Ładowanie

Certyfikaty SSL

Zastanawiałeś się kiedyś, jak banki zapewniają swoi klientom maksymalne bezpieczeństwo? Gwarant poufności i integralności przesyłanych danych stanowi właśnie technologia SSL/TLS, odpowiedzialna za zabezpieczanie internetowych transmisji. Ten sam mechanizm odpowiada także za dodatkową weryfikację tożsamości podmiotu, na którego został on wystawiony.

Certyfikaty SSL są oferowane przez wielu wystawców i skierowane dla odmiennych grup docelowych. Różni je od siebie wszystko: sposób wydawania, funkcjonalność, a przede wszystkim przeznaczenie. Warto także wspomnieć o różnicach cenowych, zależnych przede wszystkim od prestiżu konkretnych wydawców. Na przykład certyfikaty wystawione przez Verisign, jedną z najbardziej rozpoznawalnych marek, są nawet kilka razy droższe niż te pochodzące od mniej znanej konkurencji.

Kto potrzebuje certyfikatów SSL? Oprócz systemów bankowości elektronicznej są one niezbędne wszędzie tam, gdzie podajemy i przetwarzamy istotne dane, w tym loginy, hasła czy numery kart. Używa się ich w sklepach internetowych, na stronach WWW i portalach internetowych. Dzięki nim użytkownicy danego systemu są bezpieczni, a firma zyskuje wiarygodność i zaufanie.

PODSTAWOWE GRUPY CERTYFIKATÓW

Za bezpieczeństwo w sieci odpowiada kilka typów certyfikatów cyfrowych. Można wśród nich przeprowadzić podział ze względu na ich zasadnicze przeznaczenie. Wyróżniamy zatem:

  • certyfikaty kwalifikowane – pozwalają złożyć kwalifikowany podpis o wadze takiej, jak podpis odręczny. Wydaje się je jedynie osobom fizycznym, a stosuje np. w komunikacji z publiczną administracją.
  • certyfikaty niekwalifikowane – inaczej: powszechne. Dzięki nim można złożyć podpis pod elektronicznymi dokumentami, ważnymi e-mailami itd. Nie jest on wprawdzie równoważny z podpisem odręcznym, ale przy zawarciu wiążącej umowy przez partnerów biznesowych jego skutki prawne będą z nim tożsame.
  • grupa certyfikatów specjalnych – część z nich pełni funkcję elektronicznego ID; inne służą do podpisywania kodu oprogramowania cyfrowego albo chronią komunikację VPN.
  • certyfikaty SSL – ich zadaniem jest zabezpieczanie serwerów WWW i poczty elektronicznej. Potwierdzają one tożsamość i/lub dane podmiotu, na które zostały wystawione, a także zapewniają, że odwiedzana strona jest tą, za którą się podaje. O ochronie za pomocą certyfikatu SSL świadczy site seal, czyli tzw. pieczęć. Można ją umieścić na głównej witrynie, ekranie logowania lub na stronie z płatnościami. Dzięki rozpoznawalnemu symbolowi każdy odwiedzający ma pewność, że jego dane są w pełni bezpieczne.

TRZY TYPY WALIDACJI

Istnieją trzy podstawowe typy certyfikatów SSL, które określa się na podstawie poziomu weryfikacji (walidacji) danego podmiotu, jakiemu wydaje się certyfikat. Im wyższy poziom walidacji, tym wyższa cena certyfikatu, więcej formalności i dłuższy proces jego wystawiania. Poniżej przedstawiamy krótką specyfikację poszczególnych typów walidacji w kolejności od najmniej do najbardziej dokładnej metody:

  1. Certyfikat DV (Domain Validation) – czyli certyfikat z weryfikacją domeny. Walidacja dokonuje się w sposób zautomatyzowany i obejmuje informacje zgromadzone w systemie DNS dla domeny danego serwera oraz dane podmiotu ubiegającego się o certyfikat. Weryfikacja nie obejmuje natomiast danych organizacji. W certyfikacie DV zawarta jest jedynie nazwa domeny bez żadnych dodatkowych informacji o podmiocie.

    Certyfikat DV jest najtańszy, a jego wystawienie trwa zaledwie parę minut. Zautomatyzowanie całego procesu wiąże się jednak z pewnymi ograniczeniami. Certyfikaty te potwierdzają bezpieczeństwo danej strony, ale nie dostarczają żadnej wiedzy o jej wydawcy. Dlatego sprawdzają się w przypadku takich transmisji danych, które odbywają się między ufającymi sobie stronami.
     
  2. Certyfikat OV (Full Organization Validation) – czyli certyfikat z weryfikacją właściciela. Oprócz powyższych danych wydawca podejmuje się także walidacji samego podmiotu, który ma otrzymać certyfikat. Tym samym będzie on zawierał nie tylko nazwę i dane firmy, ale i potwierdzał, że podmiot jest właścicielem serwisu. Certyfikatu OV nie można otrzymać bez złożenia dokumentów rejestrowych firmy, za to potrafi on zabezpieczyć większą liczbę domen. 

    Ten rodzaj certyfikatu jest nieco droższy niż typ DV, wymaga dodatkowych formalności, a jego wydanie trwa zazwyczaj 1-2 dni. Jest on najczęściej stosowany przez strony WWW, portale i sklepy internetowe.
     
  3. Certyfikat EV (Extended Validation) – wersja z rozszerzoną weryfikacją właściciela certyfikatu. Najdroższy i wymagający największej cierpliwości, a jednocześnie najbardziej szczegółowy typ. Dany podmiot musi przed jego uzyskaniem przejść trzy stopnie weryfikacji. Wszelkie kryteria w tym zakresie są ustalane przez CA/Browser Forum. Sprawdzeniu ulegają: dane rejestrowe firmy, umowy spółki i samo prawo do posługiwania się domeną. Wszystkie te dane zostają potwierdzone dzięki rozmowie przez telefon, a jeśli firma ma niecałe trzy lata, weryfikuje się także rachunek bankowy. Strony, które zostały zabezpieczone certyfikatem EV, posiadają zielony pasek adresu w przeglądarce oznaczony dodatkowo nazwą firmy. 

    Tak dokładna weryfikacja tożsamości skutecznie podnosi poziom zaufania klientów. Rozpoznawalny zielony pasek przekłada się na zainteresowanie ofertą i na zwiększoną sprzedaż. Jednocześnie nie są to sprawy tanie – ceny certyfikatów EV zaczynają się od 1000 złotych, a otrzymuje się je dopiero po kilku, nawet 10 dniach. Ubiegają się więc o niego duże firmy, banki i sklepy internetowe.

DLACZEGO WARTO?

Kupujący internauci są coraz bardziej świadomi niebezpieczeństw czyhających w sieci. Wielu z nich przykłada ogromną uwagę do bezpieczeństwa wykonywanych transakcji. Certyfikaty SSL podnoszą zaufanie konsumentów, a rosnąca liczba odwiedzin i zakupów przekłada się na większe zyski. W świecie e-biznesu certyfikaty SSL są nieomal niezbędne do osiągnięcia wymiernego sukcesu. Cały szkopuł tkwi w tym, żeby zdecydować się na odpowiedni typ certyfikatu. Najczęściej wybierany jest certyfikat OV. Jedno kliknięcie w symbol zamkniętej kłódki zapewnia klientom dostęp do informacji o podmiocie, któremu za moment udostępnią ważne dane. Jednocześnie ci przedsiębiorcy, którzy myślą o swoim biznesie naprawdę poważnie, powinni rozważyć zakup droższego, ale jeszcze bardziej prestiżowego certyfikatu EV.

Sprawdzanie certyfikatu

PODSTAWOWE RÓŻNICE MIĘDZY CERTYFIKATAMI SSL

Jak wybrać idealny certyfikat dla swojego e-biznesu? Ceny poszczególnych certyfikatów wahają się najczęściej od kilkudziesięciu do kilku tysięcy złotych, a czas oczekiwania podmiotu – od kilku minut do 10 dni. Typowy certyfikat SSL szyfruje dane z siłą albo 128, albo 256 bitów i jest kompatybilny z większością przeglądarek internetowych. Certyfikaty różnią się natomiast:

  • omówionym poziomem wiarygodności związanym z metodą walidacji (DV, OV oraz EV),
  • prestiżem, opinią i rozpoznawalnością wydawcy,
  • liczbą informacji ujętych w certyfikacie,
  • procedurą jego wystawienia (konieczną dokumentacją, czasem oczekiwania),
  • okresem ważności, który może trwać od roku do 5 lat,
  • sposobem oznaczenia w przeglądarce (zielony pasek właściwy certyfikatom EV),
  • liczbą objętych certyfikatem domen (jedna domena lub domena wraz z subdomenami, czyli certyfikaty typu wildcard, niedostępne przy opcji DV),
  • opcjami dodatkowymi – wsparciem dla SGC, pieczęcią wydawcy, itd.,
  • gwarancją finansową wydawcy certyfikatu.

Ostatni punkt wymaga pewnego doprecyzowania. Kwota gwarancji określa odpowiedzialność wystawcy w sytuacjach, w których dojdzie do niepoprawnej weryfikacji podmiotu, nieprawidłowego unieważnienia certyfikatu lub złamania jego klucza. Warto sprawdzić ową kwotę przed wybraniem swojego wydawcy – najwyższe poziomy gwarancji opiewają nawet na 1,5 miliona dolarów!

LET'S ENCRYPT: CERTYFIKAT SSL ZUPEŁNIE ZA DARMO?

Darmowy certyfikat ssl od lets encrypt

W sieci konkuruje ze sobą wiele wydawców certyfikatów SSL. Najwięcej udziałów na rynku posiada marka Verisign ze spółkami GeoTrust oraz Thawte. Ponadto wystawianiem certyfikatów zajmują się Comodo, Network Solutions, TrustWave, GoDaddy czy Unizeto Technologies. Oprócz marek o ugruntowanej pozycji w branży pojawiają się wciąż nowe, prężnie rozwijające się firmy. Warunki wystawiania certyfikatów są w nich często korzystniejsze niż u bardziej znanej konkurencji.

Urząd certyfikacji Let's Encrypt trafił do publicznego dostępu 12 kwietnia 2016 roku, przy czym wcześniejsza wersja beta została udostępniona już 3 grudnia 2015. Został on powołany z inicjatywy Internet Security Research Group, będącą organizacją pożytku publicznego. Za sponsoring projektu odpowiadają między innymi Mozilla, OVH oraz Cisco. Let's Encrypt generuje zupełnie darmowe certyfikaty szyfrowania TLS (X.509 Transport Layer Security).

Proces wystawiania może być całkowicie zautomatyzowany, dzięki czemu wszelkie wady ręcznego tworzenia certyfikatów zostają w pełni wyeliminowane. Jednocześnie oprócz działania w trybie automatycznym Let's Encrypt jest dostępny także w trybie manualnym. Podmioty ubiegające się o certyfikat są w stanie wybrać wygodniejszą dla nich metodę. W przypadku posiadania serwera z dostępem do linii komend zaleca się automatyczne wygenerowanie certyfikatu i wcześniejsze wykonanie kopii danych, żeby uniknąć niechcianych zmian w konfiguracji. W przypadku odwrotnym, lub jeśli podmiotowi zależy na maksymalnej kontroli nad skryptem, lepiej będzie skorzystać z opcji ręcznej. Wtedy oprócz wskazania domen do objęcia certyfikatem trzeba jeszcze umieścić na wybranym serwerze wskazany plik, co potwierdzi nasze uprawnienia właściciela.

Internet Security Research Group zapewnia, że generowane certyfikaty są rozpoznawane przez popularne przeglądarki jako zaufane. Oznacza to, że klienci otrzymują pełnoprawny, uznany, łatwy w wygenerowaniu certyfikat całkowicie za darmo. A zatem – gdzie jest haczyk? Otóż jedynym ograniczeniem jest krótki termin przydatności. Inne certyfikaty są zazwyczaj ważne od roku do 5 lat, natomiast ten wystawiony przez Let's Encrypt należy odnawiać na serwerze dokładnie co trzy miesiące. Przy tak wielkiej oszczędności nie wydaje się to jednak poważną barierą.


Artykuły blogowe

Formularz kontaktowy

Czekamy na Twoją wiadomość