Certyfikaty SSL (https:)
Do wczoraj wydawało mi się, że certyfikaty SSL są dziś tak powszechne, że wszyscy wiedzą co to takiego i do czego to służy. Wczoraj moja pewność została zachwiana po tym, jak przeczytałam w komentarzach do jednego z ogłoszeń rozmowę między osobami, które pracują zawodzie, w którym powinni innym tłumaczyć zasady działania certyfikatów SSL. Tymczasem osoby te dyskutowały na temat tego jak poznać czy strona ma certyfikat, a człowiek, który wiedział najwięcej wytłumaczył innym, że to proste – wystarczy sprawdzić czy strona ma zieloną kłódeczkę. Czyżby? No nie do końca. Dlatego też postanowiłam rozwinąć temat.
Co to jest certyfikat SSL?
To taki jakby cyfrowy „dokument” podpięty pod stronę, który wskazuje własność klucza publicznego przez wskazanie podmiotu certyfikatu. Certyfikaty wydają tzw. urzędy certyfikacji, czyli po prostu firmy czy inne komercyjne organizacje, które się w tym specjalizują.
Po czym poznać, że strona ma certyfikat SSL?
Najprościej po HTTPSie. Jeśli strona ma certyfikat, przed adresem na pasku zobaczymy https:// a nie http://
Jakie są klasy certyfikatów SSL i co z tą zieloną kłódką?
Możemy kupić certyfikaty SSL różnej klasy:
Certyfikaty DV (domain validation):
Są najczęściej wybierane ze względu na korzystną cenę, przy naprawdę dobrej jakości, tym bardziej, że dla większości stron są w zupełności wystarczające. Urzędy certyfikujące wystawiają je po zweryfikowaniu prawa do posiadania domeny według szybkich i prostych procedur. Proces walidacji przebiega online, poprzez wysłanie emaila na adres administracyjnie odpowiedzialny za domenę. Przyjmuje się tu pewną fikcję doręczenia: że tylko właściciel domeny będzie w stanie przeczytać email wysłany na ten adres. To najprostszy sposób, aby strona wyświetlała się na protokole https.
Certyfikaty OV (organisation validation)
Przy wystawianiu certyfikatów OV, oprócz prawa do posiadania domeny (jak przy certyfikatach DV) są weryfikowane także dane firmowe. Certyfikaty te potwierdzają zatem nie tylko wiarygodność strony www, ale także jej właściciela.
Certyfikaty EV (extended validation)
Certyfikaty EV zapewniają najwyższy poziom weryfikacji danych. Łatwo je rozpoznać po zielonym pasku informacyjnym i kłódeczce w tym kolorze (dlatego potocznie nazywane są green bar). Są one wykorzystywane przez przedsiębiorstwa finansowe np. banki, pośredników finansowych, duże sklepy internetowe i inne firmy, które chcą zapewnić swoim klientom najwyższy stopień bezpieczeństwa. Ze względu na odmienny wygląd, to one najczęściej są kojarzone z certyfikatami ssl w ogóle.
Standardowe cechy certyfikatów SSL
Kupując certyfikat, tak jak każdą inną rzecz, dobrze jest wiedzieć co się kupuje. Należy więc zwrócić uwagę na jego specyfikację, czyli:
– okres ważności – standardowo jest to rok, ale zdarzają się wyjątki – krótsze okresy. Ze względów bezpieczeństwa podmioty certyfikujące zrezygnowały z certyfikatów kilkuletnich (mogłyby potwierdzać bezpieczeństwo stron, które zmieniły właściciela i bezpieczne już nie są). Należy także pamiętać o odnawianiu certyfikatów na kolejne okresy, ponieważ zaniedbanie tej kwestii spowoduje, że użytkownikom zamiast strony będą wyświetlać się komunikaty ostrzegające przed nią i blokujące wejście;
– metoda weryfikacji – w przypadku certyfikatów DV(jak już pisałam wcześniej) jest to weryfikacja domeny. Przy OV dodatkowo dochodzi potwierdzenie danych firmowych. Przy certyfikatach EV mamy pełną weryfikację dokumentami domeny i właściciela;
– siła szyfrowania – zazwyczaj jest to 128 lub 256 bitów;
– dane o właścicielu strony – nie zobaczymy ich przy certyfikatach DV i OV, ale będą widoczne na zielonym pasku przy certyfikatach klasy EV;
– chroniony adres – certyfikat może być wystawiony tylko dla pojedynczej nazwy domeny (hosta) lub wielu. Jeśli mamy rozbudowany serwis na domenie i subdomenach, wtedy “uzbrojenie” ich wszystkich we wspólny certyfikat SSL będzie bardziej korzystne niż zakup kilku pojedynczych certyfikatów. Takie certyfikaty obejmujące także subdomeny mają w nazwie słowo „wildcard”;
– proces walidacji – przebiega szybko online przy certyfikatach DV i OV, i znacznie dłużej przy certyfikatach EV, ze względu na konieczność przesłania dokumentów do urzędu certyfikacji;
– cechy pieczęci – może być to pieczęć statyczna, wyświetlana z własnego serwera lub też dynamiczna, generowana z serwerów wystawcy, zawierająca datę i czas;
– warto też rzucić okiem na gwarancję urzędu certyfikującego, czyli górną granicę odpowiedzialności. Bardzo często jest to 10 000 USD dla DV, 50 000 USD dla OV i 500 000 USD dla EV;
– traci znaczenie już informacja o rozpoznawalności certyfikatów przez przeglądarki, gdyż są tak popularne, że sięga ona 100%;
– zasadniczo pełna jest także kompatybilność z urządzeniami mobilnymi.
Czy opłaca się mieć https?
Oczywiście, że tak. Życie w coraz większym stopniu przenosi się do internetu. To tu są finalizowane decyzje o nawiązaniu współpracy, zakupach, podaniu danych osobowych w różnym zakresie i na różny użytek. Warto więc zabezpieczyć interesy zarówno osób wchodzących na nasze strony, jak i nasze własne. Co więcej, już niemal 10 lat temu Google zapowiadał, że https’y będą miały wpływ na pozycję strony w ich wyszukiwarce. Wtedy – ze względu na znikomą ilość stron posiadających certyfikaty, były to zapowiedzi na dalszą przyszłość. Dziś to rzeczywistość i ten wpływ jest realny.
Co jeśli nie odnowię certyfikatu?
Użytkownicy nie wejdą na nią, zatem stracisz potencjalnych klientów. W tej sytuacji będziesz mieć dwa wyjścia: odnowić certyfikat albo z niego zrezygnować i zmienić na serwerze szyfrowanie na http. Lecz nawet wtedy podczas wchodzenia na stronę wiele przeglądarek internetowych może wyświetlać komunikat o niebezpieczeństwie.
Napisz: biuro@bbsoft.pl lub zadzwoń: 71-355-71-51