Każdy słyszał o certyfikatach SSL i wszyscy wiemy, że stosują je strony internetowe dbające o bezpieczeństwo. Ale tak naprawdę, to po co nam te certyfikaty? W tym wpisie opowiemy o co chodzi z SSL, jakie są różnice między certyfikatami i jaki jest ten odpowiedni dla Twojej domeny.

Co to jest certyfikat SSL?

Najczęściej jest to plik tekstowy znajdujący się na serwerze, który wiąże publiczny klucz kryptograficzny z nazwą domeny oraz informacjami na temat organizacji. Dzięki temu, możliwe jest nawiązanie bezpiecznego połączenia między przeglądarką klienta a serwerem obsługującym daną domenę.

Co sprawia, że połączenie jest bezpieczne?

Certyfikat SSL pobrany z serwera do przeglądarki jest weryfikowany z bazą CA (Certification Authority, czyli wydawcy certyfikatu), co pozwala na weryfikację, czy certyfikat, którym strona się przedstawia jest oryginalny i faktycznie wystawiony przez dostawcę, który jest w nim podany. Jest w nim zawarta informacja kto wydał certyfikat i dzięki temu przeglądarka może sprawdzić (porównując ze swoją bazą), czy podpis wystawcy jest prawdziwy. Po pomyślnej weryfikacji, następuje jeszcze kilka kroków, które w efekcie pozwalają na szyfrowaną komunikację między przeglądarką a serwerem.

Po co mi certyfikat SSL?

Szyfrowanie

Certyfikat SSL zabezpiecza komunikację, czyli wszelkie dane przesyłane do serwera, takie jak login i hasło, formularze oraz numery kont bankowych, są zaszyfrowane. Dzięki temu, nawet jeśli komunikacja jest podsłuchiwana przez osoby trzecie, to nie są one w stanie ani odczytać ani modyfikować danych przesyłanych tą drogą. Dane mogą zostać odczytane wyłącznie przez serwer, na którym znajduje się umożliwiający ich rozszyfrowanie klucz.

Walidacja

Jeżeli przesłany przez serwer certyfikat SSL, został pomyślnie potwierdzony przez Twoją przeglądarkę to masz pewność, że dane trafiają tam gdzie chcesz, a nie do kogoś podszywającego się pod dany serwis.

Przeglądarki

Google Chrome (od wersji 68) oznacza strony, które nie korzystają z certyfikatu SSL, jako niezaufane. Mozilla Firefox na dzień dzisiejszy nie wyświetla takiej informacji w pasku URL, ale w planach jest wprowadzenie takiej funkcji. Przez tego typu komunikat w przeglądarce, strona nie wzbudzi zaufania użytkownika, szczególnie gdy chciałby na niej wykonać płatność lub przeprowadzić operację z użyciem danych wrażliwych.

Wyszukiwanie

Od dłuższego czasu wyszukiwarka Google zdecydowanie lepiej traktuje serwisy zabezpieczone certyfikatem SSL. Pojawiają się one znacznie wyżej w wynikach wyszukiwania, niż strony pozbawione zielonej kłódki.

Certyfikat SSL czy TLS?

Certyfikat SSL i TLS to w zasadzie to samo… Już tłumaczymy 🙂

“SSL” pochodzi od nazwy protokołu, który jest wykorzystywany przy połączeniu między klientem a serwerem. Obecnie do zapewnienia bezpiecznego połączenia wykorzystywany jest już protokół TLS, który jest rozwinięciem protokołu SSL i właściwie powinniśmy mówić o certyfikatach TLS. Jednak stara nazwa tak się przyjęła, że jest w dalszym ciągu używana.

Rodzaje certyfikatów SSL

Zacznijmy od cech wspólnych dla wszystkich certyfikatów SSL:

  • w pasku URL pojawia się zielona kłódka, która wskazuje na to że wykorzystywany jest certyfikat SSL
  • certyfikaty wykorzystują szyfrowanie RSA oraz funkcję skrótu SHA-256, co zasadniczo uniemożliwia (na dzień dzisiejszy) jego podrobienie
  • w wypadku certyfikatów komercyjnych, wspólną cechą jest określona przez wystawcę suma gwarancyjna (w zasadzie jest to bardziej działanie marketingowe, niż realna gwarancja)

Certyfikat DV

Najczęściej wykorzystywanym komercyjnie certyfikatem jest certyfikat DV (Domain Validation). Jego cechą charakterystyczną jest to, że ujmuje wyłącznie nazwę domenową (Common Name), bez wyszczególnienia organizacji. Z racji, że subdomena www przyjęła się jako standard adresów stron internetowy, niektórzy wystawcy certyfikatów dają możliwość wykorzystania certyfikatu nie tylko dla domeny głównej (adminotaur.pl) ale też dla subdomeny www (www.adminotaur.pl).

Poziom bezpieczeństwa certyfikatu jest wysoki, widoczna jest także zielona kłódka w pasku adresu, a przy tym brak wymagań jeśli chodzi o dodatkowe działania weryfikacyjne – wystarczy publikacja odpowiedniego pliku pod adresem strony, do której ma należeć certyfikat lub kliknięcie linku w wiadomości e-mail.

Certyfikat Wildcard DV

Certyfikat wildcard DV działa na podobnej zasadzie co zwykły certyfikat DV, z tym że obejmuje też wszystkie subdomeny pierwszego poziomu. Zatem certyfikatem objęty będzie adres adminotaur.pl i www.adminotaur.pl, ale również poczta.adminotaur.pl.

Certyfikat OV

Certyfikat OV (Organization Validation) wyróżnia fakt umieszczenia w nim danych firmy (organizacji) oraz jej lokalizacji. Dane organizacji muszą zostać zweryfikowane przez wystawcę certyfikatu, dlatego jest to droższa opcja, niż certyfikat DV.

Certyfikaty EV

Certyfikaty EV (Extended Validation) jest najbardziej cenionym typem certyfikatu SSL. Obok zielonej kłódki podaje w pasku adresu także nazwę firmy (można to zauważyć np. na stronach banków). Istotną różnicą jest także fakt, że dla wystawienia certyfikatu EV konieczna jest weryfikacja  biznesowa – do wystawcy certyfikatu należy przesłać wyciąg z CEIDG/KRS. Możliwe też, że podmiot certyfikujący będzie chciał zadzwonić na stacjonarny numer telefonu celem potwierdzenia jego prawidłowości. Ten typ certyfikatu jest oczywiście zdecydowanie droższy od OV, w dodatku rozszerzona weryfikacja biznesowa organizacji sprawia, że proces wystawiania certyfikatu zajmuje znacznie więcej czasu. Zdecydowanie odradzamy odkładanie tego na ostatnią chwilę 🙂

Multidomain EV

Certyfikat multidomain EV działa na tej samej zasadzie, co zwykły certyfikat EV, jednak pozwala ująć w ramach jednego certyfikatu kilka różnych nazw domenowych (Common Name). Dzięki temu zarówno adminotaur.pl, poczta.adminotaur.pl, jak i invert-it.pl mogą figurować w jednym certyfikacie SSL.

Darmowe certyfikaty SSL

Możesz również skorzystać z darmowego certyfikatu, który wygenerujesz dla swojej domeny sam. Są one równie bezpieczne co opcje płatne, choć w przeciwieństwie do certyfikatów komercyjnych, nie zapewniają ubezpieczenia wyrażonego sumą gwarancyjną.

Jednym z popularnych wystawców darmowych certyfikatów jest Let’s Encrypt. Oferuje on możliwość wystawienia certyfikatów zarówno dla jednej domeny jak i tych typu wildcard. Wadą tego rozwiązania jest konieczność odnawiania certyfikatu co 3 miesiące – certyfikaty komercyjne zazwyczaj ważne są przez minimum rok.

Certyfikat podpisany przez siebie

Możesz też sam wystawić certyfikat SSL, a następnie podpisać go własnym CA.  Jest to przydatne np. przy przeprowadzaniu testów w wewnętrznej infrastrukturze. Jednak taki certyfikat nie będzie wystarczający dla przeglądarek, ponieważ Certification Authority które podpisało certyfikat (w tym przypadku Ty) nie figuruje w ich bazie zaufanych CA.

Jaki certyfikat jest odpowiedni dla mnie?

Ciężko nam udzielić jednoznacznej odpowiedzi na to pytanie. Odpowiedź będzie uzależniona od tego, ile domen chcesz objąć jednym certyfikatem oraz jaki budżet chcesz przeznaczyć na jego zakup. Nie bez znaczenia jest tu też wizerunek, który kreujesz, czy branża w której działa Twój biznes. Prywatny blog zabezpieczony bezpłatnym certyfikatem Let’s encrypt jest czymś absolutnie normalnym. Ale czy bank korzystający z bezpłatnego certyfikatu będzie dobierany poważnie?

Mamy nadzieję, że udało nam się rozjaśnić nieco temat certyfikatów SSL. Jeżeli masz pytania lub chcesz się podzielić własną opinią to zapraszamy do pisania komentarzy pod tekstem 🙂