Na co mi kłódka ?! – co to jest certyfikat SSL

Co to jest SSL?

SSL z angielskiego Secure Socket Layer, to protokół sieciowy używany do nawiązywania bezpiecznych połączeń sieciowych, transmisja jest szyfrowana  pomiędzy komputerem użytkownika a serwerem, ponadto pozwala potwierdzić tożsamość serwera. Certyfikat generuje się na podstawie żądania utworzenia certyfikatu CSR, na serwerze zapisany jest ponadto klucz prywatny umożliwiający rozszyfrowanie transmisji.

Kiedy strona powinna mieć certyfikat?

Idealnie było by gdyby każda strona internetowa posiadała certyfikat i szyfrowała transmisję, zaleca się by w sposób szyfrowany były wszelkie formularze (np. formularz kontaktowy), obowiązkowe powinno być stosowanie certyfikatów w formularzach logowania, oraz wszędzie tam gdzie są przesyłane dane teleadresowe i finansowe. Posiadanie przez stronę aktywnego certyfikatu w znaczący sposób utrudnia podsłuchanie transmisji na drodze do serwera. Ponadto by promować bezpieczeństwo firma Google postanowiła promować w wynikach wyszukiwania strony które posługują się prawidłowym certyfikatem SSL, a wszystkie ich podstrony objęte są certyfikatem.

Jak rozpoznać stronę zabezpieczoną certyfikatem  SSL?

Najprostszym wyróżnikiem jest zielona kłódeczka w pasku adresu  , jest to najprostsza klasa certyfikatu DV (Domain Validation) – weryfikowanego w procesie generowania wyłącznie na podstawie potwierdzenia własności domeny (najczęściej należy potwierdzić e-mail na koncie pocztowym w domenie – wskazanego przez wydawcę certyfikatu, najczęściej jest to admin@domena.pl), są jeszcze certyfikaty  OV (Organization Validation) – w procesie wydawania certyfikatu sprawdzana jest reprezentacja organizacji oraz klasa EV (Extended Validation) – firma występująca o certyfikat jest dokładnie weryfikowana, a w pasku adresu obok kłódki pojawia się nazwa organizacji występującej o certyfikat.

Konsekwencje braku certyfikatu

  • na stronach zawierających formularze w pasku adresu pojawi się napis Niezabezpieczona (użytkownicy powinni zaprzestać wpisywania informacji w obawie o swoje dane, ponadto w formularzach logowania w polach z loginem i hasłem pojawi się uciążliwe okienko 
  • Możliwość podsłuchania danych użytkowników na drodze pomiędzy nimi a serwerem, np w hotelowej sieci WIFI
  • Obniżenie rankingu strony w google
  • Nie możność serwowania zdjęć do niektórych portali aukcyjnych np. ebay, lub własnych zakładek w stronach facebook np. mapa klientów https://www.facebook.com/SelectStarpl/app/191407147592559/

Na jak długo wystawiany jest certyfikat?

Większość certyfikatów wystawiana jest na rok i należy je w porę odnowić, wyjątkiem są certyfikaty Let’s encrypt ważne 3 miesiące.

Czy każda strona może mieć certyfikat?

Możliwość instalacji certyfikatu zależy od budowy strony, należy zadbać o to by wszystkie grafiki i skrypty miały adres z przedrostkiem https, a  nie http w przeciwnym razie nie będą się one wyświetlać i otrzymamy ostrzeżenie „Mixed content”, oraz od wykupionego pakietu hostingowego.

3 komentarze

  1. Ciekawy jestem jak na te ssl patrzy zwykły użytkownik sieci. Czy w ogóle dostrzega te komunikaty z Chrome i coś sobie z tego robi. Sam łapię się na tym że generalnie mam to gdzieś. Przechodzę rejestrację klikając dwa razy w pole wybierając zestaw automatycznego wypełnienia formularza i przycisk dalej, a jako gość z branży powinienem chociaż jakiś przykład dać.

    1. Próbowałem znaleźć jakieś rzetelne statystyki jak SSL przekłada się na konwersję, ale póki co nie znalazłem 😉 Może ktoś ma link do czegoś takiego?

  2. Pingback: Pozycjonowanie w cenie wykonania strony ⋆ Blog Selectstar.pl

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *