Obecnie strony internetowe nie są już tylko wizytówkami firm, fotoblogami i forami dyskusyjnymi. Przez internet robimy zakupy, przelewamy pieniądze, udostępniamy swoje dane osobowe lub opłacamy rachunki. Coraz więcej użytkowników zdaje sobie również sprawę z zagrożeń jakie czyhają na nas w sieci. Dlatego też SSL stał się standardem w internetowej przestrzeni, bez niego w zasadzie każda z wymienionych wyżej czynności stałaby się potencjalnym zagrożeniem. Zatem czym w ogóle jest SSL i dlaczego jego brak na stronie to wielki transparent z napisem „hej, tutaj możesz wykraść dużo danych, śmiało”?

Dodatkowo – dlaczego mimo prostoty wdrożenia wciąż wielu właścicieli stron www zadaje sobie pytanie „dlaczego ten SSL nie działa”?

Czym jest certyfikat SSL?

Nazwa SSL to skrót od angielskich słów Secure Socket Layer, opisujących technologię powstałą w 1994 roku jako protokół umożliwiający szyfrowanie strumienia informacji biegnących między użytkownikiem strony internetowej a jej serwerem. Gwarantuje on bezpieczeństwo i poufność przesyłanych danych.

Za pomocą SSL szyfrujemy wiele rodzajów połączeń – zarówno FTP, pocztę e-mail, najczęściej jednak spotykamy go przy zabezpieczeniach protokołu HTTP – co daje nam razem HTTPS (Hyper Text Transfer Protocol Secure). Jego metoda działania opiera się na:

  1. Kluczach szyfrujących
  2. Certyfikacie uwierzytelniającym.

Jak to działa w praktyce? Obydwie strony (serwer i użytkownik) posiadają dwa klucze – publiczny oraz prywatny. Kiedy użytkownik zwraca się do serwera z zapytaniem o udostępnienie jakichkolwiek danych, ten prosi przeglądarkę o klucz publiczny. Z jego pomocą dokonuje szyfrowania danych, które przesyła z powrotem do przeglądarki. Ta z kolei za pomocą klucza prywatnego odszyfrowuje dane i przekazuje je końcowemu użytkownikowi. W odwrotnej sytuacji, kiedy to wspomniany użytkownik wysyła dane do serwera (np wypełniając formularz kontaktowy) to przeglądarka odpytuje serwer o klucz publiczny, za jego pomocą szyfrując dane, które ten odczytuje za pomocą klucza prywatnego.

Kiedy użyć SSL?

Teoretycznie używanie certyfikatów szyfrujących nie jest w żaden sposób regulowane prawnie, właściciele witryn nie mają też obowiązku instalacji ich na swoich stronach internetowych. Jest on jednak bardzo zalecany dla wszystkich serwisów gromadzących i przetwarzających dane osobowe, szczególnie dla:

  1. stron urzędowych
  2. portali oświatowych i korporacyjnych
  3. stron obsługujących jakiekolwiek płatności
  4. sklepów internetowych
  5. aplikacji typu klient-serwer
  6. poczty e-mail
  7. blogów korzystających z newsletterów i list mailingowych.

Obecnie zapisy regulujące rozporządzenie o RODO nie nakazują używania SSL, stawiają jednak one przed właścicielami witryn wymagania, które w praktyce można spełnić jedynie za ich pomocą. Dane, w szczególności osobowe mają obowiązek być szyfrowane w sposób zapewniający ciągłość tej poufności. W praktyce oznacza to, że każda strona zawierająca takie dane wymagają konieczności wprowadzenia certyfikatu SSL.

Typy certyfikatów SSL

SSL dzielimy na 3 grupy. Każda z nich zapewnia inny poziom bezpieczeństwa i jest dedykowana innemu typowi strony internetowej.

  1. DV – Domain Validation – podczas jego wystawiania weryfikuje się jedynie to, czy wnioskujący o niego ma prawo do korzystania z domeny, którą chce zabezpieczyć. Jest wykorzystywany na prywatnych stronach internetowych oraz blogach.
  2. OV – Organisation Validation – ten rodzaj certyfikatu weryfikuje nie tylko prawa do domeny, ale także dane samego wnioskującego – konieczne przesłanie jest np. danych z chociażby KRS do instytucji wystawiającej certyfikat. Wykorzystywane są w komercyjnych projektach takich jak sklepy i duże portale informacyjne.
  3. EV – Extended Validation – najwyższy poziom certyfikacji, oprócz praw do domeny, sprawdzane są także szczegółowe dane wnioskującego – faktycznie prowadzoną działalność, status prawny itp. Jest wykorzystywany przez duże instytucje finansowe, banki oraz strony rządowe.

Oprócz tych trzech głównych grup, warto wymienić także certyfikaty wildcard – czyli takie, które wystawia się nie tylko na pojedyncze domeny, ale także na wszystkie jej subdomeny.

Certyfikat SSL – zalety.

Największą zaletą posiadania certyfikatu jest oczywiście zapewnienie bezpieczeństwa danych, a co za tym idzie samych użytkowników. Warto jednak wspomnieć o kilku innych plusach takiego rozwiązania:

  1. Poprawienie SEO – specjaliści od pozycjonowania są pewni – SSL jest jednym z czynników branych pod uwagę w rankingach Google. Samo posiadanie certyfikatu nie zapewni pierwszego miejsca w wyszukiwarce, na pewno jednak pomoże w walce o wysokie pozycje.
  2. Wiarygodność – szyfrowanie danych sprawia, że ich przechwycenie staje się praktycznie niewykonalne. Dodatkowo eliminuje ryzyko nieautoryzowanego naruszenia tychże.
  3. Budowanie zaufania – świadomość użytkowników internetu stale rośnie, a witryna zabezpieczona SSL daje im do zrozumienia, że ich dane są bezpieczne. Podnosi to ich zaufanie i sprawia, że nasza witryna zyskuje na wiarygodności.
  4. Chroni przed phishingiem – czyli sposobem wykradzenia danych przez podrobioną stronę. O ile złodzieje są w stanie praktycznie identyczną z oryginałem stronę internetową, to certyfikatu SSL na szczęście nie są w stanie podrobić.

Warto wspomnieć, iż posiadanie certyfikatu SSL staje się wymogiem, na który kładzie nacisk wiele organizacji. Uruchamianie sklepu internetowego, tworzenie newsletterów na WordPress, czy wprowadzanie na stronę płatnych treści – brak certyfikatu SSL może w praktyce zablokować możliwość wprowadzenia tych rozwiązań.

Ok, ale dlaczego mój certyfikat SSL nie działa?

Instalacja certyfikatu nie jest trudna, ale może przysporzyć wielu problemów, zwłaszcza użytkownikowi pozbawionemu doświadczenia we wdrażaniu podobnych technologii na swoją stronę.

Brak przekierowania.

Jeden z najczęstszych (o ile nie najczęstszy) problem dotyczący instalacji certyfikatu. W zrozumieniu jego istoty należy wytłumaczyć podstawowe założenie – witryna HTTP i HTTPS to dwie różne wersje witryny, posiadające jednak duplikujące się treści. Wpływa to negatywnie na pozycjonowanie i pozycje w Google.

Przekierowanie warto dodać w pliku .htaccess za pomocą prostej komendy:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Wymusi ono stosowanie https:// w adresach URL na naszej stronie.

Odwołania do zewnętrznych, nieszyfrowanych serwerów.

Na ten problem łatwo trafić jeśli nasza witryna korzysta z plików lub skryptów umieszczonych na serwerach nie posiadających certyfikatu SSL. Warto dokładnie sprawdzić odwołania do zewnętrznych źródeł, zmienić ścieżki „http” na „https” – w razie dalszych problemów, konieczne może okazać się wdrożenie SSL na zewnętrznym serwerze.

Nieaktualny sitemap.xml

Łatwo o tym zapomnieć, ale po wdrożeniu SSL należy przygotować nową mapę witryny oraz przekazać ją do Google Search Console, co przyspieszy indeksowanie.

Większość problemów pojawiających się podczas wdrażania certyfikatu SSL na swojej stronie wynika z braku wiedzy lub doświadczenia na temat działania serwisów internetowych, serwerów, jak i samego Internetu. Mam nadzieję, że powyższy poradnik rozwiał chociaż część wątpliwości na temat mechaniki działania i korzyści jakie instalacja SSL przyniesie każdej stronie internetowej. Samodzielne wdrożenie jest oczywiście możliwe, jednak w razie jakichkolwiek problemów zapraszam do skorzystania z oferty usług Zakoduje. W taki sposób postąpiła Marta z bloga martkanatura.pl, której przypadek opisywałem w tym miejscu. Zarówno ona, jak i pozostali nasi Klienci nie troszczą się już o kwestie techniczne swojej witryny, a skupiają się na rozwoju swoich internetowych projektów.

Wdrożenie SSL

PLNod 149 netto

Instalacja certyfikatu SSL dla Twojej strony internetowej.+ Darmowy audyt Twojego Bloga.