Trzy cholernie ważne literki

Podziel się

Dla przeciętnego użytkownika stron internetowych, ten kod będzie znaczył niewiele i nie wpłynie znacząco na jego działania „w sieci”. Co wcale nie oznacza, że nie jest istotny – wręcz odwrotnie – to właśnie SSL (Secure Sockets Layer) dba o zabezpieczenie wrażliwych danych, które wpisujemy np. w sklepie internetowym. Odpowiada przede wszystkim za to, aby nasze dane nie wpadły w niewłaściwe ręce.

SSL nie jest nowym protokołem sieciowym do zabezpieczania danych. Powstał już w 1994 roku, kiedy do użytku wprowadziła go firma Netscape. Dzisiaj to najbardziej powszechne i niemal doskonałe narzędzie do szyfrowania danych. Nie ma zabezpieczeń, których nie można złamać, ale certyfikat SSL to naprawdę twardy orzech do zgryzienia dla hakerów.

Jak to działa?

Wejdźmy trochę głębiej w techniczne założenia protokołu SSL  (dzisiaj rozwijany pod nazwą TLS – Transport Layer Security). Podstawowym założeniem jest zabezpieczenie wymiany danych pomiędzy przeglądarką użytkownika, a odwiedzaną witryną.  To on odpowiada za szyfrowanie i uwierzytelnianie, czyli potwierdzenie „tożsamości” obu stron komunikacji i uniemożliwienie przejęcia danych przez osoby trzecie. W praktyce wygląda to tak:

  • Klient ustanawia połączenie z serwerem internetowym zabezpieczonym certyfikatem SSL poprzez otwarcie bezpiecznej wersji protokołu (https://) i zażądanie identyfikacji serwera.
  • Serwer jako identyfikacje wysyła kopię certyfikatu SSL, w tym m.in. klucz publiczny.
  • Klient weryfikuje, czy certyfikat SSL należy do zaufanych, czy jest aktywny i czy nie został odwołany. Jeśli przeglądarka ufa certyfikatowi, odsyła symetryczny klucz sesji przy użyciu klucza publicznego.
  • Serwer odszyfrowuje powyższy klucz sesji za pomocą klucza prywatnego i odsyła potwierdzenie, po czym rozpoczyna zaszyfrowaną sesję.
  • Klient i serwer przesyłają od teraz wszystkie dane w bezpieczny sposób za pomocą klucza sesji.

Całego procesu nie jesteśmy w stanie zauważyć – trwa on dosłownie milisekundy. Mamy jednak świadomość, że znajdujemy się na zabezpieczonej protokołem SSL stronie. Wystarczy spojrzeć, czy przy adresie strony internetowej pojawiła się zamknięta kłódka. Jeśli tak, mamy pewność, że strona posiada certyfikat.

Czy to w ogóle potrzebne?

Nie tylko potrzebne, ale też wymagane. Dlaczego? Już od pewnego czasu strony internetowe, które nie posiadają certyfikatu bezpieczeństwa, są przez przeglądarkę Chrome oznaczane jako potencjalnie niebezpieczne. Chyba nie chcecie, aby o Waszej firmie mówiono, że jest „potencjalnie niebezpieczna”? Ale to tylko jedna strona medalu. W Internecie codziennie trwa walka o pozycjonowanie strony, o bycie pierwszym w wynikach wyszukiwania. Jak łatwo się domyślić, najpopularniejsza wyszukiwarka internetowa pozycjonuje wyżej te strony, których adres zawiera magiczne „s” – secure, bezpieczna (HTTPS).

SSL, trzy ważne literki, od których zależy Twoje bezpieczeństwo w sieci.

 

Jaki certyfikat wybrać?

W przypadku mniejszych stron internetowych możemy zastanowić się nad certyfikatem bezpłatnym. To tzw. certyfikat DV – Domain Validation, który jest podstawową formą zabezpieczenia, nie wymagającą weryfikacji danych podmiotu. Przyznanie certyfikatu w tym przypadku nie jest skomplikowane, a proces weryfikacji trwa bardzo krótko. Minusem tego rozwiązania jest brak informacji dla użytkownika, czy strona na której się znajduje rzeczywiście należy do danej firmy lub organizacji. Jeśli nie prowadzimy sklepu internetowego, nie mamy formularzy kontaktowych, jednym słowem nie zbieramy danych od naszych użytkowników, certyfikat DV będzie dla nas odpowiedni.

Jeśli jednak takie dane zbieramy, to warto wykupić certyfikat klasy OV (Organization Validation), który weryfikuje dodatkowo dane podmiotu ubiegającego się o certyfikat. Dzięki temu użytkownik witryny otrzymuje pełen zestaw danych, a to zwiększa jego zaufanie do naszej domeny. Koszt tego typu certyfikatu waha się od kilkuset do nawet kilku tysięcy złotych rocznie.

Ważne też aby pamiętać, że certyfikat DV i OV przyznawany jest tylko jednej domenie. Jeśli w naszej strukturze strony internetowej prowadzimy lub chcemy prowadzić np. blog czy dedykowaną danej grupie odbiorców stronę, powinniśmy zwrócić uwagę na certyfikaty SSL Wildcard i Multidomain. Ten pierwszy pozwala na założenie certyfikatu dla domeny głównej, jak i subdomen, np.:

https://strona-glowna.pl

https://blog.strona-glowna.pl

https://ksiazki.strona-glowna.pl itp.

Z kolei Multidomain pozwala „jednym zamachem” założyć certyfikat bezpieczeństwa dla wielu stron. Wystarczy podczas składania zamówienia zaznaczyć ilość domen, które mają zostać certyfikowane. W ten sposób możemy „podpiąć” od razu kilka posiadanych przez nas stron.

Pozostaje jeszcze certyfikat EV (Extended Validation), który stosowany jest głównie i powszechnie przez np. banki, gdzie wymagane jest zapewnienie maksymalnego bezpieczeństwa i poufności dokonywanych transakcji.

Warto zapamiętać

Implementacja certyfikatu SSL w naszej domenie nie należy do zadań ekstremalnych, wręcz odwrotnie, jest proste. Nie zawsze jednak pamiętamy, aby to magiczne „s” dołożyć do wszystkich podstron naszego serwisu. Wystarczy, że „zapomnimy” tylko o jednej podstronie, a cała witryna zostanie zindeksowana jako „potencjalnie niebezpieczna”. Z punktu widzenia SEO, czyli optymalizacji wyszukiwania, ważne jest także uaktualnienie protokołu http na https wszystkich linków zewnętrznych i wewnętrznych, linków przychodzących np. z social media, mapie strony, przekierowaniach itd.

Podsumowując…

Posiadanie certyfikatu nie jest już opcją, a wymogiem. Zastanawiać możemy się tylko nad wyborem odpowiedniego rodzaju certyfikatu. Jeśli macie wątpliwości, który byłby dla Was najbardziej najlepszy, proces zakładania certyfikatu i jego wdrożenia na Waszych domenach jest zbyt skomplikowany – zgłoście się do nas. Pomożemy Wam stać się bardziej widocznymi w sieci i oczywiście bardziej bezpiecznymi dla użytkowników.

Miłosz Zagórski

Ostatnie artykuły

Jak budować relację z klientami?

Jak zacząć działać w świecie Social Media będąc małą lub średnią firmą?

Jak rozwiązać problem ślepoty banerowej?


Ta strona wykorzystuje pliki cookie

Ta strona wykorzystuje pliki cookie. Wykorzystujemy pliki cookie do spersonalizowania treści i reklam, aby oferować funkcje społecznościowe i analizować ruch w naszej witrynie. Informacje o tym, jak korzystasz z naszej witryny, udostępniamy partnerom społecznościowym, reklamowym i analitycznym. Partnerzy mogą połączyć te informacje z innymi danymi otrzymanymi od Ciebie lub uzyskanymi podczas korzystania z ich usług.

Wymagane

Niezbędne pliki cookie przyczyniają się do użyteczności strony poprzez umożliwianie podstawowych funkcji takich jak nawigacja na stronie i dostęp do bezpiecznych obszarów strony internetowej. Strona internetowa nie może funkcjonować poprawnie bez tych ciasteczek.

Google

https://policies.google.com/privacy

Analityka

Statystyczne pliki cookie pomagają nam zrozumieć, w jaki sposób różni użytkownicy zachowują się na naszej stronie, gromadząc i zgłaszając anonimowe informacje.

Google

https://policies.google.com/privacy

LinkedIN

https://www.linkedin.com/legal/privacy-policy

Marketing

Marketingowe pliki cookie stosowane są w celu wyświetlania reklam, które są dopasowane, istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej cenne dla wydawców i reklamodawców.

Meta Platforms, Inc.

https://www.facebook.com/privacy/policy/?entry_point=data_policy_redirect&entry=0

Google

https://policies.google.com/privacy

LinkedIn

https://www.linkedin.com/legal/privacy-policy

You Tube

https://policies.google.com/privacy

X

https://twitter.com/pl/privacy

TikTok

https://www.tiktok.com/legal/page/eea/privacy-policy/pl

Pliki cookie (ciasteczka) to małe pliki tekstowe, które mogą być stosowane przez strony internetowe, aby użytkownicy mogli korzystać ze stron w bardziej sprawny sposób. Prawo stanowi, że możemy przechowywać pliki cookie na urządzeniu użytkownika, jeśli jest to niezbędne do funkcjonowania niniejszej strony. Do wszystkich innych rodzajów plików cookie potrzebujemy zezwolenia użytkownika. Niniejsza strona korzysta z różnych rodzajów plików cookie. Niektóre pliki cookie umieszczane są przez usługi stron trzecich, które pojawiają się na naszych stronach. W dowolnej chwili możesz wycofać swoją zgodę w Deklaracji dot. plików cookie na naszej witrynie. Dowiedz się więcej na temat tego, kim jesteśmy, jak można się z nami skontaktować i w jaki sposób przetwarzamy dane osobowe w ramach Polityki prywatności. Polityka prywatności

🍪