się także z zupełnie inną kwotą ubezpieczenia w razie ewentualnego złamania szyfrowania (warto zaznaczyć, że nie są znane przypadki jego łamania).
Rodzaje szyfrowania
Innym sposobem podziału certyfikatów SSL jest ich szyfrowanie. Obecnie są dostępne 2:
- RSA, czyli algorytm Rivesta-Shamira-Adlemana został zaprojektowany w dalekim 1977 roku i jest pierwszym typem szyfrowania certyfikatów SSL. Nie da się zaprzeczyć jego skuteczności, gdyż od 40 lat skutecznie chroni internautów na całym świecie. Rozwój technologiczny z upływem czasu wymusił ciągłe wydłużanie kluczy szyfrujących, które obecnie wynoszą 2048 bitów,
- ECDSA, czyli algorytm Elliptic Curve Digital Signature Algorithm jest nowym podejściem do tematu szyfrowania danych. Umożliwia on znacznie skuteczniejsze szyfrowanie przy o wiele krótszych kluczach.
Certyfikat SSL kiedyś a teraz
Osobom, które zdają sobie sprawę, czym jest certyfikat SSL lub choćby wiedzą o istnieniu tego protokołu, najpewniej kojarzą go z zieloną kłódką koło adresu strony internetowej. Jak najbardziej było to słuszne skojarzenie, ale tylko do trzeciego kwartału 2019 roku. Trudno sobie wyobrazić, ale zielona kłódka już od dwóch lat wyświetla się na szaro. Zmiana została ta wprowadzona przy aktualizacji przeglądarki Google Chrome do wersji 68, a w przypadku Mozilla Firefox do wersji 70.
Od tego momentu, przy wyświetlaniu stron internetowych z aktywnym SSL, nie jest widoczna różnica między rodzajami certyfikatów. Pozostaje jednak możliwość sprawdzenia wszystkich informacji pozyskanych podczas weryfikacji – wystarczy, że klikniesz w kłódeczkę.
Zielona kłódka była lepiej widoczna, dlaczego została wyszarzona? Odpowiedź jest prosta. Od momentu stworzenia protokołu SSL służył on jako dodatkowe zabezpieczenie dla strony internetowej i tylko właściciel serwisu decydował, czy warto w niego inwestować. Stanem na 2019 rok liczba serwisów zabezpieczonych SSL była tak spora, że przeszedł on z kategorii opcjonalnego zabezpieczenia do podstawy bezpieczeństwa, którą ma zapewnić właściciel witryny swoim odwiedzającym.
Ponadto, aktualnie algorytmy Google podczas ustalania pozycji w wynikach wyszukiwania uwzględniają też, czy strony posiadają aktywny certyfikat SSL i nadaje im lepsze pozycje. Przy przejściu na serwis bez SSL-a wyświetla się najpierw ekran z żółtą ramką, uprzedzający użytkownika o potencjalnym zagrożeniu.
Przeczytaj również
Let’s Encrypt – bezpieczeństwo dla internautów z całego świata
Let’s Encrypt jest certyfikatem SSL, dostępnym wszystkich użytkowników sieci całkowicie za darmo. Został on stworzony przez międzynarodową niekomercyjną organizację ISRG. Internet Security Research Group można śmiało nazwać najbardziej globalnych projektem, związanym z bezpieczeństwem internetowym. Jego celem jest usuwanie barier: edukacyjnych, technologicznych oraz finansowych.
Dzięki dotacjom od gigantów branży technologicznej, jak np. Google, Facebook, Cisco etc. projekt ciągle się rozwija. W 2018 roku certyfikat rozszerzony został o Wildcard i obecnie Let’s Encrypt chroni ponad 260 000 000 serwisów WWW na całym świecie.
Podsumowanie
- Certyfikat SSL chroni komunikację między stronę a serwerem poprzez ich szyfrowanie.
- Są 3 rodzaje w zależności od poziomu weryfikacji: DV, OV oraz EV.
- SSL stosują 2 typy szyfrowania: RSA oraz ECDSA.
- Protokuł się wyświetla jako szara kłódka, a nie zielona. Można w nią kliknąć, aby się poznać szczegóły o podmiocie.
- Let’s Encrypt – darmowy certyfikat SSL stworzony przez międzynarodową organizację non-profit ISRG.
Oceń artykuł:
Dodaj komentarz