Czym jest certyfikat SSL i jak go wdrożyć?
Kamil Porembiński
Kamil Porembiński
13.09.2020

Czym jest certyfikat SSL i jak go wdrożyć?

Mówiąc o certyfikacie SSL, przed oczyma od razu pokazuje się nam kłódka i protokół HTTPS w lewej części paska przeglądarki, które poświadczają bezpieczeństwo połączenia z daną domeną. Taką wiedzą dysponuje większość statystycznych użytkowników sieci. Pójdźmy jednak o krok dalej i wyjaśnijmy sobie, jak działa certyfikat SSL, co daje szyfrowanie SSL i w jaki sposób je wdrożyć. No i zastanowimy się też, czy w ogóle warto zaprzątać sobie tym głowę.

Co to jest certyfikat SSL?

Certyfikat SSL (ang. Secure Socket Layer) służy do zabezpieczania strony internetowej i transmisji danych między witryną a użytkownikiem za pomocą protokołu HTTPS. Certyfikat bezpieczeństwa strony internetowej sprowadza się do szyfrowania danych, co uniemożliwia nieautoryzowane przechwycenie danych i informacji przez podmioty trzecie.

Poza szyfrowaniem transmisji danych certyfikaty SSL dodatkowo uwiarygadniają i uwierzytelniają podmioty działające w sieci, do których należy dana domena i serwer. Zakres tego uwierzytelniania uzależniony jest od rodzaju certyfikatu SSL – rodzaje certyfikatów omówimy w dalszej części tekstu.

Certyfikat SSL jest scentralizowanym protokołem, który może być porównywany do dokumentu tożsamości domeny, serwera oraz ich właściciela. Certyfikaty wydawane są przez niezależne instytucje nazywane Certifing Authorities. Certyfikat SSL zabezpieczający stronę składa się z następujących informacji:

  • nazwa właściciela i wydawcy certyfikatu,
  • publiczny klucz właściciela dla algorytmu asymetrycznego,
  • cyfrowy podpis wystawcy certyfikatu,
  • okres ważności i numer seryjny certyfikatu.

To powinno Cię zainteresować: Czym się różni darmowy certyfikat SSL od płatnego certyfikatu SSL?

Jak działa certyfikat SSL?

Jak działa technologia SSL? To całkiem proste.

Najpierw jednak omówmy przesyłanie danych między serwerem a przeglądarką bez szyfrowania. Wówczas dane przesyłane są jako zwykły plik tekstowy, który może być dowolnie odczytywany i przechwytywany przez jakiegokolwiek zewnętrznego „obserwatora”. Brak szyfrowania transmisji danych powoduje, że wszystkie dane mogą zostać wykradzione, podmienione i zmodyfikowane w drodze między serwerem i przeglądarką. Rodzi to poważne ryzyko naruszeń danych wrażliwych – osobowych, kontaktowych i loginów oraz haseł, którymi użytkownicy posługują się w sklepie internetowym lub na stronie.

Zabezpieczenie strony certyfikatem SSL powoduje, że przed wysłaniem informacji między serwerem i przeglądarką, uzgadniany jest klucz, wedle którego dane będą szyfrowane. Następnie serwer szyfruje dane i wysyła ich zaszyfrowane pakiety do przeglądarki. Dopiero gdy dane dotrą do przeglądarki, ulegają przez nią odszyfrowaniu. Tylko serwer i przeglądarka wiedzą, wedle jakiego klucza można odszyfrować dane, dlatego też podmioty trzecie, które nie mają klucza prywatnego, nie będą w stanie odczytać i ingerować danych.

Bardziej techniczna strona działania certyfikatu SSL

Szyfrowanie za pomocą certyfikatu SSL realizowane jest przy użyciu dwóch protokołów szyfrujących – protokołu rekordów i protokołu uzgadniania.

Protokół rekordu nadzoruje, steruje i szyfruje dane przepływające między przeglądarką i serwerem. Z kolei protokół uzgadniania uwierzytelnia przeglądarkę i/lub serwer, generując unikalny klucz symetryczny, który umożliwia tworzenie kluczy szyfrujących i deszyfrujących dane w konkretnej sesji transmisji danych.

Certyfikat SSL dla strony składa się z klucza publicznego nadanego domenie przez ośrodek certyfikacyjny i z klucza prywatnego przypisanego do klucza publicznego. Za każdym razem, gdy zaszyfrowane dane z serwera docierają do przeglądarki, musi ona odszyfrowywać je przy użyciu klucza prywatnego.

Przeczytaj: Kompendium: Jak zabezpieczyć WordPressa?

Rodzaje certyfikatów SSL

Zabezpieczenie SSL różni się w zależności od poziomu szyfrowania i zaufania do domeny i właściciela certyfikatu. W użyciu są 3 rodzaje certyfikatów: DV, OV i EV. Poza tym wyróżnia się także certyfikaty Wildcard i Multidomain.

Certyfikat DV

Certyfikaty DV (ang. Domain Validation) to najprostsze zabezpieczenie strony certyfikatem SSL, które przeznaczone jest wyłącznie do walidacji domeny. W ramach certyfikacji weryfikowana jest domena oraz aktywna poczta e‑mail, na którą wysyłany jest link certyfikujący.

Certyfikat SSL DV rekomendowany jest przede wszystkim małym stronom-wizytówkom, landing page’om czy blogom.

Certyfikat OV

Certyfikat OV (ang. Organization Validated) to certyfikat bezpieczeństwa SSL, który waliduje zarówno domenę, jak i jej właściciela. Do tego rodzaju certyfikacji należy przygotować dane rejestrowe firmy oraz skan dowodu osobistego. Instytucja certyfikująca poświadcza wiarygodność domeny i firmy.

Certyfikat SSL OV to świetne rozwiązanie dla sklepów internetowych, większych firm i rozbudowanych portali, a także na stronach, na których użytkownicy przesyłają swoje wrażliwe dane osobowe i kontaktowe.

Certyfikat EV

Certyfikat EV (ang. Extended Validation) przyznawany jest w toku najbardziej rygorystycznej weryfikacji podmiotu wnioskującego. Aby uzyskać tego typu walidację SSL, konieczne jest przedłożenie dokumentów rejestrowych firmy, wskazać, że jest się właścicielem domeny oraz zatwierdzić autentyczność dostarczonych dokumentów podczas kontaktu z organizacją weryfikującą. W przypadku certyfikatów EV w pasku adresu pojawiała się zielona kłódka i pełna nazwa firmy.

Certyfikaty SSL EV stosowane są przez korporacje, instytucje finansowe i bankowe, instytucje publiczne, medyczne i podmioty, które dysponują najbardziej wrażliwymi danymi użytkowników.

Poza poziomem certyfikacji certyfikaty SSL należy także rozróżnić na certyfikaty Wildcard, Multidomain (UCC) i certyfikaty obejmujące tylko jedną domenę. Certyfikaty SSL Wildcard pozwalają zabezpieczyć wszystkie subdomeny wybranej domeny, a certyfikaty UCC umożliwiają zabezpieczanie kilku domen jednocześnie.

Jak przebiega transmisja danych z certyfikatem SSL?

Transmisja danych w ramach protokołu SSL między serwerem a przeglądarką sprowadza się do kilku automatycznie wykonywanych operacji.

Najpierw przeglądarka wysyła prośbę do serwera, aby ten zweryfikował tożsamość użytkownika. Następnie kopia certyfikatu SSL z serwera przesyłana jest do przeglądarki. Dalej przeglądarka autoryzuje przesłany certyfikat, weryfikując jego ważność oraz źródło.

Następnie, po zaakceptowaniu certyfikatu przez przeglądarkę, serwer przesyła odpowiedź, która rozpoczyna szyfrowanie sesji przy wykorzystaniu uzgodnionego klucza prywatnego. Do przeglądarki trafiają zaszyfrowane pliki, które są przez nią odszyfrowane za pośrednictwem prywatnego, uzgodnionego uprzednio klucza szyfrującego.

Sprawdź również: Jak dochodzi do włamania na WordPressa?

Jak rozpoznać czy strona używa certyfikatu SSL?

Certyfikaty stron internetowych widoczne są bezpośrednio w pasku adresu. Rodzaj zastosowanego oznakowania certyfikatu SSL zależy od jego rodzaju.

W przypadku zwykłych certyfikatów DV zauważysz symbol zamkniętej kłódki oraz prefiks adresu zaczynający się od protokołu HTTPS. Znaki te wskazują, że połączenie między serwerem i domeną jest szyfrowane.

Jak sprawdzić ważność certyfikatu SSL?

Weryfikacja ważności certyfikatu bezpieczeństwa strony internetowej jest szybka i prosta. Wystarczy, że przejdziesz pod adres strony, której certyfikat SSL chcesz sprawdzić, a następnie klikniesz kłódkę lub nazwę firmy (zależnie od rodzaju certyfikatu). Dalej kliknij strzałkę obok napisu Zabezpieczone połączenie i w opcję Więcej informacji.

Wówczas otworzy Ci się okienko wskazujące informacje o tożsamości witryny. W górnej części okienka znajdziesz opcję Wyświetl certyfikat. Naciskając je, Twoim oczom ukażą się wszystkie informacje dotyczące certyfikatu SSL, w tym:

  • nazwa podmiotu,
  • nazwa wystawcy,
  • ważność certyfikatu,
  • alternatywne nazwy podmiotu,
  • informacje o kluczu publiczny,
  • rodzaj certyfikacji
  • i cała masa innych mniej lub bardziej przydatnych informacji.

Zalety certyfikatu SSL

Chyba nie musimy Cię przekonywać, co daje certyfikat SSL. Zabezpieczenie połączenia między serwerem i przeglądarką pozwoli Ci zyskać zaufanie klientów, kontrahentów lub innych użytkowników Twojej witryny albo sklepu internetowego.

Poza tym certyfikat uwiarygodni Twoją firmę i działalność w sieci, pozwoli Ci spełnić obowiązki z zakresu przetwarzania danych osobowych i zabezpieczy wrażliwe dane zarówno Twojej firmy, jak i użytkowników przed wykradzeniem, modyfikacją i nieautoryzowanym dostępem.

Dużą zaletą certyfikatów SSL jest również to, że występują one w darmowych wersjach – np. certyfikat Let’s Encrypt i Cacert.org.

Certyfikat SSL dla Twojej strony firmowej

W przypadku niewielkich stron wizytówkowych czy nawet nieco bardziej rozbudowanych witryn rozsądnym rozwiązaniem są certyfikaty SSL DV. Jeśli jednak na stronie internetowej Twojej firmy Twoi klienci lub kontrahenci mogą utworzyć konta użytkownika i wprowadzać swoje dane osobowe i kontaktowe, pomyśl o zainwestowaniu w lepszy i skuteczniejszy certyfikat OV.

Koniecznie sprawdź: O czym musisz pamiętać, tworząc sklep internetowy?

Jaki certyfikat SSL dla sklepu internetowego wybrać?

 Sklepy internetowe powinny być zabezpieczane o wiele skuteczniej. Absolutnym minimum dla firm działających w e‑commerce, które przetwarzają dane osobowe, kontaktowe i płatnicze klientów, są certyfikaty OV. W przypadku dużych sklepów internetowych warto zainwestować w certyfikat EV stanowiący najwyższy poziom ochrony danych.