Ludzka twarz certyfikatu SSL.
Od dłuższego czasu w mediach wszyscy trąbią o magicznej kłódce w przeglądarce, że szyfrowanie, że trzeba, że niebezpiecznie. Ludzie tyle lat żyli bez certyfikatów i czy naprawdę nam to potrzebne? W skrócie – potrzebne. I na tym teoretycznie można by zakończyć ten wpis, jest multum technicznych artykułów o korzyściach, rodzajach certyfikatów i ich wdrożeń. No właśnie, artykułów technicznych. My tu skupimy się nad ludzką twarzą certyfikatów SSL.
Co to jest ta „kłódka” i o co tyle szumu? Szyfrowanie to nic innego, jak przekazanie informacji pomiędzy serwerem a Twoją przeglądarką w sposób bezpieczny i tyle wystarczy z teorii. Na tym etapie 90% osób stwierdza, że nie jest im potrzebne szyfrowanie. Ale czy na pewno? Certyfikat SSL ma za zadanie bronić CIEBIE, nie serwer. Serwer i strona WWW, o ile nie wdrażał go kompletny laik, jest i tak dobrze chroniony, są gotowe konfiguratory i skrypty podnoszące bezpieczeństwo. I tu mam dla Ciebie złą wiadomość, istnieją też gotowe rozwiązania służące do atakowania. Specjalnie używam personalnie skierowanych określeń, żeby Ci uświadomić, że to nie firma sprzedająca coś przez swój sklep internetowy będzie miała problem, ale Ty, jeżeli ktoś Ci wykradnie pieniądze z konta. Nie jest problemem zainstalowanie na telefonie odpowiedniego programu, który będzie miał za zadanie ułatwić hacking metodą man-in-the-middle.
Dlaczego szyfrować?
Czy kiedykolwiek używałeś otwartej sieci WiFi? A może podłączasz się do swojej sieci firmowej lub dajesz hasło do swojej sieci WiFi gościom? A może ktoś był w zasięgu twojej sieci domowej i próbował się do niej dostać? Prawdopodobnie, granicząc z pewnością, byłeś w ten czy inny sposób atakowany.
Rodzajów ataków jest tyle, że nie ma sensu pisać o tym w jaki sposób i po co byłeś celem ataku, należy się zastanowić jak się przed tym obronić. I tu z odsieczą przybywa szyfrowanie – jak masz być atakowany, kiedy atakujący po prostu nie rozumie, co robisz?
To jest kwintesencja SSL – nikt, oprócz Ciebie i serwera usługodawcy, nie widzi, jakie akcje wykonujesz. Dlaczego to takie ważne? Otóż w chwili, gdy wchodzisz na dowolną stronę internetową, pomiędzy Tobą, a serwerem trwa wymiana informacji. Jeżeli ktoś, będąc np. w tej samej restauracji co Ty, uruchomi mały program w telefonie, ustawi się w tym ruchu pomiędzy Tobą, a serwerem, dzięki czemu będzie mógł Ci podmienić obrazki na stronie (wersja łagodna), lub jeżeli w tym czasie wysyłasz przelew, podmieni Ci numer konta na swój (wersja ciężka i całe szczęście w pewnym stopniu już archaiczna).
Szyfrowanie powoduje, że to, co Twoja przeglądarka rozumie doskonale po odszyfrowaniu, podsłuchujący widzi jako „szum”, czyli ciąg znaków, którego nie jest w stanie zrozumieć. Oczywiście jest tu dużo zależności, ważne są poziomy certyfikatów, a co za tym idzie ich cena, ale jak już wspomnieliśmy na początku, nie będziemy skupiać się na kwestiach technicznych.
Należy sobie uświadomić, iż szyfrowane strony, to już nie dobra zasada, to już podstawa mająca wpływ na SEO.
Producenci przeglądarek jakiś czas temu wprowadzili ostrzeżenie gdy odwiedzana strona jest nieszyfrowana, co jest dobrym rozwiązaniem. Nie musisz się już zastanawiać, czy ktoś Cię nie podsłuchuje, gdyż zostało załatwione to systemowo. To przeglądarka ma Cię ostrzec, jeżeli coś jest niebezpieczne, a nie Ty przeglądarkę. Słynna „kłódka” przekazuje Ci proste ostrzeżenie – tej stronie można lub nie można tak do końca ufać. Po prostu i aż tyle. Po co mamy myśleć o firmie, która nie chroni swoich klientów odwiedzających jej stronę? A jeżeli do tego pozawala logować się do siebie i dane logowania można podejrzeć? Czy Ty, jako klient, chciałbyś żeby ktoś podejrzał co zamawiasz lub o czym rozmawiasz? Wszystko to ma wpływ na wyniki pozycjonowania w Google. Posiadanie certyfikatu SSL ma pozytywny wpływ na pozycję w wynikach wyszukiwania – taka strona będzie po prostu pokazywała się wyżej.
Bezpieczeństwo kosztuje. Tyle że podstawowe bezpieczeństwo można mieć nieodpłatnie.
Certyfikaty SSL możemy podzielić na te płatne (podstawa – 100-150 PLN, wildcard ok. 400) i na te bezpłatne. Płatne od tych bezpłatnych różnią się praktycznie tylko tym, że jeżeli ktoś złamie płatny certyfikat, to dostaniesz odszkodowanie. Pomijam tu ze względów oczywistych wyjątki, należy mieć tylko świadomość istnienia darmowych metod szyfrowania. Nie musisz koniecznie wydać fortuny, jeżeli prowadzisz nieduży sklep internetowy, na którym dorabiasz do pensji. Informatyka dysponuje nieodpłatnymi rozwiązaniami takimi jak np. Let’s Encrypt. Samo wdrożenie certyfikatu SSL nie jest trudne i nie powinno być specjalnie kosztowne.
Let’s Encrypt to przede wszystkim wygoda, certyfikat pozwala na automatyczne odnowienie bez corocznych procedur z wystawcami płatnych certyfikatów. Powstał właśnie po to, żeby było bezpiecznie i tanio. Wybierając tani hosting nie będziemy mieć narzędzia do szybkiej instalacji tego certyfikatu.
Oczywiście zapraszamy po ofertę do działu kontakt ;).