Certyfikat SSL – zadbaj o bezpieczeństwo swojej strony

Wszystko, co musisz o nim wiedzieć

Baner wejsciowyParallax
udi / blog

Certyfikat SSL – zadbaj o bezpieczeństwo swojej strony

Wszystko, co musisz o nim wiedzieć

avatar
Aleksandra Skalska
24 sierpnia 2021
złota kłódka i kolorowe litery https

Pewnie zauważyłeś, że niektóre adresy URL stron internetowych zaczynają się od http://, a inne od https://. Nie są to przypadkowe oznaczenia – dodatkowe “s” to bowiem znak, że witryna, którą odwiedzasz jest bezpieczna i zaszyfrowana.

Hasło, e-mail, adres zamieszkania, numer telefonu czy karty płatniczej – każdego dnia miliony użytkowników zostawiają swoje dane w Internecie. Niektóre z nich to bardzo wrażliwe informacje, które wymagają szczególnej ochrony. Gwarantem bezpieczeństwa jest wtedy SSL, czyli protokół poświadczający autentyczność domeny i jej właściciela. Daje także pewność, że Twoje dane są poufne i nie trafią w niepowołane ręce.

Dowiedz się więcej o tym, czym jest certyfikat SSL, jak działa i dlaczego warto wdrożyć go na swojej stronie internetowej.

Certyfikat SSL – co to jest?

SSL (Secure Sockets Layer) to globalna i powszechnie przyjęta technologia bezpieczeństwa, która umożliwia szyfrowaną komunikację między przeglądarką internetową a serwerem. Jej głównym celem jest zminimalizowanie ryzyka kradzieży lub manipulacji poufnymi informacjami podawanymi w sieci. Aby loginy, hasła, numery kart i inne wrażliwe dane były zabezpieczone i niemożliwe do odczytania, na serwerze sieciowym instaluje się certyfikat SSL. Pełni on trzy podstawowe funkcje:

  • Szyfrowanie – czyli blokowanie dostępu i odczytu danych;
  • Integralność – ochrona przed wprowadzaniem nieautoryzowanych zmian w danych i ich zniekształceniem;
  • Uwierzytelnianie – potwierdzenie tożsamości witryny, gwarantujące odwiedzającym ją użytkownikom i serwerowi, że żadna ze stron za nikogo się nie podszywa.
Certyfikat SSL pomaga zabezpieczyć takie informacje, jak:

  • hasła i loginy do kont;
  • informacje finansowe (np. numery kart kredytowych, dane kont bankowych);
  • dane umożliwiające identyfikację konkretnej osoby (np. imię, nazwisko, adres, data urodzenia, pesel, numer telefonu);
  • informacje zastrzeżone;
  • dokumenty prawne i umowy;
  • dokumentacje medyczne.

Bezpieczeństwo w sieci. Jak działa certyfikat SSL?

Zabezpieczenie SSL działa na zasadach kryptografii klucza publicznego (PKC), zwanej też kryptografią asymetryczną. To system, który do przesyłania bezpiecznych danych między stronami (np. serwerem www i przeglądarką użytkownika) wykorzystuje dwa matematycznie powiązane ze sobą klucze – publiczny (służący do szyfrowania informacji) i prywatny (rozszyfrowujący te dane). Ten pierwszy jest dostępny dla przeglądarek internetowych, natomiast ten drugi, zainstalowany na serwerze, pozostaje poufny. Jest to analogiczny schemat do działania tradycyjnej kłódki, która w tym przypadku będzie udostępnionym dla wszystkich kluczem publicznym. Każdy może ją założyć i zamknąć, ale do otwarcia niezbędny będzie klucz prywatny, który zna tylko serwer.

Czym jest klucz kryptograficzny?

To narzędzie do szyfrowania danych w taki sposób, aby wyglądały one losowo – zwykle występuje jako ciąg cyfr i liter. W momencie, gdy niezaszyfrowane dane w postaci zwykłego tekstu są wprowadzone do algorytmu szyfrowania za pomocą klucza, zostają przemienione w przypadkowo wyglądający zbiór znaków.

PRZYKŁAD
„Dzień dobry” (zwykły tekst) + klucz 6g7889hk33 = „X34DHd5678b” (zaszyfrowany tekst)

Jak przebiega połączenie SSL?

Kiedy wiesz już, że klucze są niezbędne do odpowiedniego kodowania i dekodowania bezpiecznych danych, czas dowiedzieć się, jak krok po kroku działa SSL na stronie internetowej.

  • Użytkownik próbuje połączyć się ze stroną internetową (tj. serwerem sieciowym) zabezpieczoną protokołem SSL. W tym momencie przeglądarka żąda od serwera potwierdzenia jego tożsamości. Oznacza to, że w zamian za swój klucz publiczny chce uzyskać jego – taka wymiana umożliwia obu stronom szyfrowanie wiadomości, które tylko one mogą odczytać.
  • W odpowiedzi serwer wysyła kopię swojego certyfikatu SSL, w tym także klucz publiczny.
  • Przeglądarka sprawdza, czy certyfikat SSL jest aktywny i należy do zaufanych. Jeśli wszystko się zgadza, sygnalizuje to serwerowi, odsyłając symetryczny klucz sesji przy użyciu klucza publicznego.
  • Serwer sieciowy odszyfrowuje go za pomocą klucza prywatnego i odsyła podpisane cyfrowo potwierdzenie rozpoczęcia sesji zaszyfrowanej za pomocą protokołu SSL.
  • Zaszyfrowane dane są udostępniane między przeglądarką a serwerem.
szyfrowane-polaczenie-ssl

Przebieg połączenia SSL

Certyfikat SSL – dla kogo?

Strony internetowe potrzebują certyfikatów SSL, aby chronić dane użytkowników, wzbudzać w nich zaufanie, a także zapobiegać tworzeniu fałszywych wersji witryny służących np. do wyłudzania danych lub pieniędzy.

Jeśli na swojej stronie wymagasz rejestracji, zalogowania się lub wprowadzenia danych osobowych (imienia, nazwiska, numeru karty i innych) musisz zadbać o ich poufność. Szczególnie istotne jest to w przypadku firm zajmujących się sprzedażą produktów i usług przez internet. Powinny one bowiem zapewnić nie tylko bezpieczeństwo informacji o swoich klientach, ale także chronić przeprowadzane transakcje finansowe.

Po czym poznać, że strona internetowa używa protokołu SSL?

Strona zabezpieczona SSL przede wszystkim w swoim adresie URL będzie posiadała protokół HTTPS (Hyper Text Transfer Protocol Secure), a nie HTTP. Kolejnym znakiem, wskazującym na bezpieczne połączenie, będzie symbol zamkniętej kłódki na pasku przeglądarki. Aby sprawdzić szczegóły certyfikatu, należy w nią kliknąć. Uzyskasz wtedy informacje m.in. kto i komu go wystawił oraz czy jest on nadal ważny.

okno-przegladarki-internetowej

Przykład certyfikatu SSL na stronie udigroup.pl

Jakie korzyści płyną z posiadania certyfikatu SSL?

  • Zaufanie i wiarygodność
  • Chroniąc dane, pokazujesz użytkownikom, że jesteś zaufanym źródłem, z którego bez przeszkód i żadnych obaw mogą korzystać. Co więcej, dajesz im gwarancję, że wszelkie przeprowadzone na Twojej stronie transakcje zakupowe są w pełni bezpieczne. Pozytywnie wpływa na wizerunek marki i jej wiarygodność, co w efekcie prowadzi do większej sprzedaży.

    Czy wiesz, że…

    Zgodnie z ogólnoświatową normą PCI DSS (Payment Card Industry Data Security Standard), wszystkie podmioty wykorzystujące w swoich działaniach dane kart płatniczych są zobowiązane do ich należytej ochrony. Jeśli więc oferujesz sprzedaż przez internet, posiadanie certyfikatu SSL jest absolutnym minimum.

  • Wsparcie Google
  • Chcesz, aby Twoja strona zajmowała wysokie pozycje w wynikach wyszukiwania? Bez certyfikatu SSL będzie to raczej niemożliwe… Google przykłada dużą wagę do bezpieczeństwa stron internetowych, dlatego już w 2014 roku ogłosił, że posiadane protokołu SSL jest jednym z sygnałów rankingowych. W przypadku, gdy witryna go nie posiada, przeglądarka wyświetla ostrzegawczy komunikat, że strona, na którą próbujemy wejść jest niebezpieczna. Jeśli nie chcesz odstraszyć w ten sposób swoich potencjalnych odbiorców, koniecznie zadbaj o odpowiednie zabezpieczenie strony internetowej.

  • Ochrona przed phishingiem
  • Strony phishingowe to fałszywe wersje stron, mające na celu wyłudzenie i kradzież danych użytkowników. Nierzadko są to prawie identyczne kopie oryginalnych witryn (np. bankowych), które próbują nakłonić odwiedzających do wprowadzenia swoich informacji osobowych – haseł do kont bankowych, kodów BLIK itp. Ważny certyfikat SSL to prosty sposób na zapobieganie takim atakom i dowód na legalność oraz oryginalność Twojej strony.

polaczenie-http-https

Porównanie połączenia HTTP z HTTPS

Rodzaje certyfikatów SSL

Istnieją trzy główne typy certyfikatów, które różnią się między sobą sposobem walidacji – czyli tym, w jaki sposób urząd certyfikacji potwierdza tożsamość firmy i osoby, które ubiegają się o jego uzyskanie.

  • Domain Validation (DV) – to najmniejszy poziom uwierzytelnienia. Aby go uzyskać, wystarczy udowodnić, że jest się właścicielem domeny. Ze względu na niski poziom ochrony to dobra opcja dla małych stron lub blogów, które nie prowadzą u siebie sprzedaży internetowej i chcą szybko uruchomić certyfikat SSL.
  • Organization Validation (OV) – ten certyfikat SSL oferuje średni poziom szyfrowania,, a uzyskuje się go w dwóch krokach. Najpierw strona przechodzi weryfikację odnośnie właściciela domeny, a następnie, na podstawie danych identyfikujących, potwierdzana jest tożsamość firmy.
  • Extended Validation (EV) – to najbardziej zaawansowany standard walidacji. Trwa najdłużej ze wszystkich i kosztuje najwięcej, ale jest też o wiele bardziej skuteczny i godny zaufania. Wnioskujący o certyfikat SSL o rozszerzonej walidacji jest dokładnie sprawdzany przez urząd certyfikacji – weryfikowane są m.in. dokumenty rejestrowe, wpisy do rządowych baz danych oraz prawo do korzystania z domeny.

Co więcej, certyfikaty SSL można zakupić w 3 różnych wariantach:

  • Single – certyfikat obejmujący wyłącznie jedną domenę;
  • Wildcard – zabezpiecza jedną domenę i wszystkie jej subdomeny;
  • Multi-Domain – kupując ten wariant możesz zabezpieczyć wiele domen na raz.

Certyfikat SSL na Twojej stronie – co musisz wiedzieć?

Jak uzyskać certyfikat SSL?

Uruchomienie HTTPS w adresie strony internetowej wymaga wykupienia certyfikatu SSL od urzędu certyfikacji i zainstalowania go na swojej domenie. Nie musisz jednak robić wszystkiego samodzielnie. Zwykle taka usługa oferowana jest przez dostawcę hostingu, na którym postawiona jest witryna – firma (odpłatnie lub za darmo) pomaga właścicielowi strony ustanowić bezpieczne połączenie SSL.

Ile kosztuje certyfikat SSL?

Do wyboru są darmowe lub płatne certyfikaty SSL. Te pierwsze zapewniają bardzo podstawowy poziom ochrony i trzeba odnawiać je co jakiś czas – zazwyczaj co kilka miesięcy. Darmowe certyfikaty oferują mniej złożone funkcje bezpieczeństwa niż wersje płatne (są to jedynie certyfikaty DV), dlatego będą odpowiednie dla mniejszych witryn i blogów.

Rozwiązania płatne wiążą się z kolei opłatą abonamentową (zwykle obejmującą rok). Ich cena uzależniona jest od rodzaju certyfikatu i podmiotu, który go wydaje – koszt waha się zwykle od kilkudziesięciu do nawet kilkunastu tysięcy złotych.

Co kiedy certyfikat SSL wygaśnie?

Certyfikat SSL możesz wykupić dla swojej strony na kilka lat, ale wydawany jest on wyłącznie na jeden rok. Po upłynięciu tego czasu należy go odnowić, czyli wystąpić o wydanie go na nowo na kolejny okres i opłacić. Zwykle do właścicieli witryn wysyłane są maile przypominające o zbliżającym się czasie wygaśnięcia certyfikatu.

Certyfikaty SSL wygasają, ponieważ w Internecie wszystko szybko się zmienia – strony internetowe są kupowane i sprzedawane, a wraz ze zmianą właściciela zmieniają się również informacje dotyczące zabezpieczenia SSL. Celem ograniczonego okresu ważności certyfikatów jest więc zapewnienie, że informacje wykorzystywane do uwierzytelniania witryny są aktualne.

Podsumowanie

Inwestycja w bezpieczeństwo strony internetowej jest w dzisiejszych czasach priorytetem. Wraz z rozwijającymi się możliwościami, jakie daje nam sieć (m.in. e-zakupy czy bankowość internetowa), wzrasta też poziom zagrożenia. Firmy działające online muszą zapewnić użytkownikom odpowiednie bezpieczeństwo i uchronić ich przed padnięciem ofiarą cyberprzestępstwa.

Twoja strona nie ma jeszcze zabezpieczenia HTTPS? Nie masz na co czekać! Wydanie certyfikatu SSL to obecnie kwestia kilku kliknięć, a korzyści, jakie z niego płyną jest znacznie więcej. Poprawa wizerunku marki i wzrost zaufania do firmy – wszystko to prowadzi do tego, na czym firmom zależy najbardziej, czyli wzrostu sprzedaży i umocnienia pozycji na rynku.

Podziel się tym artykułem z innymi!

Twitter Facebook Linke.din
avatar
Aleksandra Skalska
Marketing Manager
W UDI zarządza całym marketingiem – odpowiada m.in. za PR i komunikację marki na wielu kanałach. Planuje, tworzy, analizuje i ciągle wymyśla kolejne koncepcje kreatywne. Poza pracą uwielbia podróże, jedzenie i skandynawskie powieści kryminalne.