Geex » Wiadomości » Co to jest certyfikat SSL? Jak wpływa na bezpieczeństwo połączenia internetowego?

Co to jest certyfikat SSL? Jak wpływa na bezpieczeństwo połączenia internetowego?

Robert Koncewicz

3 lata temu, 21 lipca 2021

Kłódka, która pojawia się obok adresu strony w przeglądarce internetowej. Komunikat o szyfrowanym połączeniu przy transakcji bankowej. Albo informacje o stronie, która potencjalnie może być niebezpieczna. Z pewnością każdy, kto często korzysta z internetu, zwrócił uwagę na jeden z podanych przykładów. Wszystkie sprowadzają się do bezpieczeństwa w sieci, które jest bezcenne. Między innymi dlatego powstał certyfikat SSL, który odpowiada za to, by przesyłane dane czy pieniądze nie trafiły w niepowołane ręce.

Certyfikat SSL – co to jest?

Certyfikat SSL (Secure Socket Layer) to protokół sieciowy, który stał się standardem szyfrowania danych przesyłanych w Internecie. Zapewnia bezpieczne połączenie pomiędzy przeglądarką a serwerem, na którym znajduje się strona. Protokół jest uniwersalny, a więc służy także do szyfrowania poczty e-mail czy połączenia z serwerem FTP. SSL stał się podstawowym zabezpieczeniem płatności online, a także – już teraz – większości stron WWW.

Jeśli połączenie jest bezpieczne, przy adresie witryny pojawi się mała kłódka. Po kliknięciu w nią, uzyskamy podstawowe informacje o zastosowanym certyfikacie. Stronę z certyfikatem SSL wyróżnia także adres rozpoczynający się od https://, a nie standardowego http://. Jeśli dana strona nie posiada zabezpieczenia, zamiast wspomnianej kłódki przy adresie pojawi się słowo Niezabezpieczona. O ile można przymrużyć oko na bloga bez certyfikatu (jeśli nie wymaga logowania), to już sklep, przez który dokonujemy płatności, rzeczywiście może być niebezpieczny i zwyczajnie lepiej z jego usług zrezygnować.

Sprawdź domenę! Kłódka przy adresie to nie wszystko

Pamiętaj, że wyświetlona kłódka informuje o tym, że dana strona korzysta z certyfikatu SSL, czyli potwierdza szyfrowane połączenie pomiędzy Twoim komputerem a serwerem. Danych nie odczyta ktoś, kto chciałby je przechwycić po drodze. A co, jeśli to właśnie na samym serwerze czeka oszust? Dlatego zawsze kiedy wprowadzasz ważne dla Ciebie dane i/lub przesyłasz pieniądze, obowiązkowo sprawdź domenę strony. Szczególnie jeśli korzystasz z portali aukcyjnych czy ogłoszeniowych i Twój kontrahent przesyła Ci link do wpłaty przez Whatsapp lub inną drogą.

Atak, o którym mowa opiera się na bardzo podobnych domenach, które na pierwszy rzut oka ciężko rozróżnić od prawidłowych. Przykładowo, poprawny adres Geeksa to:

https://geex.x-kom.pl

Jeśli ktoś chciałby się pod Geeksa podszyć, mógłby podrzucić takie linki:

https://geex.xkom.pl
https://gexx.xcom.pl
https://geex.com.pl

Są to tylko 3 przykłady, a tak naprawdę liczba kombinacji jest nieograniczona. Oczywiście przy każdym z takich linków pokazałaby się wspomniana wcześniej kłódka, ponieważ oszuści wiedzą, że SSL jest podstawą i wystarczy choćby darmowy certyfikat, byle strona wyglądała na zabezpieczoną.

Dowiedz się więcej:

Jak działa certyfikat SSL?

Niezabezpieczone dane wysyłane są w formie tekstu, a coś takiego niezwykle łatwo może trafić w niepowołane ręce. W przypadku połączenia, które jest zabezpieczone, przeglądarka najpierw przesyła prośbę do serwera, który ma potwierdzić swoją tożsamość. Serwer przesyła kopię certyfikatu, a przeglądarka sprawdza, czy jest ważny i wiarygodny. Jeśli wszystko się zgadza, pomiędzy przeglądarką a serwerem rozpocznie się szyfrowana sesja.

Rodzaje certyfikatów SSL

Wyróżniamy trzy główne rodzaje certyfikatów SSL:

EV (Extended Validation) – cechuje się najwyższym poziomem zabezpieczeń, a firma, która chce taki certyfikat zdobyć, jest poddawana szczegółowej weryfikacji. Musi mieć pełne prawo do korzystania z domeny.
OV (Organization Validation) – przyznanie certyfikatu odbywa się poprzez sprawdzenie rządowych baz danych. Weryfikacja odbywa się w trybie online, a w razie wątpliwości Urząd Certyfikacji może poprosić o dodatkowe dokumenty.
DV (Domain Validation) – weryfikacja przebiega automatycznie, a żeby taki certyfikat uzyskać, potrzebne jest odpowiednie konto e-mail w domenie, na którą ma zostać wydany.

Korzyści z korzystania z SSL

Posiadanie certyfikatu SSL niesie ze sobą wiele korzyści, przede wszystkim:

Bezpieczeństwo i zaufanie do strony – taka jest idea SSL, by połączenie przez szyfrowanie danych było bezpieczne. Dzięki temu wszystko, co przesyłamy pomiędzy komputerem a serwerem, trudniej przechwycić. Jako że przeglądarki internetowe oznaczają teraz strony zabezpieczone i niezabezpieczone, użytkownik od razu otrzymuje informacje, czy warto zaufać danej stronie. Ma to znaczenie szczególnie w miejscach, w których zostawia się swoje dane oraz pieniądze. W końcu nikt nie chce, by cokolwiek trafiło w niepowołane ręce.
Lepsze pozycjonowanie strony w wyszukiwarkach – zdecydowanie wyższe wyniki w wyszukiwarce uzyskują strony, które zabezpieczone są protokołem SSL. Śmiało można stwierdzić, że np. Google wręcz promuje witryny, które są bezpieczne dla użytkownika. Posiadanie certyfikatu wpływa więc na ruch uzyskiwany z wyszukiwania.
Wiarygodność – certyfikat SSL jest niezbędny dla osób, które prowadzą działalność gospodarczą i promują firmę w Internecie. Miejsca, w których dba się o bezpieczeństwo zwiększają wiarygodność marki i pozytywnie wpływają jej prestiż. Klienci chcą mieć pewność, że dany sklep czy usługa są godne zaufania.

Jeśli zamierzasz założyć stronę internetową, oprócz znalezienia serwera i domeny musisz również zaopatrzyć się w certyfikat SSL. Bez tego nawet prosta strona czy blog będą wyglądać dla użytkownika na niebezpieczne.

Ile kosztuje certyfikat SSL i na co zwrócić uwagę przed zakupem?

Twoja strona jest niezabezpieczona? Nie pozostaje nic innego jak porozglądać się za certyfikatem SSL. Ich ceny różnią się w zależności od usługodawców i trzeba przyznać, że rozbieżność jest dość spora: od 100 do nawet 1000 zł rocznie. Kwota zależna jest też od typu certyfikatu, a więc standardowy rodzaj – DV – to koszt około 100 zł za rok.

Alternatywnie na stronie zastosować można również darmowe Let’s Encrypt, które jednak trzeba odnawiać co trzy miesiące. Trzeba też pamiętać, że sprawdzi się w przypadku prostych stron lub blogów, gdzie użytkownicy nie zostawiają swoich danych czy nie dokonują płatności.

Warto pamiętać, że dany certyfikat wystawiany jest dla jednej domeny. Jeśli strona posiada subdomeny, potrzebny będzie certyfikat Wildcard, który ochroni również domeny drugiego rzędu (np. sklep.twojastrona.pl).

Ważne, żeby certyfikat obsługiwał adresy z przedrostkiem www. Jeśli tego zabraknie, mimo jego wykupienia, po wejściu na stronę przez www, będzie ona wyświetlana jako niezabezpieczona. Warto też zwrócić uwagę na dostępne metody weryfikacji – najlepiej, żeby było ich kilka, np. weryfikacja przez e-mail lub plik tekstowy. Klucz certyfikatu powinien mieć też długość co najmniej 2048 bitów, by rzeczywiście wpływało to na zwiększenie bezpieczeństwa.

Na koniec warto zorientować się, czy usługodawca może wypłacić odszkodowanie w przypadku złamania certyfikatu. Zdarza się to niezwykle rzadko, ale nie jest niemożliwe.

Źródła: własne / home.pl / ssl24.pl

Sprawdź również:

Robert Koncewicz

Zdecydowanie za dużo czasu spędza w mediach społecznościowych, a od słuchania muzyki podobno w końcu ogłuchnie. W wolnym czasie jeździ na rowerze lub ogląda mecze piłki nożnej. Czasami znika w świecie Football Managera.