Co to jest certyfikat SSL?
Certyfikat SSL (Secure Socket Layer) to cyfrowy skrypt komputerowy lub fragment kodu, który potwierdza wiarygodność danych zawartych na stronie internetowej oraz informacji o jej właścicielu. Certyfikaty wydawane są jedynie przez zaufane urzędy certyfikacji (CA), a kryteria weryfikacji są bardzo rygorystyczne. Najtrudniej uzyskać certyfikat najwyższego poziomu walidacji Extended Validation (EV).
W jaki sposób dane na stronach internetowych są zabezpieczane i co jest objęte ochroną?
Certyfikat powinna mieć każda witryna, która wymaga od użytkownika logowania. Przypisany jest do określonego serwera i adresu internetowego, dla którego został wykupiony.
SSL gwarantuje bezpieczeństwo w trakcie przesyłania danych, udostępnianych przez użytkowników w czasie wykonywania wszelkich transakcji online np. podczas wypełniania formularzy internetowych, dokonywania płatności, rejestracji do lekarza. Ochrona dotyczy wszystkich urządzeń, z których użytkownik korzysta w czasie wykonywania tych czynności. Poszczególne dane - przekazywane pomiędzy osobą odwiedzającą a serwerem - w pierwszej kolejności są odpowiednio szyfrowane, a dopiero później bezpiecznie przekazywane do miejsca przeznaczenia. Działania te zapewniają poufność, zapobiegają wprowadzaniu zmian, oglądaniu danych przez osoby trzecie, gwarantują także ich bezpieczne dotarcie do celu. Brak certyfikatu SSL powoduje, iż całość połączenia staje się publiczna. Wszystkie prywatne informacje, przekazywane w czasie odwiedzin na stronie oraz dane z wykonanych operacji mogą trafić w niepowołane ręce.
W jaki sposób strona posiadająca certyfikat jest oznaczona w przeglądarce Google?
Adresy niezabezpieczonych stron rozpoczynają się od protokołu http:// (HyperText Transfer Protocol), który jest częścią adresu witryny. Ponadto, na pasku adresu widoczne jest oznaczenie, np. (i) oraz informacja, że strona jest niezabezpieczona i potencjalnie niebezpieczna. Począwszy od miesiąca lipca dostęp do tych witryn będzie ograniczony, gdyż np. przeglądarka Chrome, z której korzysta ponad 50% użytkowników internetu tych treści nie pokaże. www.w3counter.com/globalstats.php
Zabezpieczone adresy internetowe zaczynają się od protokołu https:// (HyperText Transfer Protocol Secure). Dodatkowo, na pasku adresu widoczna jest zielona kłódka i słowo „Bezpieczna”.
Strona zabezpieczona certyfikatem najwyższego poziomu walidacji (EV), na pasku adresu ma również wyświetlaną nazwę firmy, dla której certyfikat został wystawiony. Istnieje możliwość sprawdzenia czy certyfikat na danej stronie internetowej jest poprawny oraz przez jakie CA został wystawiony. Na przykład, w przeglądarce Chrome należy kliknąć klawisz F12 i w oknie z prawej strony wybrać >> Security.
Jakie rodzaje certyfikatów są dostępne na rynku?
Wyróżnić można kilka. Najbardziej popularnym jest certyfikat DV (Domain Validated) z uwagi na dość prosty tryb wydawania. Kolejny, o wyższym standardzie uwierzytelnienia to OV (Organization Validation). Certyfikatem z najwyższej półki jest zdecydowanie EV (Extended Validation). Wybierają go najczęściej banki, instytucje finansowe i inne organizacje, którym zależy na najlepszych uwierzytelnieniach. Wymienić też należy Wildcard (dla ochrony domen z subdomenami), Multi-Domain (dla posiadaczy wielu domen) czy certyfikat Multi-Domain Wildcard (wiele domen z subdomenami).
Na rynku dostępne są bezpłatne SSL, (tzw. Open SSL), jednak ich wybór jest bardzo skromny, uwierzytelnienie nie zawsze spełniające wymagania, nie mają też gwarancji otrzymania rekompensaty w przypadku włamania na stronę. Trzeba ponadto samodzielnie - dość często - dokonywać aktualizacji.
Czy warto inwestować w certyfikat SSL?
Zdecydowanie tak!
Przede wszystkim stajemy się wiarygodni dla użytkowników, którzy widzą, iż dbamy o bezpieczeństwo ich danych.
Posiadanie certyfikatu jest bardzo istotne również z punktu widzenia RODO. Rozporządzenie jasno określa wymagania, jakie muszą być spełnione przy właściwej ochronie danych.
Dzięki SSL możemy uniknąć wielomilionowych kar za niewłaściwe przechowywanie informacji poufnych.
W przypadku ataku hakera, w wyniku którego nastąpi złamanie kodu SSL, istnieje możliwość otrzymania rekompensaty z tego tytułu (nie dotyczy bezpłatnych SSL).
Witryna, która posiada certyfikat jest promowana przez Google, tzn. pozycjonuje się wyżej w wynikach wyszukiwania, ponad stronami niezabezpieczonymi.