DLACZEGO STOSOWANIE CERTYFIKATÓW SSL JEST WAŻNE?

DLACZEGO STOSOWANIE CERTYFIKATÓW SSL JEST WAŻNE
DLACZEGO STOSOWANIE CERTYFIKATÓW SSL JEST WAŻNE?

 

W ostatnim czasie dotarło do nas wiele pytań, dlaczego stosowanie certyfikatu SSL na stronie internetowej banku jest ważne. Zwróciliśmy się więc do specjalisty w tej dziedzinie – Pana Wojciecha Kundy z firmy NQ.pl ze Skawiny z prośbą o wyjaśnienie problemu. Firma NQ.pl  https://nq.pl już od 15 lat jest cenionym dostawcą usług hostingowych m.in. firma hostuje i supportuje domeny banków spółdzielczych. To, co wyróżnia firmę NQ, to kompleksowa oferta. 

Poniżej przedstawiamy opracowanie dotyczące certyfikatów SSL autorstwa Pana Wojciecha Kundy.

Dlaczego stosowanie certyfikatów SSL jest tak ważne?

Certyfikaty SSL zainstalowane w serwerze WWW zapewniają możliwość szyfrowania transmisji danych, wymienianych pomiędzy serwerem WWW, a przeglądarką stron internetowych (Chrome, Firefox, Safari, Edge, etc.) użytkownika.

Zastosowanie kryptografii jest koniecznością w przypadku stron, za pomocą których przekazywane są poufne dane, np. hasła, kody, dane karty płatniczej, dane osobowe, itd. Z tego powodu już pierwsze aplikacje internetowe pozwalające na dostęp do rachunków bankowych poprzez sieć Internet były chronione certyfikatami SSL.

 

Od kilku lat widoczny jest trend mający na celu sukcesywne zwiększanie bezpieczeństwa całej sieci Internet. Jest to czynione z uwagi na dobro nas wszystkich – użytkowników tej sieci. Jednym z elementów tego dążenia jest upowszechnienie certyfikatów SSL tak, aby każda strona internetowa zapewniała bezpieczeństwo transmisji danych. Wiodącą rolę w tym zakresie odgrywa koncern Google, będący jednocześnie producentem przeglądarki Chrome. Google sukcesywnie, w kolejnych wersjach swojej przeglądarki stron internetowych, piętnuje strony internetowe pozbawione ochrony certyfikatem SSL. W ślad za Google podążają producenci innych przeglądarek (Firefox, Safari, etc.). Obecnie wywołanie strony pozbawionej ochrony certyfikatem SSL skutkuje oznaczeniem tej strony jako “niezabezpieczonej“. Etykieta jest jeszcze bardziej wyrazista na tych podstronach serwisu WWW, które udostępniają jakiekolwiek formularze (np. kontaktowy) lub logowania.
Działania opisane powyżej, jak również wiele innych, wymuszają upowszechnienie stosowania certyfikatów SSL na stronach internetowych. Według raportu publikowanego przez Google (https://transparencyreport.google.com/https/overview) obecnie około 95% ruchu odbywa się z zastosowaniem certyfikatów SSL.  Dlatego warto na swojej stronie WWW mieć zainstalowany certyfikat SSL.

Certyfikaty SSL darmowe i komercyjne.

Aby certyfikat SSL dawał jakąkolwiek korzyść, powinien zostać wystawiony przez uprawnioną do tego celu instytucję wysokiego zaufania. Na świecie funkcjonuje niewielka liczba takich instytucji, a każda z nich dzięki swojej wiarygodności jest m.in. partnerem producentów przeglądarek stron WWW. Dzięki tej współpracy, certyfikat SSL wystawiony przez jedną z tych instytucji jest honorowany i poprawnie obsługiwany w przeglądarkach stron WWW. Instytucje te prowadzą działalność komercyjną, przez co wystawiane przez nie certyfikaty podlegają opłacie. Opłaty za wydanie certyfikatów SSL są pobierane od klientów przez pośredników; m.in. każda firma świadcząca usługi hostingu stron WWW oferuje takie produkty.

Jednym z elementów popularyzacji certyfikatów SSL było udostępnienie darmowych certyfikatów o nazwie Let’s Encrypt w 2015 roku. Koncern Google wraz z kilkoma partnerami powołał do życia instytucję certyfikującą, która rozpoczęła wydawanie darmowych certyfikatów SSL dla wszystkich chętnych. Trzeba jednak pamiętać, że darmowy certyfikat nie oznacza jego darmowego używania. Proces zamówienia i odebrania takiego certyfikatu wymaga stworzenia i użycia specjalistycznego oprogramowania. Koszt utrzymania w działaniu takiego oprogramowania spada zazwyczaj na firmy hostingowe, które chcą oferować swoim klientom darmowe certyfikaty SSL.

Zarówno darmowe certyfikaty Let’s Encrypt jak i ich komercyjne odpowiedniki zapewniają zwykle ten sam poziom kryptografii (szyfrowania danych). Różnica polega m.in. na braku jakichkolwiek gwarancji ze strony tych pierwszych, podczas gdy wystawcy certyfikatów komercyjnych oferują wysokie kwoty gwarancyjne (rzędu setek tysięcy i milionów USD) w razie złamania transmisji szyfrowanej danym certyfikatem.

 

Kiedy korzystać z darmowych certyfikatów SSL, a kiedy lepiej wybrać rozwiązanie komercyjne?
Darmowe certyfikaty SSL są wystawiane na okres 3 miesięcy. Przed upływem tego czasu muszą zostać odnowione, czyli na nowo zamówione, odebrane od wystawcy, a następnie zainstalowane w serwerze WWW. Dla utrzymania statusu “darmowego rozwiązania” proces ten jest zautomatyzowany i realizowany bez udziału człowieka. Nie podlega więc również działaniom kontrolnym. W razie wystąpienia jakiegokolwiek błędu w działaniu systemu, strona WWW przestanie działać poprawnie. Wiedzy tej operator hostingu nie będzie posiadał. Na błąd może zwrócić uwagę albo właściciel strony, kontrolując jej pracę każdego dnia, albo inna osoba będąca np. klientem właściciela strony WWW.

Z kolei, w przypadku certyfikatów komercyjnych, za proces jego zainstalowania w serwerze WWW nierzadko odpowiada operator hostingu. W procedurze przyjętej przez NQ.pl, każdy zainstalowany certyfikat jest poddawany testom z użyciem narzędzia SSLLabs. Dopiero poprawny wynik działania tego narzędzia pozwala na wygenerowanie do klienta informacji o fakcie zainstalowania i poprawnego działania certyfikatu SSL. Komercyjne certyfikaty SSL są wystawiane na okresy roczne, choć możliwe jest zakupienie subskrypcji odnowienia takiego certyfikatu przez okres kilkuletni.

W całym okresie ważności certyfikatu  komercyjnego SSL, operator hostingu NQ.pl gwarantuje poprawność działania takiego certyfikatu.

 

Ceny certyfikatów komercyjnych SSL zaczynają się od 99zł+VAT za rok. W większości przypadków jest to rozwiązanie wystarczające dla posiadacza strony internetowej.

Komercyjny certyfikat SSL jest wymagany również wtedy, gdy oczekuje się od niego nie tylko szyfrowania danych, ale również potwierdzenia autentyczności jego właściciela na stronie WWW. Z takiego rozwiązania korzystają m.in. banki, które stosują w swoich serwerach certyfikaty typu OV (organization validation) lub EV (extended validation). Wystawcy takich certyfikatów SSL potwierdzają, że strona internetowa chroniona tym certyfikatem należy do danego podmiotu (np. banku).  To z kolei ma chronić interesy użytkownika strony WWW, np. osoby logującej się do swojego rachunku bankowego.

Zdarzają się bowiem oszustwa polegające na stworzeniu fałszywej strony internetowej, do złudzenia podobnej do tej, którą klient banku zna. Oszustwa tego typu mają na celu przejęcie kontroli nad rachunkiem bankowym zaatakowanej osoby. Certyfikaty typu OV oraz EV pomagają w eliminacji tego niebezpiecznego zjawiska.

 

Obecnie, każda strona internetowa powinna posiadać zainstalowany certyfikat SSL. Do decyzji właściciela strony WWW należy wybór wariantu, z którego zechce skorzystać.

Zapraszamy do bezpośredniego kontaktu z autorem tekstu.

 

Wojciech Kunda
————————————
NQ.pl
SERWERY Z DODATKIEM ŚWIĘTEGO SPOKOJU
————————————
BOK  : 801 88 99 88
tel. : 12 256 78 50; 12 256 78 51; 12 256 78 52; 508-211-111
fax  : 12-276-43-99
email: info@NQ.pl
————————————-
Netlink Sp. z o.o.
ul. Korabnicka 9
32-050 Skawina

Dodaj komentarz