Wystartuj z nami

Płatne i darmowe certyfikaty SSL – co warto o nich wiedzieć?

Jeszcze do niedawna certyfikaty SSL wykorzystywano głównie do zabezpieczania internetowych transakcji bankowych lub płatności elektronicznych. Jednak od pewnego czasu sytuacja ta się zmienia i coraz więcej domen zaopatrzonych zostaje w charakterystyczną „kłódeczkę". Z czego wynika ta modyfikacja? Jakie korzyści niesie ze sobą zastosowanie certyfikatu SSL i czym on tak naprawdę jest? Jakie różnice pojawiają się pomiędzy jego płatną i darmową wersją? Oto najważniejsze informacje dotyczące certyfikatu SSL, jego wykorzystania i odmian.

Certyfikat SSL – dlaczego jest coraz popularniejszy?

Odpowiadając na pytanie zawarte w nagłówku, taka sytuacja jest po części spowodowana rosnącą świadomością internautów na temat zagrożeń wynikających z udostępniania danych w sieci, a po części polityką Google, który premiuje dziś witryny zabezpieczone certyfikatami.

Sami użytkownicy zwracają też większą uwagę na to, czy strona posiada ochronę w postaci certyfikatu, np. jeśli do korzystania z jej zasobów potrzebna jest rejestracja wymagająca podania danych osobowych. Same przeglądarki informują natomiast, na przykład przy pomocy przekreślonego symbolu kłódki, że korzystamy ze strony niezabezpieczonej, niejako sugerując w ten sposób, że witryna może być potencjalnie niebezpieczna.

Czym jest i jak działa SSL?

W skrócie SSL (ang. Secure Sockets Layer), to zbiór reguł szyfrujących dane wysyłane między dwoma urządzeniami. W przypadku stron WWW, komunikacja ta odbywa się pomiędzy serwerem, na którym znajduje się witryna, a przeglądarką zainstalowaną na urządzeniu użytkownika strony.

W sytuacji gdy nie posiada ona certyfikatu SSL, wszelkie dane transferowane na linii serwer-przeglądarka (np. informacje pochodzące z formularzy) przesyłane są otwartym tekstem. Korzystając z połączenia zabezpieczonego mamy natomiast pewność, że nawet w razie „podsłuchania" takiej komunikacji, pozostają one zaszyfrowane.

Jest to możliwe dzięki temu, że przeglądarka w momencie nawiązania połączenia z serwerem „uzgadnia" z nim m.in. wersję protokołu SSL, algorytm szyfrowania oraz klucze szyfrujące, które będą wykorzystywane do przesyłania informacji między nimi. Po ustaleniu zasad, mechanizm zostaje wypróbowany poprzez wysłanie już zaszyfrowanego komunikatu testowego.

Rodzaje certyfikatów i najważniejsze różnice pomiędzy nimi

Certyfikaty SSL można sklasyfikować na podstawie dwóch kryteriów. Pierwszym z nich jest sposób weryfikacji podmiotu stosującego certyfikat:

DV (ang. Domain Validation) - rozwiązanie najpopularniejsze ze względu na prostotę i szybkość wydawania. W przypadku tych certyfikatów wystarczy tylko udowodnić, że jest się właścicielem domeny, do której ma być przypisany certyfikat. Taka weryfikacja może się odbywać na przykład poprzez kliknięcie w link weryfikacyjny wysłany na skrzynkę pocztową w domenie, której ma dotyczyć certyfikat (np. admin@domena.pl). Po wykonaniu tej czynności, certyfikat zostaje wystawiony, a w jego szczegółach znajdują się jedynie informacje na temat domeny, dla której został stworzony;

OV (ang. Organization Validation) – od certyfikatów DV różnią się tym, że oprócz sprawdzenia domeny, należy również zweryfikować właściciela wnioskującego o ich wystawienie. Zazwyczaj jest nim firma, której zadaniem jest przesłanie elektronicznie lub tradycyjnie skanów dokumentów potwierdzających dane przedsiębiorstwa. W szczegółach otrzymanego certyfikatu, oprócz informacji na temat domeny, pojawią się też dane firmy, dla której został on wystawiony;

EV (ang. Extended Validation), będący rozszerzoną wersją certyfikatu OV. W tym przypadku, poza dostarczeniem dokumentów potwierdzających dane przedsiębiorstwa w języku angielskim, należy się liczyć z tym, że firma wystawiająca certyfikat będzie się chciała osobiście skontaktować z jego właścicielami. Tego typu certyfikaty, oprócz informacji o domenie i firmie, w szczegółach umieszczają, obok symbolu kłódki, również nazwę firmy na zielonym tle.

Drugie kryterium podziału certyfikatów SSL obejmuje trzy następujące obszary działania:

standardowy, w którym certyfikat wystawiany jest dla jednej, konkretnej domeny (np. domena.pl) i specjalnej subdomeny WWW (www.domena.pl);

Wildcard, również tworzony dla jednej domeny, ale z obsługą wszystkich subdomen pierwszego stopnia (np. subdomena.domena.pl). Decydując się na niego trzeba pamiętać, że certyfikat Wildcard stworzony dla domeny domena.pl nie będzie działał dla subdomeny drugiego stopnia, czyli www.subdomena.domena.pl;

multi-domain, możliwy do wystawienia dla kilku różnych domen (np. domena.pl, inna-domena.pl i in.), subdomen (sub.domena.pl, sub2.inna-domena.pl, itp.) lub jednych i drugich (domena.pl, sub.inna-domena.pl, kolejna-domena.pl). Od standardowego certyfikatu różni się jeszcze tym, że subdomena WWW nie jest domyślnie zabezpieczona, więc jeśli chcemy chronić adresy: domena.pl i www.domena.pl, to na liście domen musimy umieścić oba adresy.

LET'S ENCRYPT, czyli SSL dla małych firm

Jak zostało już wspomniane, zabezpieczanie strony certyfikatem SSL powoli staje się standardem. W przypadku blogów, prywatnych stron lub innych niewielkich projektów, konieczność ich spełnienia generuje zwykle dodatkowe koszty w postaci obowiązku wykupienia certyfikatu. Właśnie dla takich inicjatyw powstał projekt „Let's Encrypt”. Pod tą nazwą kryje się organizacja non-profit, skupiająca się na dostarczeniu użytkownikom darmowych certyfikatów SSL. Oczywiście z ich otrzymaniem wiążą się pewne ograniczenia, ponieważ w przeciwnym wypadku istnienie płatnych wersji nie byłoby zasadne, ale nadal mowa o w pełni funkcjonalnych rozwiązaniach akceptowanych przez wszystkie znane przeglądarki.

Certyfikaty dostępne w ofercie „Let’s Encrypt” charakteryzują się następującymi własnościami:

• są zaliczane do opisywanego wcześniej typu DV, w przypadku którego wystarczy zweryfikować domenę;

• należy je odnawiać co 3 miesiące, podczas gdy płatne wersje pozostają ważne przez rok;

• w przypadku dużej liczby domen może się nie udać wystawienie certyfikatu dla każdej z nich, a to ze względu na limity narzucone przez Let's Encrypt.

Poruszając się w sieci codziennie odwiedzamy dziesiątki witryn, które pozwalają nam na dokonywanie płatności, robienie zakupów czy poszukiwanie wiarygodnych źródeł informacji. Ponieważ za każdym razem jesteśmy wówczas narażeni na atak ze strony cyberprzestępców, warto zdawać sobie sprawę z tego, czym jest certyfikat SSL i dlaczego należy go wdrożyć w swojej witrynie. Z punktu widzenia właścicieli strony WWW, dostępnych jest obecnie kilka odmian certyfikatu, a najmniejsze projekty mogą dodatkowo liczyć na wsparcie ze strony organizacji non-profit, takich jak „Let’s Encrypt”. Będąc użytkownikiem witryn internetowych, za każdym razem należy natomiast szukać na pasku adresu odwiedzanej strony symbolu zielonej kłódki. To jeden z podstawowych elementów świadczących o zabezpieczeniu naszych danych przed wyciekiem i szyfrowania informacji.

Jesteś gotowy na interaktywną wyprawę?
Podbijaj Galaktykę z nami!
Wyślij brief!
zamknij Strona korzysta z plików cookie w celu realizacji usług zgodnie z Polityką dotyczącą cookies. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce.