Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Dlaczego warto korzystać z certyfikatów SSL

Michał Trziszka 26-11-2010, 19:51

Stosowanie certyfikatów SSL to dziś podstawowa, najpopularniejsza metoda zabezpieczania poufnych danych przesyłanych między użytkownikiem sieci a stroną WWW. Rozwiązanie to jest niezbędne w e-commerce czy e-bankowości. W jaki sposób można wdrożyć na swojej stronie certyfikat i dlaczego warto to zrobić?

Historia protokołu SSL (Secure Socket Layer) sięga połowy lat 90. Mechanizm został stworzony przez firmę Netscape. W 1996 r. powołano specjalną grupę roboczą, której zadaniem było rozwijanie SSL. W ten sposób pod koniec XX wieku opublikowano specyfikację TLS 1.0 (Transport Layer Security).

TLS to obecnie standard, z którego korzystają certyfikaty SSL. Gwarantuje on poufność danych - informacje są szyfrowane. Jednocześnie uwierzytelnia serwer, z którym łączy się użytkownik. Potwierdza tym samym tożsamość strony internetowej. Dzięki temu klient e-banku czy e-sklepu ma pewność, że nie pada ofiarą oszustwa.

TLS/SSL wykorzystuje dziś zestawy algorytmów szyfrujących z kluczami o długości 128 lub więcej bitów. Algorytmy mogą być symetryczne (gdzie do kodowania i dekodowania wykorzystywany jest ten sam klucz) oraz asymetryczne (gdzie klucz szyfrujący jest zwykle publiczny, a deszyfrujący prywatny).

Jak to działa?

Certyfikat SSL charakteryzuje się tym, że działa wyłącznie w określonej stronie WWW. W internecie istnieją tak zwane Urzędy Certyfikacji (CA), które sprawdzają, czy dany podmiot faktycznie ma prawo do posługiwania się określoną domeną. Po złożeniu żądania CSR i przejściu weryfikacji certyfikat jest wystawiany.

W praktyce korzystanie ze strony WWW z certyfikatem można podzielić na kilka etapów:

  • przeglądarka wysyła zgłoszenie do serwera po wpisaniu adresu WWW,
  • serwer wysyła odpowiedź z certyfikatem,
  • przeglądarka odbiera odpowiedź i sprawdza, czy certyfikat jest ważny oraz zgodny z nazwą domeny,
  • w oparciu o klucz z serwera generowany jest klucz odpowiedzi, który przesyła się ponownie do serwera.

Od tego momentu możliwa jest bezpieczna wymiana danych między serwerem a komputerem, który nawiązał połączenie.

Co certyfikat daje internaucie?

Dzięki certyfikatowi SSL i szyfrowanemu połączeniu użytkownik internetu ma pewność, że jego dane osobowe nie wpadną w niepowołane ręce. Jest to szczególnie ważne podczas robienia zakupów online, brania udziału w aukcjach internetowych, logowania się do systemów bankowości elektronicznej.

Gdyby nie szyfrowanie, numer karty kredytowej czy adres zamieszkania kupującego mogłyby zostać ujawnione. Certyfikat - tak jak już wspomniano - weryfikuje dodatkowo tożsamość serwisu internetowego. Współczesne przeglądarki sprawdzają certyfikaty SSL i ostrzegają użytkownika, gdy coś jest nie w porządku.

Dzięki temu znacznie spada ryzyko ataku polegającego na podmianie elementów strony internetowej czy przekierowaniu użytkownika do innej witryny. Internauta może bardzo łatwo sprawdzić, czy serwis jest zabezpieczony. Wystarczy, że rzuci okiem na pasek adresu przeglądarki.

Powinien on być żółty albo zielony (dla lepszych certyfikatów EV), adres musi zaczynać się od https, a obok ma znajdować się kłódka (elementy te wyglądają różnie w różnych przeglądarkach). Po kliknięciu ikony kłódki internauta zobaczy, czy certyfikat SSL jest prawidłowy, jaki jest jego termin ważności i kto go wystawił.

Co certyfikat daje właścicielowi strony WWW?

Trudno sobie dziś wyobrazić sklep czy bank internetowy funkcjonujący bez certyfikatu SSL. Większość internautów nie wie dokładnie, na czym polega szyfrowanie stron WWW i weryfikowanie ich tożsamości. Coraz więcej osób poszukuje jednak, np. w witrynach e-commerce, charakterystycznej kłódki.

Kłódka na pasku adresu to symbol bezpieczeństwa, pewności i profesjonalizmu. Bez niego wielu klientów po prostu rezygnuje z zakupów. Do konkurencji na pewno przejdą ci bardziej świadomi, doświadczeni internauci (a to oni zazwyczaj wydają w e-sklepach najwięcej pieniędzy).

Dzięki certyfikatowi i szyfrowaniu właściciel strony WWW ma pewność, że poufne dane klientów nie wyciekną na zewnątrz. Jest to bardzo ważne, bo zabezpiecza e-sklep czy bank przed ewentualnymi pozwami, które mogłyby być skutkiem niezachowania wystarczającej staranności.

Certyfikat SSL buduje prestiż i zaufanie do witryny internetowej. Znacznie utrudnia życie wszelkiej maści cyberprzestępcom, który próbują gromadzić dane osobowe i wyłudzać w ten sposób pieniądze. Zmniejsza się ryzyko ataku hakerskiego czy oszustwa wymierzonego w sklep albo bank, co zmniejsza straty biznesowe.

Do kogo skierowany jest certyfikat SSL?

Poza wymienionymi na początku bankami oraz sklepami internetowymi certyfikaty SSL są obowiązkowe w serwisach aukcyjnych, stronach administracji publicznej, witrynach przetwarzających dane na temat stanu zdrowia internautów, wortalach firmowych z poufną zawartością i mechanizmem logowania.

Certyfikaty sprawdzą się także w serwisach uczelni i szkół, na serwerach pocztowych oraz zarządzających aplikacjami webowymi z mechanizmem logowania i w serwerach wyspecjalizowanych w przechowywaniu oraz udostępnianiu plików (standard SFTP).

Łatwa instalacja sprawia, że z certyfikatów SSL mogą korzystać również małe i średnie firmy. One także są narażone na ataki, a ewentualne pozwy ze strony niezadowolonych klientów są dla nich szczególnie dotkliwe. Certyfikaty powinny być np. w domenach, w których internauci logują się, aby sprawdzić stan zamówień.

Szyfrowanie zrobi na bardziej wymagających klienta dobre wrażenie. Uznają oni firmę za profesjonalnego gracza, który potrafi odnaleźć się w internecie. Przedsiębiorstwo zyska więc na tle mniej zaawansowanej i mniej obeznanej w sieci konkurencji.

Ile to kosztuje?

Prosty certyfikat SSL można kupić już za 40 zł netto za rok (Globe SSL). Jeśli administrator strony chce utrzymywać kilka subdomen i zabezpieczać je wszystkie, musi nabyć certyfikat z tak zwanym wildcardem. Tu przykładowa cena to 430 zł netto za rok (Globe SSL).

Oprócz GlobeSSL na rynku działa kilku innych niedrogich dostawców certyfikatów. Wśród nich można wymienić na przykład firmy RapidSSL (od 50 zł, wildcard od 350 zł netto za rok) oraz GeoTrust (od 380 zł netto za rok). Najlepsi, ale i najdrożsi dostawcy to VeriSign i Thawte (od 400 do nawet 4,5 tys. zł za certyfikaty korporacyjne).

Nie warto oszczędzać na bezpieczeństwie

Podczas wybierania certyfikatu należy kierować się prostą zasadą - im większa i bardziej skomplikowana jest witryna i im więcej ma użytkowników, tym lepszy mechanizm należy sobie sprawić. Ryzyko ataku rośnie bowiem wraz ze wzrostem popularności serwisu.

Certyfikaty SSL nie są w żadnym razie czymś, na czym warto oszczędzać. Kilkaset złotych wydanych raz na rok może uchronić przed wpadką i uratować reputację sklepu internetowego czy dostawcy aplikacji sieciowych. Dlatego zawsze trzeba mieć najlepszy certyfikat, na jaki firmę stać.

Na szczególną uwagę zasługują certyfikaty w wersji EV (Extended Validation Secure Sockets Layer). Są to rozszerzone wersje zwykłych certyfikatów SSL. Umożliwiają one skuteczniejszą walkę z phishingiem. Standard EV przechowuje nie tylko informacje o domenie i jej właścicielu, ale także o nazwie, lokalizacji i logo organizacji lub firmy.

 

Michał Trziszka
Dyrektor Zarządzający INFO-CAL
www.cal.pl


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *