pytanie zadane 10 czerwca 2016 w Internet przez użytkownika Gość
W jaki sposób przebiega szyfrowanie ssl, gdy wchodzę na stronę z zieloną kłódką?

1 odpowiedź

odpowiedź 10 czerwca 2016 przez użytkownika
edycja 13 listopada 2022 przez użytkownika

SSL (ang. Secure Socket Layer) - jest protokołem bezpieczeństwa w internecie. Za jego pomocą zabezpiecza się dane wymieniane między serwerem WWW (na którym znajduje się serwis internetowy), a przeglądarką internetową obsługiwaną przez internautę, przy pomocy szyfrowania asymetrycznego oraz certyfikatów X.509. Zapewnia on bezpieczeństwo, poufność i integralność danych w internecie. Strony na których logujemy się do systemu (np. bankowego, poczty) zawsze zabezpieczone są protokołem SSL.

Schemat działania protokołu SSL:

działanie szyfrowania ssl

  1.  Przeglądarka wysyła zapytanie do bezpiecznej strony (korzystając z protokółu https://)

  2. Serwer Web w odpowiedzi wysyła publiczny klucz razem z certyfikatem

  3. Przeglądarka sprawdza, czy certyfikat został wystawiony przez zaufaną organizację (root CA), czy jest nadal ważny i czy jest powiązany ze stroną

  4. Przeglądarka wykorzystuje publiczny klucz do szyfrowania wysyłanych danych

  5. Serwer odszyfrowuje dane przy użyciu prywatnego klucza

  6. Serwer Web odsyła zwrotnie dane, o które pytała przeglądarka

  7. Przeglądarka odszyfrowuje dane i wyświetla informacje

Jak widać certyfikat pozwala nam upewnić się, że przeglądany serwis jest zaufany. Zawarte są w nim takie informacje jak numer seryjny certyfikatu, data wygaśnięcia, cyfrowy podpis wystawcy czy nazwa właściciela (w zależności do rodzaju). Certyfikat zawiera w sobie również klucz publiczny i element kontrolny (hash), za pomocą którego można się upewnić, że certyfikat nie został sfałszowany. Z tą weryfikacją poradzi sobie praktycznie każda popularna przeglądarka internetowa, która ma załadowane magazyny główne certyfikatów CA. Co ważne, certyfikat nigdy nie zawiera w sobie klucza prywatnego.

Obecnie coraz więcej stron w internecie używa szyfrowania SSL. Czy dana strona posiada zainstalowany certyfikat SSL, świadczy zielona kłódka koło adresu internetowego (domeny):

zielona kłódka strony z ssl 

Ponadto przedrostek w adresie internetowym szyfrowanej strony, zaczyna się od nazwy protokołu https://, czyli z s na końcu. Żeby dana strona internetowa była szyfrowana, czyli obsługiwała certyfikat SSL, jej twórca powinien zadbać o jego wykupienie i zainstalowanie na serwerze hostingowym.

Rozróżnimy trzy podstawowe rodzaje certyfikatów SSL dla serwisów internetowych:

DV (Domain Validation) - walidacja domeny internetowej

OV (Organization Validation) - podstawowa walidacja organizacji/firmy

EV (Extended Validation) - rozszerzona walidacja organizacji/firmy

Wszystkie trzy rodzaje certyfikatów zapewniają poufność, bezpieczeństwo i integralność transmisji danych między serwerem a przeglądarką internetową. Jedyna różnica jest taka, że certyfikaty OV i EV potwierdzają dodatkowo właściciela certyfikatu, czyli firmę lub organizację na którą SSL jest wystawiony.


Jak uzyskać certyfikat SSL

Jeśli prowadzisz stronę internetową, najprostszym sposobem na uzyskanie certyfikatu SSL, jest jego wykupienie w firmie hostingowej, która udostępnia Ci serwer www. Wystarczy wybrać jeden z trzech rodzajów certyfikatu (o czym było wyżej), opłacić abonament i zainstalować zgodnie z instrukcją dostarczoną przez hostingodawcę. Oczywiście istnieje coś takiego jak darmowy certyfikat SSL do stron, o czym poniżej.


Darmowe certyfikaty SSL - Let's Encrypt

Poza komercyjnymi certyfikatami SSL, od 2016 roku na rynku pojawił się darmowy certyfikat SSL o nazwie Let's Encrypt. Został on stworzony przez amerykańską organizację i wspierany jest przez społeczność oraz firmy technologiczne takie jak Google, Cisco, OVH czy EFF. Let's Encrypt wydaje wyłącznie certyfikaty DV, czyli te z walidacją domeny. Jeśli interesuje Cię SSL w wersji OV lub EV, niestety będzie trzeba wybrać rozwiązanie komercyjne. Ale tak naprawdę certyfikat w wersji DV w zupełności wystarczy w większości serwisów internetowych, a webmasterzy otrzymują darmową alternatywę dla płatnych certyfikatów.
Certyfikaty wystawiane przez Lets Encrypt mają ważność przez 90 dni. Administratorzy sami powinni zadbać o jego rejestrację, instalację i potem odnowienie co ten czas. Aczkolwiek na polskim rynku są firmy hostingowe, które posiadają w swojej ofercie automaty, dzięki którym jednym kliknięciem możesz zainstalować ten certyfikat i potem będzie się on automatycznie odnawiał. Polecamy pod tym względem firmę, którą ma co ciekawe najtańsze domeny .pl, jak i automatyczne instalowane Lets Encrypt, do każdej domeny i subdomeny zaparkowanej na serwerze hostingowym.


Weryfikacja poprawności certyfikatu SSL

Jeśli już posiadasz zainstalowany certyfikat na swojej stronie www, to zawsze możesz zweryfikować jego poprawność i sprawdzić parametry techniczne na serwerze. W tym celu możesz skorzystać z darmowej usługi sprawdzania online:

https://www.ssllabs.com/ssltest/

Podając nazwę domeny serwis przeprowadzi dogłębną analizę konfigurację mechanizmów SSL na serwerze hostingowym, m.in. datę ważności certyfikatu, rodzaj używanych zabezpieczeń czy ścieżkę zaufania.

komentarz 1 kwietnia 2020 przez użytkownika Gość
Warto dodać że szyfrowanie SSL powinno już być na każdej stronie, nawet jeśli nie ma na niej logowania. Dzięki temu korzystając ze stron niktn po drodze od serwera do przegladarki nie podejrzy co robimy.
komentarz 20 stycznia 2021 przez użytkownika Gość
Teraz SSL to standard w internecie, i dobrze choć trochę dzięki temu bezpieczniejszy
komentarz 16 lipca 2021 przez użytkownika Gość
Rysunek jest świetny. Obrazowo pokazuje zasadę działania szyfrowania SSL.
komentarz 11 lutego 2022 przez użytkownika Gość
Co to jest SSL to wiedziałem ale jak dokladnie to dziala to dzięki obrazkowi już w miarę rozumiem. mimo że instalacja na serwerze (przerabiałem) jest dość prosta to nie pomyslałbym że tyle pod spodem się dzieje z tym szyfrowaniem.

Słyszałem też że dzięki temu że strona jest szyfrowana SSLem to nikt (nawet ISP) nie wie jakie podstrony ogląda internauta. Jedynie wie że dany gość wszedł na stronę. Także i pod tym wzgledem jest to fajne
komentarz 13 marca 2022 przez użytkownika Gość
W obecnych czasach strony że szyfrowania SSL czyli zielonej klodeczkie to radzę omijać szerokim łukiem gdyż mogą być niebezpieczne. Nawet jeśli się tam nie logujecie. Każdy szanujący sie webmaster nie pozwoli sobie na wystawienie strony publicznie bez SSL. Tym bardziej że właśnie sa te darmowe wymienione w artykule, więc to nie jest żaden wydatek tylko chwilę czasu żeby podpiąć pod domenę internetową
komentarz 24 października 2022 przez użytkownika Gość
świetnie opisane szczególnie ta infografika, bo jak to mówią obraz oddaje tysiąc słów i podobnie jest tutaj z sslem
...