W latach 2011-2013 odsetek e-sklepów w Polsce, które korzystają z technologii SSL wzrósł ponad dwukrotnie.

Robiąc zakupy online, korzystając z bankowości internetowej, czy też logując się do serwisów społecznościowych można zauważyć, że adresy większości z tych stron różnią się od standardowych. Zamiast od http:// zaczynają się od https://, a pasek adresu jest zielony. Co sprawia, że już na pierwszy rzut oka strony te są tak wyjątkowe?

Jest to szczególna ochrona, jakiej podlegają dane przesyłane przez użytkowników na tego typu strony. Powyższe oznaczenia dają do zrozumienia, że strona posiada certyfikat SSL wykorzystujący technologię szyfrującą połączenie pomiędzy serwerem a odbiorcą. Takich stron jest coraz więcej, ponieważ rośnie świadomość dotycząca bezpieczeństwa online, a zarazem ceny certyfikatów są dużo niższe i bardziej przystępne, niż jeszcze kilka lat temu. Dzięki temu w latach 2011-2013 odsetek e-sklepów w Polsce, które korzystają z technologii SSL wzrósł ponad dwukrotnie - z 21% do 45%.

Jak to działa?
Po wejściu na stronę zabezpieczoną SSL (1), użytkownik otrzymuje klucz publiczny (2). Zostaje on wykorzystany do stworzenia jednorazowego klucza szyfrującego (3). Następnie serwer za pomocą otrzymanego klucza ustanawia szyfrowane połączenie, pozwalające na bezpieczną wymianę danych (4). Cały proces trwa ułamki sekund i stworzone w ten sposób połączenie jest doskonale chronione przed hakerami i złośliwym oprogramowaniem.

Uproszczony schemat szyfrowania SSL

Gdzie wykorzystuje się certyfikaty SSL?
Zakres zastosowań technologii SSL jest bardzo szeroki. Zabezpiecza ona pieniężne transakcje online, szyfruje dane umożliwiające logowanie do wszelkiego rodzaju serwisów internetowych, a także zapewnia prywatność korespondencji elektronicznej. Certyfikat SSL uwierzytelnia również stronę www, potwierdzając jej autentyczność. Podsumowując: chroni m. in. przed kradzieżą haseł, numerów kart i kont bankowych, a także wszelkich danych, które mogą zostać wykorzystane do nielegalnych działań lub do logowania się w sieci.

Świadectwo szyfrowania danych jest doceniane przez sklepy i serwisy internetowe nie tylko jako przystępny sposób zyskania wiarygodności w oczach klientów, ale także jako narzędzie ułatwiające spełnienie wymogów Ustawy o ochronie danych osobowych. Art. 36 ustawy nakłada na administratora obowiązek zabezpieczenia wrażliwych danych m.in. przed ich nieuprawnionym ujawnieniem, zmianą, uszkodzeniem lub zniszczeniem.

Protokół HTTPS powinien być obecny wszędzie tam, gdzie użytkownicy zostawiają swoje dane. Nie tylko podczas logowania, ale również przy wypełnianiu różnego rodzaju formularzy i kwestionariuszy. Najwygodniejszym rozwiązaniem, zarówno z punktu widzenia administratora serwisu jak i korzystających, jest zastosowanie certyfikatu SSL już na stronie głównej. Pozwoli to uniknąć sytuacji, w której hakerzy umieszczają na stronie fragment kodu, który po kliknięciu linku przenosi nas na odpowiednio spreparowaną stronę, łudząco podobną do oryginalnej. Technologia SSL zabezpieczająca stronę główną gwarantuje, że wszystkie linki umieszczone w serwisie są bezpieczne.

Odsetek e-sklepów chronionych certyfikatem SSL systematycznie rośnie

SSL jest nieodzowny w przypadku instytucji finansowych, sklepów internetowych, serwisów aukcyjnych, instytucji publicznych i sieci firmowych.

Wybór optymalnego certyfikatu
Oferta certyfikatów SSL jest naprawdę szeroka i znalezienie odpowiedniego do indywidualnych wymagań jest dość prostym zadaniem, m.in. dzięki obecności porównywarek internetowych, takich jak CertyfikatySSL.pl (https://certyfikatyssl.pl). Pierwszym krokiem powinno być więc podjęcie decyzji do jakich celów certyfikat będzie służyć.

Podstawowe certyfikaty służą do ochrony pojedynczej domeny. Posiadacze wielu stron pod różnymi adresami powinni wybrać certyfikat multi-domain chroniący nawet kilkaset takich stron. Natomiast certyfikaty typu wildcard będą optymalne w przypadku serwisów z wieloma subdomenami (np. sklep.przykład.pl, login.przykład.pl).

Następnym krokiem będzie wybór walidacji, czyli sposobu potwierdzenia wiarygodności wnioskodawcy. W zależności od weryfikacji dzielą się one na: domenową (DV), organizacyjną (OV) i rozszerzoną (EV).

Najszybszą metodą uzyskania certyfikatu SSL jest walidacja w oparciu o prawo własności domeny (DV). Cała weryfikacja odbywa się drogą elektroniczną i może trwać zaledwie kilka minut.

W przypadku certyfikatów OV wystawca sprawdza prawo aplikanta do używania danej domeny, a dodatkowo weryfikuje także firmę. Weryfikacja danych odbywa się na podstawie dokumentów przesłanych przez wnioskodawcę.

Obecność certyfikatu EV jest natychmiast dostrzegalna w przeglądarce

Certyfikaty EV o rozszerzonej walidacji to gwarancja najwyższej jakości zabezpieczeń i świadectwo spełnienia procedur związanych z uzyskaniem certyfikatu SSL. Proces ich wydawania jest uregulowany specjalnymi wytycznymi i obejmuje poza sprawdzeniem prawa wnioskodawcy do domeny również skrupulatną weryfikację firmy, włącznie z kontaktem telefonicznym. Ten typ certyfikatu, oprócz szyfrowania danych umożliwia użytkownikom serwisu wgląd w szczegółowe dane dotyczące właściciela strony i certyfikatu, a pasek adresowy w przeglądarce wyświetla się na zielono.

Porównanie cen certyfikatów wybranych wystawców zależnie od walidacji. Wszystkie ceny netto przy zakupie na 1 rok. Na podstawie serwisu CertyfikatySSL.pl.

Poza ochroną samej strony www warto pamiętać także, że wiele prywatnych danych przesyłanych jest poczta elektroniczną. Certyfikaty do ochrony poczty e-mail (tzw. S/MIME) potwierdzają tożsamość nadawcy i szyfrują wiadomości, które dzięki temu mogą zostać odczytane tylko przez właściwego adresata.

Wybór dokonany, co dalej?
Po wyborze i zamówieniu certyfikatu niezbędne jest utworzenie pliku CSR (Certificate Signing Request). Plik CSR zawiera wszystkie dane pozwalając stworzyć certyfikat i przypisać go do konkretnej strony www i organizacji. Niektóre serwisy np. CertyfikatySSL.pl oferują szereg narzędzi (https://certyfikatyssl.pl/ssl-tools.html), ułatwiając uzyskanie pozyskanie i obsługę certyfikatu SSL

Po zainstalowaniu certyfikatu należy go przetestować w celu potwierdzenia poprawności instalacji i prawidłowego działania. Najprostszym ze sposobów jest otwarcie strony w różnych przeglądarkach internetowych. Teraz pozostaje już tylko zadbać o bezpieczeństwo posiadanego certyfikatu, które zależy w dużej mierze od sposobu, w jaki obchodzimy się z jego kluczem prywatnym. Każdy, kto ma dostęp do klucza może odszyfrować dane przesyłane z i do serwera. W związku z tym należy zadbać o odpowiednie jego zabezpieczenie. W tym celu należy zapewnić dostęp do niego tylko osobom uprawnionym. Nie wolno trzymać go w łatwo dostępnym miejscu (np. na pulpicie komputera), nikomu nie udostępniać, nie przesyłać nieszyfrowanymi kanałami i pamiętać, że podobnie, jak w przypadku PIN-u do karty, czy hasła do bankowości mobilnej, nikt nigdy nie zapyta o jego podanie, chyba że będzie miał podejrzane zamiary.

Gdzie kupić certyfikat SSL?
Zakupu warto dokonać u sprawdzonego i wiarygodnego sprzedawcy, który w swojej ofercie ma produkty najbardziej uznanych światowych wystawców certyfikatów, co świadczy nie tylko o ich zaufaniu do niego, ale dodatkowo oznacza, że oferta dostępnych certyfikatów jest wyjątkowo szeroka. Podczas wyboru miejsca zakupu należy wziąć pod uwagę wsparcie sklepu przy doborze optymalnego certyfikatu i jego instalacji. Obszerny dział pomocy i łatwo dostępne wsparcie asystentów do znak, że jesteśmy w dobrym miejscu.