Czym jest SSL i jak go wdrożyć

Czym jest SSL i jak go poprawnie wdrozyć?

 

SSL (z ang. Secure Socket Layer) to protokół sieciowy do bezpiecznego przesyłania danych w Internecie. SSL zapewnia szyfrowanie i uwierzytelnienie danych w trakcie przesyłania między serwerami i komputerami.

Certyfikat SSL oznacza, że dane przesyłane poprzez stronę www są szyfrowane i mamy zapewniony większy poziom bezpieczeństwa w trakcie płatności online, bezpieczeństwa zachowania prywatności danych. SSL może zabezpieczać połączenia ze stroną internetową, wysyłaną pocztą, przesyłaniem danych poprzez ftp itd.

Strona z zainstalowanym certyfikatem SSL wyświetli się w przeglądarce internetowej w formie zapisu poprzedzonej elementem protokołu https:// (ang. Hypertext Transfer Protocol Secure, protokołu bezpiecznego przesyłania dokumentów hipertekstowych), w odróżnieniu od formy niezabezpieczonej http:// (ang. Hypertext Transfer Protocol , protokołu przesyłania dokumentów hipertekstowych).

Certyfikaty SSL różnią się cechami i poziomem bezpieczeństwa, ale dla większości przypadków wystarczy, jeśli użyjesz bezpłatnego Let’s Encrypt. Powstał on z inicjatywy Internet Security Research Group (ISRG), a celem jego jest upowszechnienie certyfikatów bezpieczeństwa i dostarczenie bezpłatnej alternatywy dla płatnych rozwiązań. Projekt sfinansowały takie firmy jak Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai, Cisco Systems, IdenTrust, Uniwersytet Michigan, Stanford Law School i Linux Foundation. Można więc liczyć, że projekt ten będzie rozwijany. Obecnie sam certyfikat używany jest z powodzeniem nawet przez duże sklepy internetowe.

Strona internetowa, która nie jest zabezpieczona certyfikatem SSL przesyła dane bez szyfrowania, co ułatwia ich przechwycenie.

Rodzaje SSL.

  • Domain Validation (DV) – podstawowe uwirzytelnienie podczas przesyłania danych, przy przydzielaniu certyfikatu sprawdza się czy osoba rejestrująca domenę podała prawdziwe dane,
  • Organization Validation (OV) – szyfrowanie transmisji i zabezpieczenia przed podsłuchaniem oraz phishingiem (wykradaniem danych), jest to uwierzytelnienie rozszerzone. Przed wydaniem certyfikatu sprawdza się firmę/osobę rejestrującą domeną oraz prawdziwość tych danych.
  • Extended Validation (EV) – zapewnia pełne uwierzytelnienie danych. Dokładne sprawdzanie właściciela domeny.

Jak działa szyfrowanie SSL na stronie www?

Strona zabezpieczona certyfikatem SSL w chwili połącznia z nią poprzez dowolną przeglądarkę internetową (np. Chrome, FireFox, Opera) ustala klucze i algorytmy szyfrujące, które służą połączeniu na linii serwer strony www – przeglądarka.

Jak rozpoznać, że strona ma zainstalowany certyfikat SSL?

Serwisy zabezpieczone certyfikatem wyświetlają w trakcie połączenia przedrostek https:// przed domeną oraz pojawi się zielony pasek i ikonka kłódki.

Mimo zainstalowania certyfikatu SSL nadal pojawiają się komunikaty, że strona nie jest zabezpieczona?

Taka informacja oznacza, że na stronie www, która odwiedzasz, czy której jesteś właścicielem w kodzie umieszczone są odnośniki bez zabezpieczeń SSL. Łatwo je znaleźć po przedrostku „http” zamiast „https”.

ssl

Czy Certyfikat SSL jest niezbędny?

Teoretycznie nie potrzebujesz certyfikatu SSL, jeśli Twoja strona jest wyłącznie stroną informacyjną i nie prowadzisz za jej pośrednictwem transakcji kupna-sprzedaży czy też wymiany danymi. Pamiętaj jednak, że niektóre przeglądarki (np. Chrome) wyświetlają w swym górnym pasku informację, że strona nie ma zainstalowanego certyfikatu i może być potencjalnie niebezpieczna. Ten komunikat może odstraszyć część odwiedzających stronę. Proponuję więc wybrać taki hosting, dzięki któremu SSL jest instalowany za darmo do każdej domeny (np. wspomniany Let’s Encrypt).

TLS, czyli wyższa wersja SSL.

TLS to inaczej Transport Layer Security, czyli protokół, który podobnie jak SSL zapewnia bezpieczeństwo i szyfrowanie przesyłanych danych z tą różnicą, że TLS  jest rozwinięciem SSL. Zapewnia nie tylko szyfrowanie i zachowania poufności danych ale zabezpieczania przed przekierowaniami do niezabezpieczonych stron.

Jak zainstalować darmowy certyfikat Let`s Encrypt

Certyfikat Let`s Encrypt to darmowe rozwiązanie SSL, które powstało w wyniku działania grupy Internet Security Research Group (ISRG) zrzeszającej największe firmy i organizacje internetowe. Celem jest darmowe zabezpieczenie stron internetowych, które jest dostępne dla każdego. Darmowe rozwiązanie powstało na potrzeby małych i średnich stron internetowych, które często unikały płacenia za SSL obniżając koszty działalności. Teraz w zasadzie każdy może łatwo i bezpłatnie zapewnić podstawowe bezpieczeństwo połącznia ze stroną. W tym miejscu warto zauważyć, że zanim zdecydujesz się na dostawcę usług hostingowych sprawdź, czy w ofercie zawarta jest instalacja darmowego SSL. Niektórzy dostawcy nadal próbują zarabiać na bezpłatnych rozwiązaniach.

Let’s Encrypt to certyfikaty typu Domain Validation (DV), w przypadku których właściciel strony internetowej musi udowodnić swoje prawa do zarządzania lub własności domeny.

Sama procedura instalacji jest bardzo prosta i przebiega w przypadku większości hostingów podobnie:

  • Krok 1: w panelu administracyjnym swojego hostingu wybierz domenę, dla której chcesz wygenerować certyfikat;
  • Krok 2: upewnij się, że SSL jest aktywny dla wybranej domeny;
  • Krok 3: w panelu znajdź opcję Certyfikaty SSL i przejdź do tej części panelu;
  • Krok 4: Wybierz darmowy i automatyczny certyfikat Let’s Encrypt i kliknij Zapisz.

Jeśli wszystko zostanie wykonane wg powyższego schematu, to w następstwie powinien zostać wygenerowany darmowy certyfikat Let’s Encrypt i przypisany do domeny. Niektóre hostingi ograniczają dostęp do Let’s Encrypt, promując płatne rozwiązania lub dość agresywnie nakłaniają do wykupywania droższych pakietów usługowych (np. większe pojemności dysków), uzależniając od tego możliwość dostępu do generowania Let’s Encrypt. Na rynku dostępna jest jednak tak szeroka oferta firm hostingowych, które wręcz prześcigają się w przekonywaniu do siebie klienta, że doprawdy masz duże pole wyboru.

Nie kupuj jednak hostingu przed skonsultowaniem owego wyboru z twórcą strony internetowej, którą chcesz prezentować, a która może być wykonana w technologii nieobsługiwanej przez hosting, jaki wybrałbyś samodzielnie. W zależności od wymagań technicznych serwera oraz obciążenia go ruchem w sieci, może będziesz potrzebował jedynie hostingu współdzielonego. Działa on tak, że na jednym serwerze umieszczonych jest wiele różnych stron klientów. To zarazem najtańszy sposób korzystania z hostingu. Pośrednim rozwiązaniem jest VPS (ang. Virtual Private Server), czyli wydzielona specjalnie dla użytkownika część serwera, na której można instalować indywidualnie wybrane oprogramowanie. Najbardziej zaś komfortowym wyjściem jest serwer dedykowany, całkowicie do twojej dyspozycji, a zatem wykorzystać go możesz wyłącznie do swoich potrzeb publikacyjnych, jak i masz wolną rękę w kwestii wyboru oprogramowania i zarządzania.

Related posts