Przy przeglądaniu różnorodnych stron internetowych, co jakiś czas w oko może wpaść kłódka pojawiająca się przy pasku adresu strony. Oznacza ona, że strona ta jest zabezpieczona – wykorzystuje protokół HTTPS, czyli posiada certyfikat SSL. Co oznaczają te tajemnicze terminy i jak działa takie zabezpieczenie? Oto garść informacji na temat certyfikatów SSL!
Certyfikaty SSL – podstawowe informacje
Nikt nie chciałby, aby podczas wizyty w internecie, szczególnie przy podawaniu swoich danych czy zapisywaniu haseł, jakaś postronna osoba mogła je przechwycić i wykorzystać. Właśnie przed takim zagrożeniem chronią certyfikaty SSL (skrót od Secure Socket Layer) i protokół SSL.
Czym jest certyfikat SSL i na czym polega ich działanie? Gdy wchodzimy na jakąkolwiek stronę internetową, nasza przeglądarka wysyła do serwera tej strony zapytania o interesujące nas dane. Strona wysyła odpowiedź zwrotną i tym samym można otrzymać wgląd do strony. Tak wygląda uproszczony schemat przy stosowaniu standardowego protokołu HTTP. Jednak większość stron używa rozszerzonego protokołu HTTPS (dodatkowe słowo „Secure”): po odwiedzeniu strony i wysłaniu zapytania przez przeglądarkę, serwer wysyła do niej kopię certyfikatu SSL. Przeglądarka sprawdza czy jest on prawidłowy i dopiero przesyłane są dane, co ważne, w zaszyfrowany sposób. Dzięki temu połączenie jest bezpieczne i mamy pewność, że podawane przez nas dane nie trafią w niepowołane ręce – wystarczy sprawdzić czy pojawia się kłódka.
Skąd strony uzyskują certyfikat SSL? Wydają go niezależne organizacje i instytuty na określony czas. Ciekawostką jest, że tak naprawdę obecnie używany jest protokół TLS będący rozwinięciem SSL, jednak pierwotna nazwa tak bardzo się przyjęła, że nadal jest używana.
Czym różnią się od siebie certyfikaty SSL?
Nie ma jednego uniwersalnego certyfikatu SSL, są one wydawane przez różne instytucje i każdy różni się od siebie rodzajem zabezpieczenia, czasem ważności, kosztem i innymi cechami. Najważniejszy podział certyfikatów przedstawia się następująco:
- DV (Domain Validation) – weryfikacja domeny. Oznacza, że właściciel posiada prawa do danej domeny, a zatem można w dużym stopniu zaufać takiej stronie internetowej.
- OV (Organization Validation) weryfikacja właściciela domeny. Poza powyższym zabezpieczeniem, organ wydający certyfikat sprawdza autentyczność danych właściciela domeny, czyli najczęściej firmy. Jej dane są zawarte w certyfikacie i można je zobaczyć klikając w kłódkę.
- EV (Extended Validation) najszerszy poziom zabezpieczeń można zauważyć najczęściej wchodząc na strony banków. Pojawia się wtedy na pasku adresu cała nazwa organizacji, zwykle na podświetlonym polu i z dodatkową informacją o bezpieczeństwie. Certyfikat ten nadawany jest po sprawdzeniu właściciela w różnorodnych bazach danych.
Jak widać rodzaje certyfikatów SSL różnią się do pewnego stopnia poziomem zabezpieczenia, jednak już nawet jego podstawowa forma zwiększa zaufanie do strony. Warto jeszcze wspomnieć, że poza powyższymi rodzajami występują jeszcze specjalne certyfikaty: Wildcard dla subdomen, Multi Domain dla kilku domen na raz, a także osobne certyfikaty dedykowane poczcie e-mail.
Co sprawia, że trudno się obejść bez certyfikatu SSL?
Choć certyfikat SSL nie jest obowiązkowy, jego brak znacznie utrudnia funkcjonowanie strony na wielu polach. Co dość oczywiste, bezpieczeństwo użytkowników strony zdecydowanie leży w interesie jej właściciela – w razie wycieku danych osobowych grożą mu ogromne kary, nie wspominając o zrujnowanej reputacji.
Warto tu jednak podkreślić, że zabezpieczenia certyfikatem nie są tym samym co antywirusy. Te pierwsze chronią przed przechwytem danych, a te drugie dbają o bezpieczeństwo plików. Zdecydowanie ważne jest, że obecność wspominanej kłódki zdecydowanie stała się standardem, budzi zaufanie odwiedzającego do strony, a jej brak – wręcz przeciwnie. Jest to kluczowe w sklepach internetowych, newsletterach i innych miejscach, gdzie potencjalny klient wprowadza swoje dane.
Również algorytmy wyszukiwarek zdecydowanie biorą pod uwagę obecność certyfikatu, a jego brak może znacznie obniżyć widoczność strony. Widać zatem, że zdecydowanie warto zadbać o obecność przynajmniej podstawowego certyfikatu SSL tym bardziej, że można go uzyskać także za darmo!