Certyfikat SSL (Secure Socket Layer), to technologia szyfrująca komunikację pomiędzy użytkownikiem, a stroną internetową, na której ten się znajduje. Dzięki takiemu rozwiązaniu, wszystkie wrażliwie dane są zabezpieczone przed dostępem niepowołanych osób. Jak działa? Jakie są metody szyfrowania? Jaki wybrać na swoją stronę?
Aby lepiej zrozumieć działanie certyfikatu SSL, warto wyobrazić sobie przeglądanie stron internetowych jako rozmowę dwóch osób. Jedną z nich jest użytkownik, czyli Ty. Druga strona to witryna internetowa, na którą próbujesz wejść. Wasza rozmowa to sposób korzystania z tej strony. Jeżeli chcesz przekazać w niej wrażliwe dane – może to być np. twoje hasło, adres e-mail, data urodzenia, pesel, ważny dokument – nie chciałbyś, aby dostęp do nich miała także przypadkowa osoba. Nie wykrzykujemy numeru pin karty kredytowej płacąc za zakupy w zatłoczonej restauracji dokładnie z tego samego powodu. A informacji, które przekazujesz codziennie każdej stronie www, portalom społecznościowym itp. Jest mnóstwo.
Certyfikat SSL – jak działa?
SSL działa w dwojaki sposób. Przede wszystkim szyfruje dane tak, że nikt z zewnątrz nie jest w stanie ich odczytać bez specjalnego klucza szyfrowania. Drugi aspekt to weryfikacja danych, na jakie został wystawiony dany certyfikat. Posługując się poprzednim przykładem, certyfikat SSL daje nam pewność, że osoba z którą rozmawiamy jest tą, za którą się podaje i nikt z osób postronnych nie zrozumie z naszej konwersacji ani słowa bez odpowiedniego klucza deszyfrującego.
https://www.kei.pl/pomoc/co-to-jest-certyfikat-ssl
Korzystanie ze stron internetowych, które nie mają szyfrowanej komunikacji przy użyciu certyfikatu SSL jest możliwe, ale niezbyt bezpieczne. To właśnie z tego powodu większość przeglądarek wyświetla ostrzeżenia w przypadku próby wejścia na niezabezpieczoną stronę lub witrynę, na której wystąpił błąd w certyfikacie SSL (np. wygasła jego ważność i nie został przedłużony). To dość istotny aspekt, bo użytkownik niechętnie będzie robił zakupy w sklepie internetowym, który nie gwarantuje odpowiedniego zabezpieczenia jego danych osobowych, czy bezpieczeństwa płatności. Z tego względu, wiele aplikacji zewnętrznych, jak np. narzędzia dla developerów Facebooka, systemy płatności internetowych, wymagają zabezpieczonej komunikacji. W przypadku e-płatności obowiązkowa jest także publikacja na stronie internetowej regulaminu, polityki prywatności, czy danych właściciela sklepu.
Certyfikat SSL – jaki wybrać?
Aktualnie można wybierać spośród kilku rodzajów certyfikatów SSL. Ich trzy główne typy to certyfikaty DV, OV i EV. Czym się od siebie różnią?
Certyfikat SSL DV (Domain Validation), to dobry wybór dla małych i średnich stron internetowych, które składają się z pojedynczej domeny lub kilku subdomen. To także dobry wybór dla osób nieprowadzących działalności gospodarczej. Tego typu certyfikaty charakteryzują się niską ceną, są wydawane bardzo szybko (nawet w kilka minut) i to bez konieczności przedstawiania różnych dokumentów. Opierają się na jednym z trzech rodzajów autoryzacji. Może być wykonana za pomocą określonego konta e-mail działającego na certyfikowanej domenie (np. admin@twojadomena.pl), wgraniu odpowiedniego pliku do folderu głównego domeny na serwerze, lub dopisaniu odpowiedniego rekordu DNS w konfiguracji domeny. SSL DV oferują 256 bitowe szyfrowanie i są kompatybilne z blisko wszystkimi przeglądarkami, również mobilnymi. Po jego zainstalowaniu, w pasku przeglądarki zobaczysz symbol kłódki i przedrostek https://.
Certyfikat SSL OV (Organization Validation) jest wydawany wyłącznie zarejestrowanym firmom, a nie osobom fizycznym. Aby go uzyskać, należy przedstawić dokumenty firmowe rejestratorowi certyfikatu. Po weryfikacji trwającej nawet kilka dni zostanie wydany certyfikat. Poza szyfrowaniem, certyfikat wyświetla informacje o firmie, do której należy dana strona internetowa i wystawcę certyfikatu. Dzięki temu użytkownik może mieć pewność, że firma działa legalnie i przekazywane informacje pozostaną poufne. To popularne rozwiązanie m.in. dla e-commerce.
Trzeci typ certyfikatów SSL to EV (Extended Validation). To zarazem najdroższy rodzaj certyfikatu oferujący najwyższy poziom zabezpieczenia. Wnioskująca firma jest dokładnie sprawdzana przez organ certyfikujący, co może trwać nawet do kilku tygodni. SSL EV stosowane są przede wszystkim przez banki i firmy oferujące płatności online. W pasku adresu przeglądarki, poza kłódką i przedrostkiem https:// można zobaczyć nazwę firmy, a w niektórych przeglądarkach, pasek zmienia kolor na zielony.
Certyfikaty najczęściej kupuje się na okres 12 miesięcy i po jego upływie należy je ponownie opłacić. Jeżeli o tym zapomnimy, certyfikat wygaśnie i strona wyświetli ostrzeżenie wszystkim odwiedzającym ją internautom. Niektóre hostingi oferują także możliwość instalację darmowego certyfikatu Let’s Encrypt i opcję jego automatycznego przedłużania. W przypadku innych hostingów taki certyfikat nie jest dostępny, lub konieczna jest okresowa opłata (np. co 3 miesiące), za jego odnowienie przez administratora.
Kryptografia klucza publicznego (PKI), czyli szyfrowanie stosowane w SSL
Są trzy główne metody szyfrowania i deszyfrowania danych RSA, DSA i ECC. Nazwa RSA kryje w sobie pierwsze litery nazwisk twórców tego algorytmu – Rona Rivesta, Adi Shamira i Leonarda Adelmana. Powstał już w 1977 roku. Wykorzystuje nawet 2048-bitowe długości klucza publicznego). DSA (Digital signature algorithm) używa innego algorytmu niż RSA do tworzenia kluczy publicznych i prywatnych. Powstał w Narodowym Instytucie Standardów i Technologii w 1991 roku. Uważa się, że RSA i DSA mają taki sam poziom zabezpieczeń mimo używania różnych algorytmów do generowania kluczy. Główne różnice sprowadzają się przede wszystkim do wydajności i szybkości. Jednak ta różnica jest niewielka, wręcz pomijalna.
Z kolei ECC (Elliptic curve cryptography) to już zupełnie inny rodzaj algorytmu, który zapewnia taki sam poziom zabezpieczeń jak RSA i DSA, ale długość klucza jest znacznie mniejsza. To wpływa na wydajność, bo takie rozwiązanie po prostu zużywa mniej zasobów. Ten standard został zatwierdzony już w 2001 roku. Jednak niektórzy wystawcy nie oferują jeszcze możliwości zakupu certyfikatów SSL używających szyfrowania ECC.
W kolejnym materiale przybliżę Wam temat, jak zainstalować certyfikat SSL na stronie z systemem WordPress.