Wszystko co musisz wiedzieć o certyfikatach SSL i o czym nie powiedział ci informatyk
#bezpieczeństwo #giodo #strona #certyfikaty #sklep #seo #ssl #firma #certyfikat #pozycjonowanie #pozycjaJaki wybrać certyfikat SSL
Artykuł być może przydługi, ale dogłębnie opisujący certyfikaty i ich rodzaje. Starałem się zamieścić w nim wszystkie informacje, których może poszukiwać osoba zainteresowana zakupem tego elektronicznego dokumentu dla swojej strony www. Mam nadzieję, że dzięki poniższym informacjom będziesz mógł wybrać dla siebie najlepszy certyfikat SSL - ponieważ dokonasz tego świadomie.
Zalety certyfikatów SSL
Certyfikat SSL umożliwia bezpieczne przesyłanie informacji pomiędzy komputerem odwiedzającego, a Twoją stroną WWW. Odwiedzający ma pewność, że właściciel strony która żąda od niego danych dotyczących jego osoby podchodzi bardzo poważnie do zagadnień bezpieczeństwa, zaś jego dane, które podaje w formularzach są szyfrowane na jego komputerze, zanim trafią na serwer właściciela strony.
Jak działają połączania HTTPS?
Odwiedzając różne witryny w sieci, zapewne natrafiłeś na strony, które w polu adresu strony przeglądarki WWW posiadały ikonę kłódki. Czasem ta ikona była czarna a czasami zawierała dodatkowy zielony pasek z nazwą firmy. Oznaczało to, że po wejściu na stronę WWW cały ruch pomiędzy Twoim komputerem, a serwerem na którym była umieszczona strona jest szyfrowany.
Oznacza to, że dane które wpisywałeś w formularzach tej strony były zakodowane dla Twojego dostawcy internetu i wiele innych firm, które pośredniczyły w przekazaniu ci zawartości strony, którą aktualnie przeglądasz. Dzięki temu, dokonując płatności w sklepie internetowym, wiesz, że podając swoje dane zamieszkania potrzebne do zaadresowania przesyłki, nie zostaną przechwycone przez osoby postronne. Ta sama sytuacja tyczy się serwisów, które wymagają podania np. adresu email w celach rejestracji konta lub dostępu do treści witryny zarezerwowanej dla odwiedzających. Jeżeli jakaś witryna wymaga podania danych bez użycia szyfrowanych połączeń, oznacza to że, wszyscy (dosłownie) mogą podejrzeć co przesyłasz przez sieć internet.
Wyobraźmy sobie sytuację: serwis www do oglądania filmów online, podczas rejestracji wymaga podania aktualnego adresu email i hasła. Jeżeli witryna nie stosuje szyfrowania wszystkie dane są przesyłane gołym tekstem. Można by to porównać do wystąpienia na sali pełnej postronnych osób gdzie w głośny i wyraźny sposób wykrzysz wszystkie dane, które podaliśmy w formularzu.
Kto powinien stosować połączenia szyfrowane / https?
Wszyscy, którzy wymagają podania jakichkolwiek danych w formularzach na stronie www. Koszt takiego zabezpieczenia jest po prostu bardzo niski i jeżeli firmy nie stać na koszt, około 4 zł mc (z VAT! - ceny mogą być różne), aby zadbać o interes klientów czy też własne imię, to jak musi podchodzić do innych kwestii w swojej działalności. Podając jakiekolwiek dane w formularzach zwracam uwagę, czy połączenie jest szyfrowane, jeśli nie: jest to pierwszy powód do zrezygnowania z dalszych kroków. Pomyśl, jak brak takiego zabezpieczenia może wpłynąć na stan Twojego konta lub liczbę akcji na stronie www? Świadomość społeczna cały czas rośnie i firmy nie stosujące tego typu mechaizmu pozostaną w tyle za konkurencję i będą przenosiły winę na koniunkturę na rynku.
Kłódka przy adresie WWW
Znaczek kłódki przy adresie informuje, że połączenia są szyfrowane. Kliknięcie w kłódkę umożliwi nam uzyskanie informacji o tym, kto odpowiada za wystawienie certyfikatu (np. GeoTrust, Comodo,, Thawte itp.), czas jego utworzenia, ważności oraz jeśli zadbał o to nabywca, także dane podmiotu, który wystąpił o taki certyfikat (nazwa twojej firmy). Przykład certyfikatu, którego właściciel przeszedł weryfikację na podstawie dostarczonych dokumentów:
Słowem klucz jest tutaj „zadbał”, które określa czy nabywca chciał i mógł zostać pozytywnie zweryfikowany jako podmiot prowadzący działalność. Taka weryfikacja jest respektowana we wszystkich krajach, a więc odwiedzający np. z Antarktydy - będą mieli pewność, że za domeną stoi firma - nie osoba prywatna. Firmy, które nie poddały się weryfikacji na podstawie dokumentów będą mogły pochwalić się tylko taką informacją:
Zatem, odwiedzający nie będzie miał pewności czy właścicielem domeny jest firma czy też osoby prywatne. Tego typu certyfikaty są poddawane podstawowej weryfikacji.
Podstawowa weryfikacja takiej domeny przez ośrodek wydająca certyfikat SSL jest naprawdę minimalna, ogranicza się do wysłania linka aktywującego na adres w postaci postmaster@nazwa-mojej-domeny.pl , root@nazwa-mojej-domeny.pl czy też umieszczenie specjalnego pliku na serwerze FTP. Po odwiedzeniu takiego linku zostajemy zweryfikowani pozytywnie. Czy z punktu klienta/odwiedzającego jest to gwarancja, że faktycznie ma do czynienia z wiarygodną firmą? Niestety nie. Wystarczy posiadać dostęp do skrzynki email o adresie postmaster@… aby utworzyć certyfikat SSL lub co gorsza utworzyć plik tekstowy dostępny z poziomu adresu URL. Sposób weryfikacji stwarza wiele możliwości do nadużyć i niestety są one wykorzystywane. Ikona kłódki w takich przypadkach informuje odwiedzającego, że strona szyfruje połączenie, jednak w żaden sposób nie potwierdza, że właścicielem serwisu jest ten podmiot, który podany jest w danych kontaktowych.
Zielony pasek
Logując się na stronę www swojego banku, możesz zwrócić uwagę na to, że po za samą kłódką pojawia się także nazwa firmy. Zielony pasek np. na stronie logowania do serwisu Inteligo, banku PKO Bank Polski:
Zielony pasek jest informacją, że firma która stosuje certyfikat przeszła żmudny proces identyfikacji i jest wiarygodnym podmiotem, którego wiarygodność potwierdzają także międzynarodowe podmioty.
Zielony pasek jest zarezerwowany tylko dla firm, które przestawią wszystkie niezbędne dokumenty. Weryfikacja takiej firmy potrafi być naprawdę długa i trwać wiele tygodni, ponieważ podmiot starający się o taki przywilej musi zostać sprawdzony w wielu instytucjach, a także potwierdzony rozmową. Prestiż, który możemy uzyskać jest nie do ocenienia. Po uzyskaniu certyfikatu ssl z zielonym paskiem, odwiedzający ma 100% pewność, że ma do czynienia z wiarygodnym podmiotem, które swoją działalność prowadzi z najwyższą starannością.
Dlaczego, wiele stron nie stosuje certyfikatów z zielonym paskiem?
Właściwie proste pytanie, jednak wspomniany proces weryfikacji naprawdę zniechęca podmioty, które chciałyby to zrobić na zasadzie odbębnienia. Do tego stanu rzeczy do chodzi fakt wszechobecnej opinii, że ten przywilej jest zarezerwowany dla największych podmiotów. Ostatnim argumentem jest to, że firmy nie chcą ujawnić wielu wrażliwych danych o swojej działalności i stać się transparentnym podmiotem.
SAN, czyli zabezpieczenie wielu adresów
Występując o certyfikat SSL, musisz zdecydować się na adres, który chcesz zabezpieczyć. Pamiętaj, że adres www.nazwa-mojej-domeny.pl i nazwa-mojej-domeny.pl to dwie różne nazwy z punktu widzenia organu certyfikującego. Podczas składania wniosku o certyfikat musisz zdecydować, który adres chcesz zabezpieczyć. Jeżeli wybierzesz certyfikat SSL dla adresu www.nazwa-mojej-domeny.pl to po jego uruchomieniu odwiedzający zobaczy przy nim kłódkę, natomiast po wejściu na stronę nazwa-mojej-domeny.pl: nie będzie ona dostępna.
Cześć jednostek wydających certyfikatów oferują tzw. alternatywne nazwy (SAN), kupując podstawowy certyfikat na adres nazwa-mojej-domeny.pl otrzymasz w takiej sytuacji także certyfikat dla www.nazwa-mojej-domeny.pl. Upewnij się, czy wybrany certyfikat, który Cię interesuje oferuje taką funkcjonalność.
Liczba SAN przy certyfikacie oznacza, ile dodatkowych adresów możesz zabezpieczyć w swojej witrynie. Przykładowo kupując certyfikat SAN 3, możesz zabezpieczyć 3 adres domeny, np:
- nazw-mojej-domeny.pl
- www.nazwa-mojej-domeny.pl
- klient.nazwa-mojej-domeny.pl
Pamiętaj, że wybór nazwy jest definitywny, tzn. że nie możesz jej zmienić (ani wybranych dodatkowo) w momencie utworzenia certyfikatu. Jeżeli się pomylisz lub będziesz potrzebować dodatkowych certyfikatów, zostaniesz zmuszony do wystąpienia o nowy certyfikat SSL.
UCC, certyfikaty zabezpieczające kilka różnych domen
Certyfikat typu UCC zabezpieczają kilka różnych domen za pomocą pojedynczego certyfikatu. Wybierając taki certyfikat możesz wybrać zupełnie różne nazwy, np:
- nazwa-mojej-domeny.pl
- www.nazwa-mojej-domeny.pl
- hostit.pl
Liczba UCC oznacz ile maksymalnie można zabezpieczyć domen.
Wildcard - *.nazwa-mojej-domeny.pl
Certyfikaty typu Wildcard zabezpieczają wszystkie subdomeny wybranej domeny, za pomocą pojedynczego certyfikatu. Zakupując certyfikat wildcard dla domeny nazwa-mojej-domeny.pl uzyskujemy możliwość zabezpieczenia wszystkich jej subdomen, np:
- nazwa-mojej-domeny.pl
- klient.nazwa-mojej-domeny.pl
- www.nazwa-mojej-domeny.pl
- wakacje.nazwa-mojej-domeny.pl
Zamawiając certyfikat wildcard, nie musisz podawać nazw subdomen, nie muszą one nawet istnieć. Certyfikaty wildcard zawsze będą zabezpieczały wszystkie adres pasujące do maski *.nazwa-wybranej-domeny.pl
Wymagania dot. zainstalowania certyfikatu na serwerze
Ważną kwestią są możliwości technologiczne Twojego serwera (hostingu). Zanim wystąpisz o certyfikat, musisz upewnić się, że firma umożliwi ci zainstalowanie go. Podstawowym pytaniem jest, czy twój hosting (twoje konto): posiada dedykowany adres IP, czyli adres z którego korzysta tylko Twoja strona WWW i jest dla niej zarezerwowany? W przypadku gdy Twoja usługa nie posiada dedykowanego adresu IP, zapytaj się czy istnieje możliwość jego zamówienia (w naszej firmie jest to możliwe). Brak dedykowanego adresu IP uniemożliwi Ci instalację certyfikatu, co jest tego powodem odpowie ci na to pytanie artykuł ze strony: https://hostit.pl/pomoc/406,dedykowany-adres-ip-dla-certyfikatu-ssl.html
Ubezpieczanie Twojej firmy, czyli odpowiedzialność wystawcy certyfikatu SSL
Wystawca certyfikatu (sieć hostit.pl pośredniczy tylko w jego zakupie) gwarantuje bezpieczeństwo przesyłanych danych. Pewność z jaką gwarantują przesył danych przy wykorzystaniu danego certyfikatu wystawcy określają gwarantowaną kwotą wypłacanego odszkodowania.
Każdy z wystawców oferuje zadośćuczynienie finansowe w przypadku gdy ich certyfikat zostanie złamany. W sytuacji, gdy padniemy ofiarą ataku, który wykorzystał luki w zabezpieczeniach danego wystawcy, jego przedstawiciel wypłaci Ci odszkodowanie. Wysokość maksymalnej kwoty, którą możesz uzyskać od takiego zdarzenia jest uzależniona od danego certyfikatu.
Odszkodowanie nie będzie Ci należne w przypadku zaniechań po Twojej stronie lub firmy, która odpowiada za utrzymanie Twojej strony.
Dlaczego Google promuje strony www posiadające certyfikat?
Spróbuj sam odpowiedzieć sobie na to pytanie z małą podpowiedzią: firma Google stara się dostarczyć jak najbardziej wiarygodne wyniki wyszukiwania dla pytającego. Dlaczego nie miała by wziąć pod uwagę wiarygodności Twojej strony www i wysiłku, który został włożony w celu jego uwiarygodnienia?
Firma Google sprawiła, że firmy zaczęły się interesować certyfikatami SSL. Pobudką do zakupu certyfikatu, nie było w wielu firmach w cale bezpieczeństwo odwiedzających, ale chęć uzyskania wyższej pozycji w wyszukiwarce względem konkurencji. Wnioski są jednak dodatkowym impulsem do zainstalowania certyfikatu SSL: chcesz być wysoko, zadbaj o bezpieczeństwo.
Powód decyzji firmy Google o nadawaniu wyższych pozycji w wyszukiwarce dla stron, które stosują zabezpieczenia HTTPS nie jest bezpodstawny i wg mojej opinii bardzo zasadny. Wybierając certyfikat bardzo mocno rozważ wybór certyfikatu SSL z zielonym paskiem. Google badając Twoją stronę sprawdzi także rodzaj certyfikatu SSL, który zainstalowałeś.
Dodatki od wystawców certyfikatów
Ośrodki wystawiające certyfikaty konkurują na rynku o klienta tak samo jak my, w związku z tym oferują dodatkowe usługi i produkty, które są dołączone do certyfikatu. W śród takich gadżetów możemy otrzymać:
- pieczęć na stronę informującą o gwarancjach finansowych
- pieczęć potwierdzającą zamawiającego (generowane po stronie serwera wystawcy)
- informację dla odwiedzającego, kiedy wystawca ostatni raz skanował serwis pod kątem bezpieczeństwa jego witryny
- informację dla odwiedzającego o monitoringu antywirusowym (wykonywanego w ramach usługi dla nabywającego)
- wsparcia technicznego 365 dni w roku/telefon 24h/wsparcia email
Skąd te różnice w cenach certyfikatów?
Cena certyfikatu jest uzależniona głównie od:
- formy weryfikacji, a więc i czasu i zasobów ludzkich, która musi wystawca poświęcić na potwierdzenie Twojej wiarygodności
- kwoty ubezpieczenia
- liczby zabezpieczonych adresów w twojej domenie (np. nazwa-mojej-domeny.pl, panel.nazwa-mojeje-domeny.pl)
- usługi zawarte
- prestiżu: tak samo jak w życiu, są marki, które pożądają wszyscy
Certyfikat z zielonym paskiem czy bez?
Stając jednak przed wyborem: certyfikat SSL z zielonym paskiem lub żaden, należy wybrać przynajmniej najtańszy wariant. Zastanawiając się nad wyborem certyfikatów pomiędzy OV i EV, warto rozważyć czy ew. wyższa cena EV nie przyniesie nam więcej korzyści finansowych.
Certyfikaty zweryfikowane linkiem aktywacyjnym tzw. Domain Validated (DV):
- szyfrowanie danych
- wyższe pozycje w google w stosunku do stron, które nie stosują certyfikatów
- ekspresowy proces wystawienia certyfikatu SSL
- cena
- idealny dla osób prywatnych
- brak potwierdzenia wiarygodności właściciela
- brak informacji dla odwiedzającego czy ma do czynienia z firmą
- niska gwarancja
Certyfikaty potwierdzające, że operatorem witryny jest firma tzw. Organization Validation (OV)
- szyfrowanie danych
- wysokie gwarancje finansowe
- wysokie bezpieczeństwo dla odwiedzających Twoją witrynę
- zarezerwowany dla firm
- niska cena w stosunku do certyfikatów EV
- wysokie zaufanie ze strony Google, co przekłada się na wyższe pozycje nawet w stosunku do witryn posiadających certyfikat DV
- wymagane przedłożenie dokumentów firmowych
- weryfikacja telefoniczna firmy
- dłuższy czas wydania certyfikatu, niż ma to miejsce przy produktach typu DV
Certyfikaty z zielonym paskiem*, tzw. Extended Validation (EV):
- szyfrowanie danych
- gwarancja najwyższego bezpieczeństwa dla odwiedzających
- *bardzo wysoka wiarygodność w oczach klientów (odwiedzający od razu po wejściu na witrynę w pasku adresu widzi Twoje dane)
- wysokie kwoty gwarancji finansowych wystawców klientów
- najwyższe zaufanie ze strony Google
- długi czas wydania certyfikatu
- żmudny proces weryfikacji: potrzeba dostarczenia szeregu dokumentów
cena
Nie wszystkie certyfikaty typu EV posiadają tzw. zielony pasek, rozważając zakup takiego dokumentu, sprawdź dokładnie czy certyfikat będzie go zawierał. W naszej ofercie wyraźnie to podkreślamy - jeżeli certyfikat oferuje zielony pasek, jest o tym stosowna informacja.*