Certyfikat SSL zapewnia bezpieczną drogę komunikacji pomiędzy przeglądarką internetową a stroną www. To jeden z powodów dla którego jest używany w serwisach bankowych i sklepach internetowych. Zielona kłódka w pasku adresu informuje Internautę, że nawiązał bezpieczne połączenie. W praktyce to oznacza, że Internauta może wpisywać swoje dane na stronie internetowej bez obawy, że ktoś te dane podejrzy (i nic więcej  ).

1. Rodzaje certyfikatów SSL:

1.1.Certyfikat wielodomenowy (SAN certificate, multi-domain certificate)

– może być wykorzystany do instalacji na wielu różnych domenach. Wystawcy certyfikatów z reguły ograniczają liczbę domen (nazw) do stu na jeden certyfikat. Przykłady użycia: example.com, domain.com, strona..com, itp.. Może być użyty do zabezpieczenia wielu stron internetowych na wielu różnych adresach IP.
Plusy: wygoda użycia dla wielu domen. Minusy: kosztowny a jego kompromitacja sprawia, że kompromitacji ulegają wszystkie domeny.

1.2.Certyfikat SSL typu wildcard – zapewniający bezpieczną komunikację nie tylko z domeną główną

(np. example.com) lecz również z nieograniczoną liczbę subdomen, np.: sklep.example.com, blog.example.com, wiki.example.com.
Uwaga: nie działa dla subdomen w postaci: kosmetyki.sklep.example.com
Plusy: wygoda użycia dla wielu domen. Minusy: kosztowny a jego kompromitacja sprawia, że kompromitacji ulegają wszystkie domeny.

1.3.Certyfikat SSL dla pojedynczej domeny (DV=Domain Validation, sprawdzenie domeny),

np.: example.com lub sklep.example.com. To najczęściej kupowany certyfikat, ze względu na najniższy koszt zakupu.

2.Klasy certyfikatów:

2.1.Certyfikat SSL dla pojedynczej domeny (DV=Domain Validation SSL certificate, sprawdzenie domeny),

np.: example.com lub sklep.example.com. W podglądzie certyfikatu SSL widać jedynie nazwę domeny, w tym przypadku wystawca certyfikatu SSL nie żąda od wnioskującego o certyfikat dokumentów poświadczających własność domeny. To najczęściej kupowany certyfikat, ze względu na najniższy koszt zakupu.

Plusy: niski koszt zakupu, minusy: nie identyfikuje właściciela domeny, dla subdomen trzeba dokupować kolejne certyfikaty.

2.2.Certyfikat SSL ze sprawdzeniem organizacji (OV=Organization Validation SSL certificate)

– wystawca certyfikatu żąda od wnioskodawcy dokumentów poświadczających własność domeny do danej organizacji oraz poświadczenia o zarejestrowanej działalności firmy. Te certyfikaty SSL są często stosowane przez duże sklepy internetowe dbające o wysoką wiarygodność.
Plusy: Duża wiarygodność właściciela domeny (nazwa firmy obok nazwy domeny w pasku adresu), minusy: nie identyfikuje właściciela domeny, do subdomen trzeba kupować dodatkowe certyfikaty.

2.3.Certyfikat SSL z rozszerzoną sprawdzeniem (EV=Extended Validation SSL certificate)

– wystawca certyfikatu żąda od wnioskodawcy dokumentów poświadczających własność domeny do danej organizacji oraz poświadczenia o zarejestrowanej działalności firmy. Dodatkowo wystawca sprawdza, czy wnioskujący jest świadomy zamawiania certyfikatu i czy akceptuje to zamówienie.
Takie certyfikaty SSL są najczęściej stosowane przez banki do zabezpieczenia serwisów oferujących dostęp przez Internet do konta bankowego klienta.
Plusy: Bardzo duża wiarygodność właściciela domeny (nazwa firmy obok nazwy domeny w pasku adresu), minusy: nie identyfik

uje właściciela domeny, do subdomen trzeba kupować dodatkowe certyfikaty.

 

 

3.Jaki typ certyfikatu SSL wybrać dla serwisu internetowego?

Jeśli prowadzisz firmowy serwis internetowy lub mały sklep internetowy to w zupełności wystarczy certyfikat SSL typu DV.

W przypadku gdy firma mocno urosła i prowadzi działalność w branży eCommerce warto pomyśleć o zakupie certyfikatu SSL OV, który uwiarygadnia firmę w Internecie bardziej, niż banery w sklepie internetowym zawierające informacje o opiniach klientów. Dlaczego?
Dlatego, ponieważ jest mało prawdopodobne aby oszust wydawał kilkaset złotych na droższy certyfikat SSL i aby poddawał swoją firmę weryfikacji u wystawcy certyfikatu SSL OV.

W przypadku instytucji finansowych takich jak banki oferujące klientom dostęp do rachunków, zastosowanie certyfikatów SSL EV jest wprost konieczne. Dlaczego?
Wydanie certyfikatu SSL EV wiąże się z dokładną weryfikacją wnioskującego przez wystawcę. Kolejny powód to fakt, iż nazwa firmy właściciela serwisu internetowego wyświetla się w pasku adresu URL obok nazwy domeny. Internauta po kliknięciu w zieloną kłódkę może zobaczyć nazwę i adres firmy. W ten sposób firma może się uwiarygodnić przez Internautami.

4.Certyfikat SSL a bezpieczeństwo danych w serwisie.

W praktyce stosowanie certyfikatu SSL nie zawsze gwarantuje bezpieczeństwo – ani serwisowi internetowemu, ani Internautom. Dlaczego?
Z bardzo prostego powodu: zastosowanie certyfikatu SSL zapewnia jedynie bezpieczną drogę komunikacji pomiędzy przeglądarką a serwisem internetowym. W przypadku najbardziej popularnych certyfikatów SSL DV – cyberprzestępcy również mogą je kupować dla domen za pomocą których zamierzają prowadzić przestępczą działalność. W przypadku zakupu certyfikatu SSL DV dostawca nie weryfikuje danych kupującego, sprawdza jedynie adres Email.

Warto dodać, że wiele serwisów internetowych korzysta z zasobów zewnętrznych, tj. znajdujących się na innych, obcych serwerach (tzw. Cloud). Jako przykłady można podać następujące zasoby zawierające skrypty, grafiki, czcionki, itp.:
https://ajax.googleapis.com
https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-alpha.6/css/bootstrap.min.css
https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-alpha.6/js/bootstrap.min.js
https://cdnjs.cloudflare.com/ajax/libs/tether/1.4.0/js/tether.min.js
http://platform.linkedin.com
https://code.jquery.com
https://www.google.pl/intl/pl/analytics/
https://developers.google.com/speed/libraries/
https://ssl.gstatic.com/images/icons/
https://static.licdn.com/
https://apis.google.com/js/
i wiele innych…

Wykorzystywanie we własnym serwisie plików z zewnętrznych zasobów jest wygodne, natomiast rodzi niebezpieczeństwo wstrzyknięcia złośliwego kodu z zewnętrznego serwisu (temat na kolejny wpis).

Dodatkowo wielu web deweloperów podczas tworzenia szablonów do popularnych CMS-ów wykorzystuje w plikach szablonów (motywów) odwołania do zewnętrznych zasobów (skrypty, fonty, CSS) przy wykorzystaniu protokołu http zamiast https, który zapewnia bezpieczne przesyłanie danych. W ten sposób niektórzy web deweloperzy zwiększają zagrożenie dla bezpieczeństwa serwisów internetowych które wykorzystują efekty ich pracy (szablony, dodatki, itp.).

Warto mieć świadomość, że serwis internetowy zabezpieczony certyfikatem SSL zawsze jest zainstalowany na jakimś serwerze (+web serwerze). Cyberprzestępcy mogą się włamać na serwer nie tylko poprzez serwis internetowy zabezpieczony certyfikatem SSL ale również korzystając z innych usług dostępnych na serwerze. W efekcie mogą uzyskać dostęp do baz danych zawierających wrażliwe dane (nazwiska, adresy, adresy Email, numery kart, itp.).
Z powyższych rozważań wynika, że zastosowanie certyfikatu SSL w serwisie internetowym nie gwarantuje bezpieczeństwa danym w nim zgromadzonym wbrew mitom i wielu ludziom szerzącym takie opinie 

Niewątpliwie, certyfikat SSL EV zapewnia największą wiarygodność domenie którą chroni i jej właścicielowi ponieważ Internauta widzi nazwę firmy. Przy tej okazji warto dodać, że sama zielona kłódka w pasku adresu URL obok adresu domeny to za mało. W przypadku serwisów bankowych – cyberprzestępcy często wykorzystują podobną nazwę (domenę) dla której kupują certyfikat SSL. Następnie próbują drogą mailową naciągać Internautów na kliknięcie linka do fałszywej instytucji i podanie danych dostępowych. Internauci przeświadczeni o bezpieczeństwie nie sprawdzają dokładnie dla kogo jest wystawiony certyfikat SSL (OV lub EV) i wpisują dane dostępowe.

W przypadku certyfikatu SSL EV Internauta widzi nazwę instytucji obok nazwy domeny, w ten sposób od razu widzi, że ma połączenie do tej instytucji.

Z kolei, z punktu widzenia SEO – zastosowanie certyfikatu SSL na stronie internetowej sprzyja jej wyższym pozycjom w organicznych wynikach wyszukiwania. W tym miejscu rodzi się pytanie – czy algorytm Google (lub innej wyszukiwarki) premiuje względnie kiedy będzie premiował serwisy internetowe korzystające z certyfikatów OV lub EV.

Porada

Przed zakupem certyfikatu SSL warto założyć dodatkowy adres Email (lub alias) w firmie w postaci: hostmaster@example.com, który będzie służył wyłącznie do korespondencji w tematyce związanej z serwisem internetowym, zgodny ze standardami (https://tools.ietf.org/html/rfc2142).

Podziel się swoją opinią i poleć lekturę wpisu swoim znajomym!