CZYM JEST CERTYFIKAT SSL I JAKIE KORZYŚCI NIESIE WDROŻENIE PROTOKOŁU HTTPS

O tym czym jest certyfikat SSL i jakie są zalety korzystania z protokołu HTTPS, pisaliśmy w jednym z poprzednich wpisów – tutaj.
Krótka powtórka z poprzedniej lekcji:

  • Certyfikat SSL ma za zadanie zapewniać poufność danych wszystkich osób korzystających z witryny. Dzieje się to za sprawą szyfrowania przesyłu danych.
  • Szyfrowanie danych na stronach internetowych jest ważne, ponieważ liczba ataków hakerskich w serwisach internetowych jest zatrważająca. W drugim kwartale 2017 roku system Anty-Phishingowy Kaspersky Lab zablokował około 47 milionów prób wejść na strony phishingowe (phishing to jeden z najczęściej spotykanych rodzajów ataków w sieci).
  • Najpopularniejsze przeglądarki, czyli Chrome i Firefox, oznaczają strony www, które nie wykorzystują certyfikatu SSL jako niebezpieczne.
  • Korzystanie z certyfikatu SSL niesie wiele zalet. Są nimi przede wszystkim bezpieczeństwo (zarówno witryny, jak i odwiedzających ją użytkowników), wiarygodność i zaufanie w oczach klientów, wpływ na pozycję witryny w rankingach Google, możliwość integracji sklepu z kontem na Facebooku czy spełnienie wymogów GIODO.
  • Bez certyfikatu SSL uruchomienie kampanii reklamowych w usłudze Zakupy Google jest niemożliwe.

Po więcej informacji zapraszamy do poprzedniego wpisu, a już teraz skupimy się na rodzajach certyfikatów SSL, które możesz wdrożyć na swojej witrynie.

Z JAKICH CERTYFIKATÓW MOŻESZ SKORZYSTAĆ

Certyfikaty SSL można podzielić na darmowe i płatne. Darmowe certyfikaty polecane są przede wszystkim osobom, które prowadzą niewielkie strony internetowe lub blogi. Jednym z narzędzi, które nie wymaga uiszczania opłat, jest np. Let’s Encrypt.
Jeśli jednak prowadzisz sklep internetowy, w którym Twoi klienci podają szczegółowe dane osobowe lub dokonują zakupów online (np. przy pomocy przelewów internetowych czy kart kredytowych), bądź jesteś właścicielem witryny, na której użytkownicy wprowadzają inne informacje o charakterze poufnym, lepiej skorzystać z certyfikatów płatnych. Za chwilę opiszemy podstawowe różnice między certyfikatami darmowymi i płatnymi.

CZYM RÓŻNIĄ SIĘ DARMOWE I PŁATNE CERTYFIKATY SSL

W sieci dostępnych jest wiele stron www, które oferują darmowe certyfikaty. Są nimi między innymi:

  • Let’s Encrypt,
  • SSL for free,
  • Free SSL,
  • Go Daddy,
  • Cloudflare.

Jednym z najbardziej popularnych i zaufanych jest Let’s Encrytp. Na podstawie oferty tej firmy przyjrzymy się jednej z podstawowych różnic między certyfikatami darmowymi i płatnymi. Mowa o dostępnych typach walidacji. Oto główne różnice:

  • Darmowe certyfikaty – oferują jedynie walidację tożsamości domeny, czyli SSL DV (Domain Validation).
  • Płatne certyfikaty – dostępne są także dwie inne walidacje. Pierwszą z nich jest SSL OV (Organization Validation) – identyfikuje zarówno tożsamość samej domeny, jak i jej właściciela. Drugim rodzajem walidacji jest SSL EV (Extended Validation) – identyfikacji podlega domena, jej właściciel, a także podmiot biznesowy i adres firmy. Stronę internetową, która korzysta z certyfikatu SSL EV, można rozpoznać dzięki zielonemu paskowi w polu adresowym w przeglądarce.

Dlaczego nie są dostępne darmowe certyfikaty EV i OV? Ponieważ są one chronione większymi obostrzeniami niż DV. Podczas gdy SSL DV można wygenerować, wypełniając formularz, uzyskanie EV i OV wiąże się np. z koniecznością przesyłania różnego typu dokumentów, które mają potwierdzać dane firmy.
Kolejną różnicą między darmowymi i płatnymi certyfikatami jest oznaczenie Trust Seal. Jego zadaniem jest potwierdzenie, że witryna korzysta z certyfikatu SSL i została sprawdzona zgodnie ze światowymi normami. Dla użytkownika jest to znak, że danej stronie można zaufać.
Należy zwrócić też uwagę na tzw. Certificate Authority (CA) oraz gwarancję w przypadku złamania klucza. Darmowe certyfikaty zwykle nie dają takich możliwości.

CZY DARMOWE CERTYFIKATY ZAPEWNIAJĄ PEŁNE SZYFROWANIE DANYCH

W tym przypadku warto skupić się np. na ofercie wspomnianej wcześniej firmy Cloudflare, która oprócz darmowych certyfikatów SSL daje też możliwość skorzystania z usług takich jak CDN czy ochrona przed atakami DDOS. Mimo iż oferta Cloudflare jest bogata, to darmowe certyfikaty pozostawiają pewne luki w zabezpieczeniach.
Głównym niedostatkiem niektórych darmowych certyfikatów (np. Cloudflare) jest szyfrowanie komunikacji między stroną www a serwerem tylko w jednym kierunku. Oznacza to, że dane są zabezpieczane (szyfrowane) tylko podczas ich przesyłu między użytkownikami a serwerami Cloudflare. Natomiast dane przesyłane z serwera Cloudflare do serwera docelowego tego szyfrowania nie posiadają.
Mimo iż jest to aspekt, na który w pierwszej chwilo możesz nie zwrócić uwagi, warto pamiętać o podobnych niuansach. Może to mieć duże znaczenie zwłaszcza wtedy, gdy prowadzisz serwis przetwarzający wrażliwe dane użytkowników.