Czy warto zabezpieczyć stronę www?

Przeglądając zasoby Internetu możemy dość często spotkać się z komunikatem przeglądarki, który ostrzega nas przed stroną potencjalnie niebezpieczną (komunikat: strona niezabezpieczona / strona niebezpieczna). Czy powinniśmy takiego komunikatu się obawiać i czy będąc właścicielami strony internetowej, powinniśmy zweryfikować naszą stronę internetową pod kątem występowania podobnego komunikatu?

Odpowiedź na oba pytania jest twierdząca. Dbając o bezpieczeństwo własne oraz bezpieczeństwo odwiedzających naszą witrynę internetową, powinniśmy podjąć działania mające na celu wdrożenie odpowiednich mechanizmów bezpieczeństwa, zapewniających poufną wymianę danych na linii: serwer – użytkownik, potwierdzonych odpowiednim certyfikatem SSL. Takie działanie nie tylko zapewni bezpieczeństwo danych transmitowanych pomiędzy odwiedzającymi stronę ale również pozytywnie wpłynie na ranking strony w wyszukiwarce Google! (firma Google od roku 2014 uwzględnia stosowanie certyfikatów bezpieczeństwa jako jedno z kryteriów pozycjonowania strony w wynikach wyszukiwania. Posiadając certyfikat możesz więc liczyć na większy ruch na swojej stronie!)

Co to jest certyfikat SSL?

Certyfikat SSL (ang: Secure Sockets Layer) jest to protokół sieciowy używany między innymi do zabezpieczenia transferu danych między przeglądarką internetową użytkownika a odwiedzaną witryną www, polegający na zastosowaniu odpowiednich algorytmów, technik i schematów. Wykorzystuje on dwa typy algorytmów szyfrowania:

• symetryczne – do szyfrowania i deszyfrowania danych używany jest ten sam klucz; znając klucz szyfrujący możemy dokonać również deszyfracji danych (wyznaczyć klucz deszyfrujący);
• asymetryczne (z kluczem publicznym) – do szyfrowania i deszyfrowania używane są różne klucze; znając klucz szyfrujący nie możemy odszyfrować wiadomości (klucza deszyfrującego nie da się w prosty sposób wyznaczyć z klucza szyfrującego); klucz służący do szyfrowania jest udostępniany publicznie (klucz publiczny), ale informację nim zaszyfrowaną może odczytać jedynie posiadacz klucza deszyfrującego (klucz prywatny), który nie jest nikomu ujawniany;

Podwaliny projektu zostały zbudowane przez firmę Netscape już w 1994 roku.

Jak to działa?

Komunikacja pomiędzy serwerem a użytkownikiem zabezpieczona poprzez certyfikat SSL zbudowana jest na dwóch filarach: szyfrowania (które zabezpiecza możliwość „przechwycenia” transmitowanych danych „po drodze”) oraz uwierzytelniania (które potwierdza tożsamość obu stron komunikacji). W przypadku wykorzystania zabezpieczonej transmisji do obsługi strony www (tzw. HTTPS), komunikacja pomiędzy serwerem a użytkownikiem sprowadza się do następujących kroków:

• Użytkownik łączy się z usługą obsługującą SSL, taką jak witryna internetowa;
• Aplikacja użytkownika żąda klucza publicznego serwera w zamian za swój własny klucz publiczny. Ta wymiana kluczy publicznych umożliwia obu stronom szyfrowanie wiadomości, które może odczytać tylko druga strona;
• Gdy użytkownik wysyła wiadomość do serwera, aplikacja używa klucza publicznego serwera do zaszyfrowania wiadomości;
• Serwer odbiera wiadomość od użytkownika i odszyfrowuje ją przy użyciu swojego klucza prywatnego. Wiadomości odsyłane do przeglądarki są szyfrowane w podobny sposób za pomocą klucza publicznego wygenerowanego przez aplikację użytkownika;

Gdy na stronie internetowej włączony jest protokół SSL, adres URL będzie miał prefiks „https” zamiast prefiksu „http”. Większość przeglądarek wyświetla również ikonę kłódki lub zielony pasek obok adresu URL, w zależności od poziomu szyfrowania.

Certyfikaty SSL są wydawane za pośrednictwem urzędów certyfikacji (CA), które są podmiotami, którym powierza się sprzedaż i dystrybucję certyfikatów SSL. Urzędy certyfikacji stanowią podstawę SSL, dostarczając nowe certyfikaty i weryfikując istniejące certyfikaty.

Typy certyfikatów

Występują trzy typy certyfikatów, które różnią się od siebie poziomem szyfrowania i zaufania, są one dedykowane różnym podmiotom. Jeżeli zależy Tobie na zabezpieczeniu niekomercyjnej strony internetowej, bloga, niewielkiego sklepu internetowego – odpowiednim wyborem dla Ciebie powinien być tani certyfikat, tzw. certyfikat DV (ang. Domain Validation). W przypadku prowadzenia dużego sklepu internetowego, serwisu biznesowego (np. strona firmowa), urzędu administracji publicznej czy serwisu pocztowego – rozważ certyfikat OV (ang. Organization Validated). Ubieganie się o taki certyfikat zajmuje nieco więcej czasu niż DV ponieważ wymaga zweryfikowania Twoich praw do domeny. Będą potrzebne dokumenty rejestrowe firmy i potwierdzenie tożsamości. Trzeci typ certyfikatu, EV (ang. Extended Validation) jest dedykowany specjalnym podmiotom i zapewnia najwyższy możliwy poziom bezpieczeństwa. Najczęściej wykorzystywany jest przez bankowość elektroniczną, prestiżowe sklepy, instytucje finansowe, ubezpieczeniowe oraz medyczne. Ten certyfikat wyróżniony jest w przeglądarce dodatkowym polem, na którym obok kłódki wyświetla się pełna nazwa firmy.

Jak rozpocząć?

Pierwszym krokiem jest wybór typu certyfikatu oraz dostawcy, ciekawe oferty znajdziesz np. u Cyber Folks. Certyfikatów można używać dla pojedynczej domeny, domeny z wieloma subdomenami lub dla wielu domen. Urzędy certyfikacji mogą zażądać różnych poziomów walidacji w zależności od typu wybranego certyfikatu: od sprawdzenia zarejestrowanego właściciela domeny po zażądanie dokumentacji do identyfikacji prawnej. Pamiętaj, że każdy certyfikat ma ograniczony okres ważności. Zwykle jest to jeden rok. Koniec okresu ważności możemy sprawdzić klikając na kłódkę przy adresie URL na następnie na pole Certyfikat. Instalacja certyfikatu na stronie www (np. WordPress) nie jest procesem skomplikowanym i sprawdzeni dostawcy wspierają proces poprzez udostępnianie instrukcji procedowania i/lub konsultacje telefoniczne.

Czy warto? Korzyści płynące z SSL

Stosowanie protokołu SSL buduje zaufanie, zapewniając użytkownikom bezpieczny kanał komunikacji z usługami online. Użytkownicy wiedzą, że ich dane są bezpiecznie przesyłane wobec czego chętniej korzystają z usług zaufanych podmiotów. Przekłada się to na wyższą retencję oraz mniejszą ilość incydentów dotyczących kradzieży danych (RODO).

Tylko w 2012 roku ponad 16 milionów osób padło ofiarą kradzieży tożsamości z powodu niewłaściwie chronionych danych. Nasza zależność od komunikacji cyfrowej sprawiła, że liczba ta będzie rosła, chyba że podmioty świadczące usługi w sieci, podejmą dodatkowe kroki w celu zabezpieczenia danych użytkowników. Stosowanie certyfikatów SSL jest jednym z nich.

Pytania?

Masz problem? Potrzebujesz naszej pomocy/wskazówki? Skorzystaj z jednej dostępnych z opcji: napisz do nas w komentarzach korzystając z pola poniżej, skorzystaj z forum gdzie możesz uzyskać pomoc od innych użytkowników naszej strony lub wyślij do nas wiadomość!