Co to jest SSL? Twój przewodnik po bezpiecznych stronach internetowych
Opublikowany: 2024-06-21Zapewne zauważyłeś, że niektóre strony internetowe zaczynają się od HTTP, a inne od HTTPS (zazwyczaj jest to oznaczone zielonym tekstem z kłódką, szczególnie gdy próbujesz uzyskać dostęp do wrażliwej witryny lub strony płatności).
Czy zastanawiałeś się kiedyś, dlaczego tak się dzieje i co to oznacza? Cóż, te dodatkowe „s” w HTTP oznaczają, że witryna, do której próbujesz uzyskać dostęp, jest bezpieczna i że cała transmisja danych jest szyfrowana dzięki szyfrowaniu SSL.
Sprawdźmy na ten temat więcej i postaramy się odpowiedzieć na wszystkie Twoje pytania i wątpliwości w tym obszernym poście.
Co to jest SSL?
SSL lub Secure Socket Layer to standardowa technologia zabezpieczeń, która wykorzystuje specjalny protokół bezpieczeństwa oparty na szyfrowaniu w celu ustanowienia szyfrowanego połączenia między serwerem a klientem. Albo pomiędzy serwerem WWW i przeglądarką, albo serwerem pocztowym i klientem poczty e-mail.
Ta technologia szyfrowania zapewnia, że cała transmisja danych lub komunikacja pomiędzy serwerem internetowym a klientem pozostaje prywatna i integralna.
Protokół SSL, wprowadzony po raz pierwszy w 1995 roku przez firmę Netscape, miał na celu zabezpieczenie komunikacji internetowej, ochronę prywatności oraz zapewnienie uwierzytelnienia i integralności danych.
Teraz używamy zaawansowanej wersji protokołu SSL, znanej jako TLS lub szyfrowanie Transport Layer Security.
Co to są protokoły SSL i TLS? Czy oni są tacy sami?
Zarówno SSL, jak i TLS to standardowe kryptograficzne protokoły internetowe, opracowane specjalnie w celu zapewnienia bezpiecznej i szyfrowanej komunikacji w sieci komputerowej.
SSL jest poprzedniczką lub bardziej zaawansowaną wersją protokołu TLS opracowaną przez grupę zadaniową Internet Engineering Task Force w roku 1999. Początkowo nosił nazwę SSL 3.1, ale po niewielkich udoskonaleniach i ulepszeniach bezpieczeństwa i wydajności, nazwano go TLS.
SSL ma pewne wady i luki, które mogą narazić każdą witrynę internetową na ryzyko. Nawet wersje SSL 2.0 i SSL 3.0 zostały oznaczone jako niebezpieczne i nie są już zalecane do użytku.
TLS odkrył te słabości i luki w zabezpieczeniach protokołu SSL i opracował bardziej wyrafinowaną i silniejszą metodę szyfrowania. Obecnie TLS 1.2 i 1.3 są uważane za najbezpieczniejsze i najczęściej używane wersje.
Oczywiście, oto krótka tabela porównawcza, która pomoże Ci lepiej zrozumieć różnice między SSL i TLS:
Funkcja | SSL | TLS |
---|---|---|
Pełne imię i nazwisko | Bezpieczna warstwa gniazd | Bezpieczeństwo warstwy transportowej |
Opracowany przez | Netscape | Grupa zadaniowa ds. inżynierii internetowej (IETF) |
Aktualny stan | Przestarzałe | Aktywny |
Ostatnia wersja | SSL 3.0 | TLS 1.3 |
Bezpieczeństwo | Podatne na zagrożenia (SSL 2.0 i SSL 3.0 są uważane za niebezpieczne) | Bezpieczniejsze dzięki ciągłym ulepszeniom w każdej wersji |
Algorytmy szyfrowania | Obsługuje starsze, mniej bezpieczne algorytmy | Obsługuje nowsze, silniejsze algorytmy |
Skuteczność uścisku dłoni | Więcej kroków, mniej wydajnie | Usprawnione, bardziej wydajne |
Wznowienie sesji | Ograniczone możliwości | Zaawansowane mechanizmy (bilety sesji, identyfikatory sesji) |
Protokół zapisu | Mniej wydajna i elastyczna | Poprawiona wydajność i bezpieczeństwo |
Zastosowanie w praktyce | Rzadko używany, uważany za przestarzały | Szeroko stosowany standard bezpiecznej komunikacji |
Kompatybilność wsteczna | Kompatybilny ze starszymi systemami | Może współpracować ze starszymi wersjami SSL, ale preferuje bezpieczne algorytmy i protokoły |
Certyfikaty cyfrowe | Używa starszych typów certyfikatów | Wykorzystuje nowoczesne typy certyfikatów i obsługuje dodatkowe funkcje, takie jak zszywanie OCSP |
Jak działa SSL/TLS?
SSL/TLS wykorzystuje technologię opartą na certyfikatach w celu ustanowienia szyfrowanego połączenia pomiędzy serwerem a klientem.
Certyfikat ten zawiera klucz publiczny, który pozwala sprawdzić, czy witryna jest zaufana i umożliwia szyfrowanie danych. Oznacza to, że informacje są przekształcane w specjalny kod przy użyciu kryptografii, którego inne osoby nie mogą łatwo odczytać. Tylko serwer ma pasujący klucz prywatny, który jest utrzymywany w tajemnicy, aby odszyfrować informacje.
Tak działa całe szyfrowanie SSL/TLS:
1. Podczas próby uzyskania dostępu do bezpiecznej części serwisu, tj. strony płatności lub logowania. Serwer witryny wysyła do Twojej przeglądarki swój certyfikat SSL.
2. Certyfikat ten zawiera klucz publiczny, który pomaga zidentyfikować serwer.
3. Następnie Twoja przeglądarka sprawdza, czy certyfikat jest ważny i autentyczny. (Ten krok pomaga sprawdzić, czy serwer jest autentyczny, a nie oszustem)
4. Po pomyślnej weryfikacji Twoja przeglądarka tworzy mały i tymczasowy klucz, zwany także symetrycznym kluczem sesyjnym, w celu szyfrowania danych przesyłanych podczas sesji.
5. Teraz Twoja przeglądarka szyfruje ten klucz sesji kluczem publicznym serwera (z certyfikatu) i wysyła go do serwera. (Ten krok jest ważny, aby mieć pewność, że tylko serwer może odczytać klucz sesji.)
6. Następnie serwer używa swojego klucza prywatnego do odszyfrowania klucza sesji.
7. Teraz zarówno przeglądarka, jak i serwer używają symetrycznego klucza sesji do szyfrowania i deszyfrowania wszystkich danych przesyłanych między nimi. (Dzięki temu dane pozostają prywatne i bezpieczne). Proces ten nazywany jest uzgadnianiem protokołu SSL/TLS. Tworzy bezpieczny, zaszyfrowany kanał między przeglądarką a serwerem, nie udostępniając poufnych informacji w niebezpieczny sposób.
Teraz jest gotowy do przesyłania danych przez Internet i wszystkie są zaszyfrowane, co czyni je nieczytelnymi dla każdego, kto mógłby spróbować je przechwycić. Ponadto protokół SSL/TLS podpisuje również cyfrowo dane, aby mieć pewność, że nie zostały one naruszone w celu zachowania integralności danych.
Co to jest certyfikat SSL?
SSL można używać tylko wtedy, gdy strony internetowe mają zainstalowany specjalny certyfikat, czyli certyfikat SSL. Ten certyfikat to mały plik danych, który pomaga ustanowić bezpieczne połączenie między serwerem a przeglądarką w celu prywatnego udostępniania danych.
Jest taki sam jak dowód osobisty, który zawiera wszystkie istotne informacje, które pomagają w identyfikacji.
Składniki certyfikatu SSL:
- Klucz publiczny : Ten klucz służy do szyfrowania danych i jest zawarty w certyfikacie SSL. Jest on udostępniany publicznie każdemu odwiedzającemu witrynę.
- Klucz prywatny : służy do odszyfrowywania zaszyfrowanych danych za pomocą klucza publicznego. Są one utrzymywane w tajemnicy i bezpiecznie przechowywane na serwerze internetowym.
- Urząd certyfikacji (CA) : zaufane źródło wystawiające certyfikaty SSL. Do tych urzędów certyfikacji należą organizacje takie jak DigiCert, Let's Encrypt i Comodo. Organ ten jest odpowiedzialny za weryfikację tożsamości osoby żądającej certyfikatu przed wydaniem certyfikatu SSL.
- Szczegóły zawarte w certyfikacie SSL :
- Nazwa domeny, dla której wystawiony jest certyfikat.
- Podmiot, dla którego wydawany jest certyfikat.
- Organ wydający.
- Podpis cyfrowy urzędu certyfikacji.
- Okres ważności certyfikatu (data rozpoczęcia i wygaśnięcia).
- Klucz publiczny.
- Dodatkowe informacje, takie jak typ certyfikatu i jego przeznaczenie.
Dlaczego certyfikaty SSL są ważne:
- Bezpieczeństwo : chroni wrażliwe dane podczas transmisji, zapobiegając nieautoryzowanemu dostępowi i naruszeniom danych.
- Zaufanie : buduje zaufanie użytkowników, zapewniając ich, że ich dane są bezpieczne. Strony internetowe posiadające certyfikaty SSL są oznaczane przez przeglądarki jako bezpieczne.
- Korzyści SEO : wyszukiwarki takie jak Google poprawiają ranking witryn obsługujących protokół HTTPS.
- Zgodność : Spełnia wymogi regulacyjne dotyczące ochrony danych w wielu branżach.
Jakie są różne typy certyfikatów SSL?
SSL nie ogranicza się tylko do określonego typu zabezpieczeń. SSL dotyczy szeregu certyfikatów. W Internecie można znaleźć różne rodzaje certyfikatów SSL. To są:
- Certyfikat SSL pojedynczej domeny
Już po samej nazwie można łatwo rozpoznać, jaki to rodzaj certyfikatu SSL. Certyfikat SSL chroni tylko jedną domenę. Na przykład, jeśli certyfikat jest wystawiony dla domeny „WPOven.com”, dotyczy on tylko tej domeny, a nie jej subdomen, takich jak „blog.wpoven.com” lub jakiejkolwiek innej domeny, takiej jak „example.com”.
- Certyfikat SSL z dziką kartą
Podobnie jak certyfikat SSL dla jednej domeny, dotyczy on jednej domeny, ale jest pewien haczyk. Dotyczy wszystkich subdomen utworzonych pod tą samą nazwą domeny.
Na przykład, jeśli certyfikat SSL został wydany dla domeny „WPOven.com”, będzie on dotyczył także jej subdomen, takich jak „blog.wpoven.com” i „shop.wpoven.com”.
- Certyfikat SSL dla wielu domen lub Unified Communications
Już sama nazwa wskazuje, że ten sam pojedynczy certyfikat SSL może być wystawiony dla wielu różnych lub tych samych domen.
Certyfikaty te są szczególnie przydatne w organizacjach zarządzających wieloma domenami i poddomenami, na przykład korzystającymi ze środowisk Microsoft Exchange i Office Communications.
Mogą one być bardzo opłacalne, zapewniać większe bezpieczeństwo i oferować znacznie więcej korzyści. Jednym certyfikatem mogą objąć nawet 100 domen.
- Certyfikat SSL o rozszerzonej walidacji (EV) :
Pierwszym rodzajem certyfikatu SSL, jaki można dziś znaleźć, jest certyfikat SSL o rozszerzonej walidacji. W tego typu certyfikacie urząd certyfikacji sprawdza uprawnienia wnioskodawcy do korzystania przez niego z konkretnej domeny. Certyfikat SSL o rozszerzonej walidacji przeprowadza wszechstronną i dokładną weryfikację organizacji.
Proces wydawania Certyfikatu EV SSL jest dość ściśle określony w wytycznych EV. Niniejsze wytyczne uwzględniają wszystkie wymagania stawiane urzędowi certyfikacji przed wydaniem certyfikatu.
Te wytyczne to:
- Weryfikacja istnienia fizycznego, prawnego i operacyjnego podmiotu
- Weryfikacja, czy podmiot dokładnie zorganizował wydawanie certyfikatu EV SSL
- Weryfikacja zgodności tożsamości podmiotu z oficjalnymi zapisami
- Weryfikacja, czy podmiot posiada uprawnienia do domeny, która została określona w Certyfikacie EV SSL
Certyfikat EV SSL jest dostępny dla praktycznie każdego rodzaju działalności. Od jednostek rządowych po przedsiębiorstwa zarejestrowane i korporacyjne – z certyfikatów może korzystać każdy.
- Certyfikat SSL z walidacją organizacyjną (OV).
Drugim powszechnie stosowanym typem certyfikatu jest certyfikat OV SSL. W tym certyfikacie urząd certyfikacji sprawdza uprawnienia wnioskodawcy do korzystania z danej domeny.
Ponadto przeprowadza także pewną weryfikację spółki. Inne sprawdzone informacje o firmie są również udostępniane klientom, gdy korzystają z pieczęci bezpiecznej witryny.
Certyfikat OV zapewnia lepszą widoczność osobom powiązanym z witryną.
- Certyfikat SSL sprawdzający domenę (DV).
Z drugiej strony, jeśli mówimy o certyfikatach, to Certyfikat SSL Domain Validation to nazwa, której nie możemy zapomnieć. W certyfikacie walidacji domeny urząd certyfikacji sprawdza uprawnienia wnioskodawcy do korzystania z danej nazwy domeny.
Jeśli jednak chodzi o tożsamość firmy lub informacje, nie jest wyświetlana żadna ilość informacji. Jedyne podawane informacje to zaszyfrowane informacje, które są przechowywane w bezpiecznej pieczęci witryny.
Powyższe trzy są obecnie najczęściej spotykanymi i używanymi typami certyfikatów SSL. Jednak inną nazwą, która zyskuje na popularności, jest Let's Encrypt.
Jak można uzyskać certyfikat SSL?
Przede wszystkim musisz zdecydować, który typ certyfikatu SSL będzie najlepiej odpowiedni dla Twojej firmy lub witryny internetowej.
Chociaż standardowy certyfikat SSL jest wystarczający do zapewnienia ochrony, jeśli witryna internetowa działa w regulowanej niszy branżowej, takiej jak finanse czy ubezpieczenia, może wymagać niestandardowego certyfikatu SSL. Najlepiej skonsultować się z zespołem IT, aby wybrać najbardziej odpowiednią opcję.
Koszt certyfikatu SSL może się różnić w zależności od dostawcy i wymagań stawianych Twojej witrynie. Dostępnych jest jednak również wiele bezpłatnych opcji.
Niektóre firmy hostingowe zapewniają w swoich planach bezpłatny protokół SSL, np. WPOven . Nawet Cloudflare zapewnia bezpłatny protokół SSL/TLS za pomocą jednego kliknięcia.
Dodatkowo Let's Encrypt zapewnia również bezpłatne certyfikaty SSL. Lepiej byłoby jednak skonfigurować i skonfigurować go przez zespół IT lub zwrócić się o pomoc do specjalisty technicznego.
Darmowe certyfikaty SSL, Let's Encrypt: Czym są certyfikaty Let's Encrypt
Let's Encrypt to urząd certyfikacji uruchomiony w kwietniu 2016 r. Certyfikat zapewnia bezpłatne certyfikaty X.509 do szyfrowania TLS (Transport Layer Security) w zautomatyzowanym procesie, który ma na celu wyeliminowanie istniejących złożonych procesów sprawdzania poprawności, podpisywania i ręcznego tworzenia , instalacja i odnawianie certyfikatów dla bezpiecznych stron internetowych.
Strony zaangażowane w Let's Encrypt lub powiedzmy Let's Encrypt to usługa świadczona przez ISRG (Internet Security Research Group), organizację pożytku publicznego.
Do głównych sponsorów certyfikatu należą Electronic Frontier Foundation, Mozilla Foundation, Cisco Systems i Akamai.
Już w czerwcu 2015 roku Let's Encrypt zdołał wygenerować certyfikat główny RSA z kluczem prywatnym przechowywanym w danym sprzętowym module bezpieczeństwa, który był utrzymywany w trybie offline. Certyfikat główny służy do podpisywania 2 różnych certyfikatów pośrednich, które są podpisane krzyżowo przez IdenTrust.
Jeden z tych certyfikatów pośrednich służy do podpisywania wydanego i wystawianego certyfikatu, natomiast drugi jest utrzymywany w trybie offline, aby wykorzystać go jako kopię zapasową w przypadku problemów z pierwszym certyfikatem pośrednim.
Jak sprawdzić certyfikat SSL witryny internetowej?
Gdy odwiedzasz witrynę internetową, która ma włączone zabezpieczenie SSL, w przeglądarkach pojawiają się pewne wskaźniki wizualne.
1. Adres URL będzie zaczynał się od „://HTTPS”, a nie „://http”.
2. Ikona kłódki pojawi się wraz z adresem URL w pasku adresu przeglądarki.
Ikona kłódki pojawi się po lewej stronie adresu URL witryny.
3. Certyfikat okazał się ważny.
Istnieje ryzyko, że nawet jeśli na Twojej stronie internetowej widnieje „://HTTPS” lub ikona kłódki, certyfikat SSL może być nadal nieważny lub wygasł.
Przeglądarka powiadomi Cię i poprosi również o pewne informacje z Twojej strony. W takim przypadku należy przeprowadzić dalsze badania i sprawdzić ważność protokołu SSL witryny, klikając po prostu ikonę „wyświetl informacje o witrynie” w przeglądarce Chrome, jak pokazano poniżej:
4. Możesz także skorzystać z prostego darmowego narzędzia do sprawdzania SSL firmy WPOven.
Streszczenie
SSL/TLS zapewnia podstawową warstwę bezpieczeństwa w komunikacji internetowej, co oznacza, że przynajmniej podstawowa strona internetowa musi mieć włączoną tę funkcję bezpieczeństwa. Choć brzmi to bardzo prosto, jest to jeden z najpotężniejszych systemów bezpieczeństwa, który zapobiega kradzieży danych i naruszeniom prywatności.
Nie musisz decydować się na wymyślne i drogie funkcje SSL; nawet standardowy może wykonać to zadanie. Dostępnych jest wielu bezpłatnych dostawców certyfikatów SSL i jedyne, co musisz zrobić, to odnawiać ich od czasu do czasu.
Jednak uzyskanie go od osób trzecich ma swoje wady. Możesz tego łatwo uniknąć, wybierając po prostu usługodawcę hostingowego, który zapewnia bezpłatny SSL w swoich planach hostingowych, tak jak oferuje to WPOven.
Jeśli masz jakieś pytania lub sugestie dotyczące protokołu SSL, daj nam znać w sekcji komentarzy poniżej:
Rahul Kumar jest entuzjastą sieci i specjalistą ds. strategii treści, specjalizującym się w WordPressie i hostingu. Dzięki wieloletniemu doświadczeniu i zaangażowaniu w bycie na bieżąco z trendami branżowymi tworzy skuteczne strategie online, które generują ruch, zwiększają zaangażowanie i zwiększają konwersję. Dbałość Rahula o szczegóły i umiejętność tworzenia atrakcyjnych treści czyni go cennym nabytkiem dla każdej marki chcącej poprawić swoją obecność w Internecie.