SSL (ang. Secure Socket Layer) - jest protokołem bezpieczeństwa w internecie. Za jego pomocą zabezpiecza się dane wymieniane między serwerem WWW (na którym znajduje się serwis internetowy), a przeglądarką internetową obsługiwaną przez internautę, przy pomocy szyfrowania asymetrycznego oraz certyfikatów X.509. Zapewnia on bezpieczeństwo, poufność i integralność danych w internecie. Strony na których logujemy się do systemu (np. bankowego, poczty) zawsze zabezpieczone są protokołem SSL.
Schemat działania protokołu SSL:
-
Przeglądarka wysyła zapytanie do bezpiecznej strony (korzystając z protokółu https://)
-
Serwer Web w odpowiedzi wysyła publiczny klucz razem z certyfikatem
-
Przeglądarka sprawdza, czy certyfikat został wystawiony przez zaufaną organizację (root CA), czy jest nadal ważny i czy jest powiązany ze stroną
-
Przeglądarka wykorzystuje publiczny klucz do szyfrowania wysyłanych danych
-
Serwer odszyfrowuje dane przy użyciu prywatnego klucza
-
Serwer Web odsyła zwrotnie dane, o które pytała przeglądarka
-
Przeglądarka odszyfrowuje dane i wyświetla informacje
Jak widać certyfikat pozwala nam upewnić się, że przeglądany serwis jest zaufany. Zawarte są w nim takie informacje jak numer seryjny certyfikatu, data wygaśnięcia, cyfrowy podpis wystawcy czy nazwa właściciela (w zależności do rodzaju). Certyfikat zawiera w sobie również klucz publiczny i element kontrolny (hash), za pomocą którego można się upewnić, że certyfikat nie został sfałszowany. Z tą weryfikacją poradzi sobie praktycznie każda popularna przeglądarka internetowa, która ma załadowane magazyny główne certyfikatów CA. Co ważne, certyfikat nigdy nie zawiera w sobie klucza prywatnego.
Obecnie coraz więcej stron w internecie używa szyfrowania SSL. Czy dana strona posiada zainstalowany certyfikat SSL, świadczy zielona kłódka koło adresu internetowego (domeny):
Ponadto przedrostek w adresie internetowym szyfrowanej strony, zaczyna się od nazwy protokołu https://, czyli z s na końcu. Żeby dana strona internetowa była szyfrowana, czyli obsługiwała certyfikat SSL, jej twórca powinien zadbać o jego wykupienie i zainstalowanie na serwerze hostingowym.
Rozróżnimy trzy podstawowe rodzaje certyfikatów SSL dla serwisów internetowych:
DV (Domain Validation) - walidacja domeny internetowej
OV (Organization Validation) - podstawowa walidacja organizacji/firmy
EV (Extended Validation) - rozszerzona walidacja organizacji/firmy
Wszystkie trzy rodzaje certyfikatów zapewniają poufność, bezpieczeństwo i integralność transmisji danych między serwerem a przeglądarką internetową. Jedyna różnica jest taka, że certyfikaty OV i EV potwierdzają dodatkowo właściciela certyfikatu, czyli firmę lub organizację na którą SSL jest wystawiony.
Jak uzyskać certyfikat SSL
Jeśli prowadzisz stronę internetową, najprostszym sposobem na uzyskanie certyfikatu SSL, jest jego wykupienie w firmie hostingowej, która udostępnia Ci serwer www. Wystarczy wybrać jeden z trzech rodzajów certyfikatu (o czym było wyżej), opłacić abonament i zainstalować zgodnie z instrukcją dostarczoną przez hostingodawcę. Oczywiście istnieje coś takiego jak darmowy certyfikat SSL do stron, o czym poniżej.
Darmowe certyfikaty SSL - Let's Encrypt
Poza komercyjnymi certyfikatami SSL, od 2016 roku na rynku pojawił się darmowy certyfikat SSL o nazwie Let's Encrypt. Został on stworzony przez amerykańską organizację i wspierany jest przez społeczność oraz firmy technologiczne takie jak Google, Cisco, OVH czy EFF. Let's Encrypt wydaje wyłącznie certyfikaty DV, czyli te z walidacją domeny. Jeśli interesuje Cię SSL w wersji OV lub EV, niestety będzie trzeba wybrać rozwiązanie komercyjne. Ale tak naprawdę certyfikat w wersji DV w zupełności wystarczy w większości serwisów internetowych, a webmasterzy otrzymują darmową alternatywę dla płatnych certyfikatów.
Certyfikaty wystawiane przez Lets Encrypt mają ważność przez 90 dni. Administratorzy sami powinni zadbać o jego rejestrację, instalację i potem odnowienie co ten czas. Aczkolwiek na polskim rynku są firmy hostingowe, które posiadają w swojej ofercie automaty, dzięki którym jednym kliknięciem możesz zainstalować ten certyfikat i potem będzie się on automatycznie odnawiał. Polecamy pod tym względem firmę, którą ma co ciekawe najtańsze domeny .pl, jak i automatyczne instalowane Lets Encrypt, do każdej domeny i subdomeny zaparkowanej na serwerze hostingowym.
Weryfikacja poprawności certyfikatu SSL
Jeśli już posiadasz zainstalowany certyfikat na swojej stronie www, to zawsze możesz zweryfikować jego poprawność i sprawdzić parametry techniczne na serwerze. W tym celu możesz skorzystać z darmowej usługi sprawdzania online:
https://www.ssllabs.com/ssltest/
Podając nazwę domeny serwis przeprowadzi dogłębną analizę konfigurację mechanizmów SSL na serwerze hostingowym, m.in. datę ważności certyfikatu, rodzaj używanych zabezpieczeń czy ścieżkę zaufania.
