W przeszłości zielona kłódka w przeglądarkach była symbolem bezpieczeństwa, oznaczającym szyfrowane połączenie za pomocą protokołu SSL/TLS. Jednak obecnie przeglądarki, takie jak na przykład Google Chrome, zmieniły sposób prezentacji zabezpieczeń, usuwając zieloną kłódkę. Szyfrowane połączenia są teraz standardem, a nacisk kładzie się na ostrzeganie użytkowników w przypadku braku zabezpieczeń.
Jak działa połączenie: przeglądarka – serwer?
Kiedy wpisujesz adres strony internetowej w przeglądarce, ta wysyła zapytanie do serwera, na którym znajduje się strona. Serwer odpowiada, przesyłając różne elementy strony, takie jak kod HTML, pliki CSS, JavaScript oraz obrazy. Przeglądarka zbiera te komponenty, tworzy z nich kompletną stronę i wyświetla ją na ekranie użytkownika.
W przypadku zwykłego połączenia HTTP, dane przesyłane między serwerem a przeglądarką nie są szyfrowane. Oznacza to, że przesyłane informacje mogą być przechwycone lub nawet zmodyfikowane przez osoby trzecie. W przypadku prostych stron informacyjnych ryzyko może być niewielkie, ale kiedy mówimy o stronach wymagających logowania czy przesyłania danych osobowych, brak szyfrowania stanowi poważne zagrożenie. Na przykład, jeśli ktoś przechwyci dane logowania do panelu administratora lub informacje osobowe w formularzu kontaktowym, może je wykorzystać w nieuprawniony sposób.
Szyfrowanie danych staje się kluczowe, gdy wymieniane są poufne informacje, takie jak loginy, hasła, dane kart kredytowych czy inne dane osobowe. Tu właśnie pojawia się potrzeba korzystania z certyfikatu SSL/TLS, który zapewnia bezpieczne, szyfrowane połączenie między przeglądarką a serwerem.
Jak działa połączenie szyfrowane między przeglądarką a serwerem?
Zasada pobierania strony przez SSL jest identyczna jak za pomocą zwykłego połączenia. Przeglądarka wysyła żądanie o elementy strony, a po zwróceniu ich przez serwer układa je lokalnie i wyświetla.
Różnica jest taka, że przed wysłaniem żądania przeglądarka uzgadnia z serwerem, aby szyfrować dane. W przypadku połączenia z użyciem SSL zapytanie do serwera oraz wszystkie elementy, które zwraca serwer są zaszyfrowane przed przesłaniem i odszyfrowane dopiero w przeglądarce. Oznacza to, że nie da się podsłuchać ani zmodyfikować takich danych między serwerem a klientem.
O tym, że dane są szyfrowane, informuje obecnie ikona kłódki w pasku przeglądarki (chociaż nie jest już zielona, jak było to wcześniej). Dane mogą być szyfrowane również bez takiego oznaczenia, np. w przypadku certyfikatów „self-signed” (samopodpisanych), które można wygenerować samodzielnie. Aby jednak przeglądarka wyświetliła kłódkę, certyfikat musi być wydany przez zaufane centrum certyfikacyjne, uznawane przez przeglądarki za wiarygodne. Warto pamiętać, że obecność kłódki jest wynikiem współpracy między przeglądarką a wystawcą certyfikatu, który musi spełnić ściśle określone wymogi.
Rodzaje certyfikatów SSL
Istnieje kilka rodzajów certyfikatów SSL, które różnią się przede wszystkim sposobem weryfikacji tożsamości właściciela strony, a nie samym poziomem szyfrowania. Wszystkie certyfikaty wyświetlają ikonę kłódki w przeglądarce, jednak te o wyższym poziomie weryfikacji mogą dodatkowo pokazywać nazwę organizacji, dla której zostały wystawione.
Certyfikaty DV (Domain Validation)
Certyfikaty SSL (Domain Validation) gwarantują szyfrowanie transmisji informacji w certyfikowanej domenie. Są to najpopularniejsze i najprostsze certyfikaty (najprostsze w zakresie wydawania).
Podczas wydawania certyfikatu następuje WYŁĄCZNIE weryfikacja domeny. Zakończenie procesu weryfikacyjnego ogranicza się do potwierdzenia zamówienia certyfikatu SSL wysyłanego na adres e-mail: „admin@domena-klienta.pl”
Oczywiście adres musi istnieć w domenie, dla której kupuje się certyfikat, w tym przypadku byłaby to domena: „domena-klienta.pl”. Kliknięcie linka wysłanego przez wystawcę certyfikatu na adres np. admin@domena-klienta.pl jest jedyną weryfikacją, że jest się właścicielem domeny, dla której chce się uzyskać certyfikat. Po kliknięciu linka certyfikat jest wystawiany.
Jeśli zajrzymy w szczegóły certyfikatu (np. klikając na ikonę kłódki w przeglądarce), zobaczymy informacje o domenie, ale nie znajdziemy tam danych dotyczących firmy lub organizacji, dla której certyfikat został wystawiony.
Takie certyfikaty są najtańsze, ich koszt wynosi około 40$ rocznie, jednak u niektórych resellerów można je nabyć nawet taniej.
Certyfikaty OV (Organization Validation)
Certyfikaty OV (Organization Validation) charakteryzują się bardziej zaawansowanym procesem weryfikacji. Przed ich wystawieniem niezbędne jest potwierdzenie danych firmy na podstawie odpowiednich dokumentów rejestrowych. Zazwyczaj proces ten wymaga przesłania dokumentów drogą mailową, faksem lub pocztą tradycyjną. W porównaniu do certyfikatów DV (Domain Validation), certyfikat OV zawiera informacje o firmie w szczegółach certyfikatu. Z perspektywy użytkownika przeglądarka wyświetla identyczną ikonę kłódki jak w przypadku certyfikatu DV.
Ceny certyfikatów OV to kwota 170$ na rok.
Certyfikaty EV (Extended Validation)
Zamówienie certyfikatu wymaga podania dokładnych danych i kompletu dokumentów w języku angielskim.
Firma certyfikująca może kontaktować się bezpośrednio z firmą występującą o certyfikat; konieczna jest znajomość języka angielskiego. Procedura wydania obejmuje:
A. Organization Authentication Requirements
B. Operational Existence Confirmation
C. Physical Address Confirmation
D. Telephone Number Confirmation
E. Domain Authentication Requirements
F. Order Verification Requirements
Cena certyfikatu EV to kwota 699$. U wielu resellerów można kupić te certyfikaty dużo taniej.
Zaletą tego certyfikatu jest to, że mogą wyświetlać nazwę organizacji obok standardowej ikony kłódki, co zwiększa zaufanie użytkowników. Z tego rozwiązania często korzystają instytucje finansowe, takie jak banki, aby podkreślić wiarygodność swojej strony internetowej.
Certyfikaty DV, OV, EV – a jak z bezpieczeństwem?
Jak widać na opisach powyżej, certyfikaty różnią się głównie „kwestiami formalnymi” – im bardziej zaawansowany certyfikat, tym więcej informacji o właścicielu strony jest w nim zawarte: DV nie ma żadnych, OV posiada informacje wewnątrz szczegółów certyfikatu, a EV wyświetla je w pasku adresu przeglądarki www.
Oprócz tego, certyfikaty te technicznie niczym się nie różnią – mają takie same algorytmy szyfrowania i takiej samej długości klucze szyfrujące.
Czy warto używać darmowych certyfikatów SSL?
Porównanie certyfikatów płatnych z certyfikatami darmowymi można obejrzeć w artykule: Czym różnią się bezpłatne certyfikaty SSL od płatnych certyfikatów SSL?
The article is prepared jointly by a group of people from the Smarthost Administrators.
- Bezpośredni styk Smarthost z Cloudflare - 19 września, 2024
- WordPress – konfiguracja wysyłki maili z autoryzacją SMTP - 15 lipca, 2024
- Jak zarejestrować nową domenę w smarthost.pl? - 12 lipca, 2023