Certyfikaty SSL
Certyfikaty bezpieczeństwa już dawno przestały być jedynie domeną banków czy dużych serwisów internetowych. Obecnie SSL powinien posiadać każdy, a część posiadaczy witryn musi go mieć.
Czym jest certyfikat SSL?
Certyfikat SSL jest technologią umożliwiającą trzy podstawowe działania mające kluczowe znaczenie dla bezpieczeństwa:
- Szyfrowanie połączenia – szyfrowanie połączeń uniemożliwiające ich przechwycenie osobom niepowołanym,
- Poświadczenie wiarygodności – potwierdzenie tożsamości strony www,
- Budowanie zaufania – świadczenie usług zgodnie ze światowymi standardami i pokazanie, że bezpieczeństwo i dane klientów są dla nas ważne
Czy to dotyczy też mnie?
Jeśli posiadasz sklep internetowy, pobierasz dane od użytkowników (np. wysyłane przez formularz) – zdecydowanie tak. Zapewnienie bezpieczeństwa połączenia jest Twoim obowiązkiem.
Jeśli posiadasz prostą stronę wizytówkę – również warto zainwestować w certyfikat, by podnieść prestiż swojej strony oraz spełnić jedną z wytycznych Google dla webmasterów jaką jest posiadanie SSL bez względu na treść strony.
Jaki certyfikat wybrać?
Do większości zastosowań wystarcza najprostszy certyfikat z tzw. walidacją DV (Domain Validation) – wystawiane są one niemal od ręki, kosztują ok. 100 zł za rok.
Oprócz DV jest też OV (Organization Validation) – wtedy nazwa firmy jest też widoczna w certyfikacie, co podnosi prestiż oraz zaufanie do takiej witryny, ale jest droższe oraz wymaga przesłania dokumentów potwierdzających istnienie firmy która próbuje zarejestrować certyfikat. Jeśli klient chce mieć widoczną nazwę firmy obok „zielonej kłódki” (jak na stronie Grupy TENSE) to musi skorzystać z droższej opcji EV (Extended Validation) – tutaj proces wystawiania certyfikatu trwa jeszcze dłużej, wymaga wielu dokumentów (także w języku angielskim), ale daje jeszcze większy prestiż.
Oprócz powyższego pojawiła się opcja darmowych certyfikatów SSL Let’s Encrypt udostępnianych przez organizację non-profit Internet Security Research Group (ISRG) – do stron klientów jak najbardziej wystarczą. Niestety nie każdy hosting wspiera te certyfikaty – lista tych które wspierają jest pod adresem https://www.ubocze.pl/freessl/index.php
UWAGA!
Certyfikat instaluje zazwyczaj obsługa serwera, na którym znajduje się strona. W zależności od hostingu wymaga może być ingerencja ze strony właściciela strony jak np. potwierdzenie maila w domenie lub samej instalacji. Do instalacji certyfikatu potrzebny jest dostęp do panelu administracyjnego serwera (np. DirectAdmin lub cPanel). Oprócz tego w niektórych przypadkach konieczne jest wykupienie indywidualnego adresu IP (np. na LinuxPL).
W przypadku instalacji samodzielnej konieczne jest posiadanie:
- pliku certyfikatu
- klucza publiczny który został wygenerowany przy tworzeniu certyfikatu
- certyfikatów pośrednich (tzw. CA Root / CA)
Poprawność certyfikatu można zweryfikować testem online, np. pod adresem:
https://www.ssllabs.com/ssltest/analyze.html?d=grupa-tense.pl&latest
Zainstalowałem certyfikat, czy to wszystko?
Nie, oprócz instalacji samego certyfikatu należy dokonać szeregu modyfikacji, by strona korzystała z niego w odpowiedni sposób.
- Wymuszenie ruchu wyłącznie szyfrowanego (HTTPS) – sama instalacja certyfikatu nie wymusza szyfrowanego ruchu. Jeśli użytkownik wejdzie na stronę z linku HTTP (nieszyfrowanego) może mieć możliwość przeglądania niezabezpieczonej strony. Realizujemy to odpowiednią konfiguracją strony lub/i dodaniem odpowiednich wpisów w pliku .htaccess
- Wczytywanie jedynie bezpiecznych zasobów – by strona była bezpieczna wszystkie jej zasoby bez wyjątku muszą być wczytywane przez połączenie szyfrowane. Nie jest dopuszczalne mieszanie dwóch różnych sposobów serwowania treści. W przypadku stron stworzonych pierwotnie bez wsparcia certyfikatu wymagana może być audyt wykorzystanych rozwiązań i modyfikacja elementów niezabezpieczonych.
