Certyfikaty bezpieczeństwa już dawno przestały być jedynie domeną banków czy dużych serwisów internetowych. Obecnie SSL powinien posiadać każdy, a część posiadaczy witryn musi go mieć.
Certyfikat SSL jest technologią umożliwiającą trzy podstawowe działania mające kluczowe znaczenie dla bezpieczeństwa:
Czy to dotyczy też mnie?
Jeśli posiadasz sklep internetowy, pobierasz dane od użytkowników (np. wysyłane przez formularz) – zdecydowanie tak. Zapewnienie bezpieczeństwa połączenia jest Twoim obowiązkiem.
Jeśli posiadasz prostą stronę wizytówkę – również warto zainwestować w certyfikat, by podnieść prestiż swojej strony oraz spełnić jedną z wytycznych Google dla webmasterów jaką jest posiadanie SSL bez względu na treść strony.
Jaki certyfikat wybrać?
Do większości zastosowań wystarcza najprostszy certyfikat z tzw. walidacją DV (Domain Validation) – wystawiane są one niemal od ręki, kosztują ok. 100 zł za rok.
Oprócz DV jest też OV (Organization Validation) – wtedy nazwa firmy jest też widoczna w certyfikacie, co podnosi prestiż oraz zaufanie do takiej witryny, ale jest droższe oraz wymaga przesłania dokumentów potwierdzających istnienie firmy która próbuje zarejestrować certyfikat. Jeśli klient chce mieć widoczną nazwę firmy obok „zielonej kłódki” (jak na stronie Grupy TENSE) to musi skorzystać z droższej opcji EV (Extended Validation) – tutaj proces wystawiania certyfikatu trwa jeszcze dłużej, wymaga wielu dokumentów (także w języku angielskim), ale daje jeszcze większy prestiż.
Oprócz powyższego pojawiła się opcja darmowych certyfikatów SSL Let’s Encrypt udostępnianych przez organizację non-profit Internet Security Research Group (ISRG) – do stron klientów jak najbardziej wystarczą. Niestety nie każdy hosting wspiera te certyfikaty – lista tych które wspierają jest pod adresem https://www.ubocze.pl/freessl/index.php
UWAGA!
Certyfikat instaluje zazwyczaj obsługa serwera, na którym znajduje się strona. W zależności od hostingu wymaga może być ingerencja ze strony właściciela strony jak np. potwierdzenie maila w domenie lub samej instalacji. Do instalacji certyfikatu potrzebny jest dostęp do panelu administracyjnego serwera (np. DirectAdmin lub cPanel). Oprócz tego w niektórych przypadkach konieczne jest wykupienie indywidualnego adresu IP (np. na LinuxPL).
W przypadku instalacji samodzielnej konieczne jest posiadanie:
Poprawność certyfikatu można zweryfikować testem online, np. pod adresem:
https://www.ssllabs.com/ssltest/analyze.html?d=grupa-tense.pl&latest
Zainstalowałem certyfikat, czy to wszystko?
Nie, oprócz instalacji samego certyfikatu należy dokonać szeregu modyfikacji, by strona korzystała z niego w odpowiedni sposób.