Protokół Secure Sockets Layer, powszechnie nazywany SSL, to standard zabezpieczeń służący do szyfrowania komunikacji między serwerem WWW a przeglądarką internetową klienta. Chociaż termin ten jest nadal używany w potocznym języku, w rzeczywistości protokół SSL został zastąpiony protokołem TLS, który oznacza Transport Layer Security.
Każda witryna z adresem internetowym HTTPS korzysta z protokołu SSL / TLS. Za każdym razem, gdy przeglądarka internetowa zobaczy ważny certyfikat SSL, obok adresu wyświetli się zielona ikona kłódki. Jest to wizualna wskazówka dla użytkownika komputera stacjonarnego, że cała komunikacja między przeglądarką a serwerem sieciowym odbywa się za pośrednictwem zaszyfrowanego kanału.
Dlaczego warto korzystać z certyfikatów SSL?
Wszelkie informacje przesyłane przez Internet przechodzą przez różne komputery pośredniczące, zanim dotrą do docelowego serwera WWW. Oznacza to, że każdy z tych komputerów pośredniczących może uzyskać dostęp do przesyłanych danych, które mogą obejmować informacje, takie jak nazwy użytkowników i hasła, oraz inne poufne informacje. Certyfikaty SSL zmniejszają to ryzyko, zapewniając, że wszystkie informacje przesyłane przez Internet są szyfrowane w taki sposób, że tylko zamierzony odbiorca ma do nich dostęp.
W rzeczywistości niektóre strony internetowe, takie jak portale bankowe i płatnicze, są prawnie zobowiązane do podjęcia określonych kroków, zanim będą mogły poprosić użytkowników o podanie poufnych informacji. Jednym z tych wymagań jest używanie odpowiednio zweryfikowanych certyfikatów SSL.
Nawet jeśli nie prosisz użytkowników o podanie poufnych informacji, opłaca się użyć certyfikatu SSL. W 2014 roku Google ogłosił, że chcąc zwiększyć bezpieczeństwo sieci, wyszukiwarka zaczęła używać HTTPS jako sygnału rankingowego. Oznacza to, że witryny korzystające z ważnego certyfikatu SSL są uważane za lepsze i zajmują wyższe pozycje w wynikach wyszukiwania, co sprawia, że certyfikat SSL jest w rzeczywistości podstawowym, ale niezbędnym narzędziem SEO.
Co zawiera certyfikat SSL?
Z technicznego punktu widzenia certyfikat SSL to plik danych na serwerze sieciowym, który zawiera kilka informacji. Najważniejszym aspektem certyfikatu jest klucz publiczny witryny.
Towarzyszy mu nazwa domeny, dla której wydano certyfikat, oraz szczegółowe informacje o osobie lub organizacji, dla której został wydany. Certyfikat zawiera również szczegółowe informacje o urzędzie, który go wydał, wraz z podpisem cyfrowym. Inne ważne szczegóły obejmują datę wydania certyfikatu, okres jego ważności, a także datę wygaśnięcia certyfikatu.
Klucz publiczny (i odpowiadający mu klucz prywatny) to zasadniczo długie ciągi znaków, które pomagają zaszyfrować i odszyfrować przesyłane dane. Należy pamiętać, że dane zaszyfrowane za pomocą klucza publicznego można odszyfrować tylko za pomocą klucza prywatnego.
Gdy przeglądarka internetowa próbuje komunikować się z serwerem, wywołuje certyfikat w celu zweryfikowania tożsamości serwera, a następnie uzyskuje jego klucz publiczny. Następnie używa go do utworzenia zaszyfrowanego kanału między sobą a serwerem sieciowym. Wszystkie dane przesyłane tym kanałem mogą być odszyfrowane tylko przez serwer sieciowy, który ma klucz prywatny.
Kto wydaje certyfikaty SSL?
Certyfikaty SSL są wydawane przez zaufany urząd certyfikacji (CA). Przeglądarki internetowe, systemy operacyjne, a obecnie nawet urządzenia mobilne przechowują listę zaufanych certyfikatów głównych CA.
Certyfikat główny jest bardzo cenny, ponieważ każdy certyfikat SSL podpisany jego kluczem prywatnym będzie automatycznie zaufany przez przeglądarki internetowe. I odwrotnie, jeśli urząd certyfikacji nie jest zaufany, przeglądarka wyświetli niezaufane komunikaty o błędach użytkownikowi końcowemu.
Firmy takie jak DigiCert, IdenTrust, GlobalSign i Let’s Encrypt są znane jako zaufane urzędy certyfikacji. Przeglądarki internetowe i programiści systemów operacyjnych, tacy jak Microsoft, Mozilla, Google, Opera i tym podobne, ufają tym urzędom certyfikacji, a co za tym idzie, wszystkim certyfikatom SSL podpisanym ich kluczami prywatnymi.
Rodzaje certyfikatów SSL
Istnieje kilka różnych typów certyfikatów SSL, które można ogólnie podzielić na trzy kategorie.
Certyfikaty z walidacją domeny (DV) to podstawowe certyfikaty, które obejmują podstawowe szyfrowanie i weryfikację własności rekordów rejestracji nazwy domeny. Ten rodzaj certyfikatu jest najtańszy i można go wydać w ciągu kilku minut.
Dalej znajdują się certyfikaty zatwierdzone przez organizację (OV), które oprócz podstawowego szyfrowania i weryfikacji uwierzytelniają również szczegóły dotyczące właściciela, takie jak jego imię i nazwisko oraz adres. Biorąc pod uwagę konieczność ręcznej weryfikacji, uzyskanie certyfikatu OV zajmie od kilku godzin do kilku dni.
Wreszcie istnieją certyfikaty Extended Validation (EV), które cieszą się największym zaufaniem, ponieważ potwierdzają również fizyczne i operacyjne istnienie właściciela witryny. Przestrzegają ścisłych wytycznych dotyczących procesu weryfikacji, który może potrwać kilka tygodni.
Ponadto wszystkie typy certyfikatów SSL mają również dwie odmiany. Istnieje jeden certyfikat domeny, który zabezpiecza jedną w pełni kwalifikowaną nazwę domeny. Jest tańszy niż certyfikat wieloznaczny, który chroni wiele subdomen.
Co to jest certyfikat SSL z podpisem własnym?
Z technicznego punktu widzenia każdy może stworzyć własny certyfikat SSL, generując parowanie kluczy publicznych i prywatnych. Te certyfikaty są nazywane certyfikatami z podpisem własnym, ponieważ używany podpis cyfrowy nie pochodzi z zewnętrznego ośrodka certyfikacji, ale z własnego klucza prywatnego witryny.
Chociaż są one najwygodniejsze i można je wygenerować natychmiast, ponieważ nie ma przeglądarek internetowych innych firm do weryfikacji, które nie uważają certyfikatów z podpisem własnym za wiarygodne. Dlatego mimo szyfrowania komunikacji przeglądarki internetowe nadal będą oznaczać witrynę jako „niezabezpieczoną”. Większość przeglądarek internetowych przynajmniej upewni się, że rozumiesz, że witryna używa certyfikatu z podpisem własnym przed wyświetleniem zawartości witryny.
Jak zdobyć certyfikaty SSL?
Ze względu na ich rolę w rankingu wyszukiwarek każdy powinien zdobyć certyfikat SSL.
Pierwszym krokiem jest określenie, jakiego rodzaju certyfikatu potrzebujesz, w dużej mierze w zależności od liczby domen i subdomen, które chcesz zabezpieczyć. Proces ten jest o wiele bardziej istotny dla firm z branż regulowanych, takich jak bankowość, które muszą upewnić się, że ich certyfikat SSL spełnia określone wymagania.
Istnieje kilku dostawców certyfikatów SSL iw zależności od rodzaju certyfikatu oraz reputacji i zaufania urzędu certyfikacji, który je wystawił, koszty certyfikatów SSL mogą wahać się od kilku do kilkuset dolarów rocznie.
Jednak w dzisiejszych czasach można je również otrzymać za darmo, dzięki firmie Let’s Encrypt CA. Została założona przez EFF, Mozillę i University of Michigan, a Cisco i Akamai są sponsorami założycielami.
Let's Encrypt to urząd certyfikacji non-profit, który od kwietnia 2016 r. Bezpłatnie rozdaje certyfikaty SSL. Jego certyfikaty są ważne przez 90 dni i można je odnowić w dowolnym momencie w tym okresie ważności. Zgodnie z własnym badaniem Let's Encrypt, jego certyfikaty zostały w dużej mierze przyjęte przez świadomych kosztów użytkowników, w tym mniejsze witryny, takie jak osobiste blogi i małe firmy.
- Uzyskaj bezpieczny dostęp do Internetu dzięki najlepszej sieci VPN.