Co To Jest SSL/TLS?

W erze, gdy niektóre z naszych najważniejszych informacji i transakcji znajdują się online, zapewnienie bezpieczeństwa interakcji cyfrowych stało się kluczowe.

W tym przyjaznym dla początkujących przewodniku (który nie boi się zagłębiać!) rozwiejemy tajemnice głównych systemów działających za kulisami, które każdy właściciel lub zarządca witryny powinien znać, aby zachować prywatność użytkowników i reputację swojej firmy.

Czym Jest SSL?

SSL to skrót od secure sockets layer. SSL to protokół służący do utrzymywania bezpiecznego połączenia i ochrony wrażliwych danych, aby zapewnić bezpieczeństwo użytkownikom internetu podczas transakcji online, logowania i więcej.

SSL jest używany również w innych procesach, takich jak zabezpieczanie przesyłów plików i ochrona aplikacji pocztowych, ale najczęściej będziemy wspominać, jak wpływa na bezpieczeństwo w internecie, ponieważ to tam zdobył największe uznanie.

Co To Jest TLS?

Transport layer security (TLS) to następca SSL, który jest stosowany obecnie i radzi sobie z podatnościami jeszcze skuteczniej.

Czy SSL jest przestarzały?

SSL przeszedł wiele iteracji od momentu swojego wprowadzenia kilka dekad temu, w dążeniu do ciągłego zwiększania funkcjonalności i bezpieczeństwa. TLS to tylko bardziej zabezpieczona i bardziej aktualna wersja SSL.

W praktyce zarówno SSL, jak i TLS odnoszą się do tego samego. Jednak w momencie pisania tego artykułu, SSL jest nadal bardziej powszechnie używanym terminem dla protokołu, więc będziesz go często widzieć — a my również będziemy często go używać w tym artykule.

Jak Wygląda SSL/TLS?

Kiedy certyfikat SSL/TLS (więcej na ten temat później) jest zainstalowany i aktualny na stronie internetowej, powinieneś zobaczyć w pasku adresu URL zaczynający się od „HTTPS” zamiast „HTTP”. Jeśli nie widzisz pełnego adresu URL, prawdopodobnie pojawi się on, gdy klikniesz w pasek adresu. Niektóre przeglądarki decydują się go skrócić dla uproszczenia.

Powinieneś także zobaczyć małą zieloną ikonę kłódki — lub czasami ikony w innych kolorach, w zależności od przeglądarki — poprzedzającą adres URL, gdy używane jest SSL/TLS.

Co robi SSL/TLS?

SSL/TLS umożliwia bezpieczne połączenie między dwoma systemami. Mogą to być serwer i klient (na przykład strona sklepu i przeglądarka) lub dwa serwery.

SSL/TLS używa szyfrowania i par kluczy kryptograficznych do weryfikacji tożsamości systemów i zapobiegania dzieleniu się danymi z niepożądanymi osobami.

Ta data obejmuje:

• Szczegóły finansowe, takie jak numery kart kredytowych, informacje o kontach bankowych itp.
• Dane umożliwiające identyfikację osobistą — pełne imię i nazwisko, numer ubezpieczenia społecznego, adres, data urodzenia itp.
• Poufne dokumenty prawne
• Prywatne dokumenty medyczne
• Poufne informacje, takie jak dane klientów, tajemnice handlowe itp.
• Dane logowania

Jak Działa SSL/TLS? Uzgadnianie SSL

Skoro wszystkie podstawy są już gotowe, przejdźmy do sedna działania SSL/TLS!

SSL/TLS działa poprzez szyfrowanie danych podczas transmisji, aby zapobiec dostępowi hakerów do nich podczas przesyłania przez sieć. Nazwy, adresy, numery kart kredytowych i inne potencjalnie wrażliwe informacje to fakty, które SSL/TLS ma na celu chronić.

Oto podstawowe podsumowanie, jak to robi:

1. Gdy użytkownik rozpoczyna proces chroniony przez SSL/TLS, taki jak zakup na stronie internetowej, przeglądarka użytkownika wysyła pakiet powitalny do serwera witryny. Pakiet ten zawiera informacje o transakcji, typie TLS, zestawach szyfrów oraz „klient random”, który jest ciągiem zrandomizowanych bajtów.
2. Serwer odbiera tę wiadomość i odpowiada własnym pakietem powitalnym, zawierającym odpowiedź na wiadomość, swój certyfikat SSL/TLS, zestaw szyfrów oraz „serwer random” — kolejny wybór zrandomizowanych bajtów.
3. Klient przechodzi przez proces autentykacji certyfikatu SSL/TLS, który dowodzi, że serwer jest godnym zaufania usługodawcą, za którego się podaje (czyli nie jest hakerem). Następnie wysyła coś, co nazywa się „tajemnicą wstępną”, zakodowaną za pomocą publicznego klucza certyfikatu SSL/TLS. Idea polega na tym, że serwer powinien posiadać prywatny klucz, który może odszyfrować tę wiadomość.
4. Jeśli wszystko idzie dobrze, serwer posiada prywatny klucz związany z certyfikatem SSL/TLS i może odszyfrować tajemnicę wstępną. Po zrobieniu tego, serwer tworzy klucz sesji i przesyła informacje do klienta.
5. Teraz zarówno klient, jak i serwer wysyłają do siebie nawzajem wiadomość „zakończone”, zakodowaną kluczem sesji. Oznacza to, że między nimi otwarta jest bezpieczna sesja i wszelkie dane udostępniane podczas niej powinny być bezpieczne i chronione.

Ten proces często nazywa się uzgadnianiem SSL i zachodzi w ciągu zaledwie milisekund.

Dlaczego SSL/TLS jest ważne?

Ochrona SSL/TLS jest niezbędna na stronach internetowych z wielu powodów:

• Aby chronić informacje użytkowników
• Aby budować zaufanie klientów do marki
• Aby zweryfikować własność strony internetowej
• Aby powstrzymać złe osoby i programy przed stworzeniem fałszywej wersji strony i wykradaniem wrażliwych informacji

Zawsze, gdy strona internetowa wymaga logowania, prosi o informacje osobiste lub zapewnia dostęp do prywatnych treści — jej zdolność do zachowania prywatności dla użytkownika jest kluczowa.

SSL/TLS przyczynia się do prywatności komunikacji online i zapewnia odwiedzającym, że strona jest niezawodna i bezpieczna.

Ponadto główne przeglądarki będą oznaczać strony HTTP bez certyfikatów SSL/TLS jako „niebezpieczne.” Rzuca to ogromną czerwoną flagę dla odwiedzających i może szybko skłonić ich do zamknięcia strony i spróbowania innej witryny. Dzisiaj strony, które nie inwestują w SSL/TLS, prawdopodobnie są narażone na utratę ruchu i przychodów.

Czy Powinienem Wyłączyć SSL/TLS? Co Się Stanie, Jeśli To Zrobię?

Krótko mówiąc, jako właściciel lub administrator strony, zawsze lepiej jest używać SSL/TLS niż nie używać.

I to prawda, nawet jeśli nie zbierasz żadnych informacji o użytkownikach na swojej stronie.

Nie tylko SSL/TLS jest kluczowy dla bezpieczeństwa danych, o czym wspominaliśmy wiele razy — jest również pomocne w ochronie twojej strony przed kopiowaniem przez złych aktorów oraz w uniknięciu przerażającego komunikatu „Twoje połączenie nie jest prywatne”, który może odstraszyć wielu użytkowników.

Na koniec 2023 roku około 85% stron internetowych korzysta z SSL/TLS w celu zabezpieczenia ich statusu HTTPS.

Czym Jest Certyfikat SSL?

Teraz dodajmy trochę głębi do koncepcji certyfikatu SSL/TLS — który od teraz będziemy nazywać po prostu certyfikatem SSL — którą wcześniej wprowadziliśmy.

Certyfikat SSL to cyfrowy certyfikat wydany przez uprawniony organ certyfikujący (CA). Jego zadaniem jest powiązanie tożsamości strony internetowej, dla której został wydany, z parą kluczy kryptograficznych — o tych publicznych i prywatnych kluczach już mówiliśmy.

Poza wspieraniem bezpiecznych transakcji za pomocą swoich kluczy, te certyfikaty są również przydatne, aby użytkownicy mogli dowiedzieć się o tle strony i jej właścicielu, co pozwala im samodzielnie ocenić jej wiarygodność.

Jako użytkownik możesz sprawdzić szczegóły certyfikatu SSL, klikając ikonę kłódki na pasku adresu. Informacje, które możesz tu zobaczyć, mogą zawierać:

• Nazwa domeny, do której odnosi się certyfikat
• Firma lub osoba, której certyfikat został wydany, oraz przez którą autoryzację certyfikacyjną
• Digitalny podpis autorytety certyfikacyjnej oraz klucz publiczny
• Kiedy certyfikat został wydany i kiedy wygasa

Jeśli jakiekolwiek informacje z certyfikatu wydają się podejrzane lub nie pasują do witryny, którą odwiedzasz, wiesz, że warto przyjrzeć się bliżej zanim udostępnisz jakiekolwiek dane osobowe.

5 Rodzaje Certyfikatów SSL

Istnieje kilka rodzajów certyfikatów SSL, różniących się stopniem weryfikacji.

Certyfikat SSL z rozszerzoną walidacją (EV SSL)

Certyfikaty SSL z rozszerzoną walidacją (EV SSL) reprezentują najwyższy poziom i najdroższą formę certyfikacji SSL.

Aby uzyskać ten poziom zabezpieczeń, wnioskodawca musi przejść proces weryfikacji tożsamości. Jest to zazwyczaj stosowane przez strony internetowe, które obsługują transakcje kartami kredytowymi i zbierają poufne informacje. W przypadku certyfikatu EV SSL w pasku adresu obok HTTPS i ikony kłódki wyświetlane są również nazwa i kraj certyfikowanej firmy. Wszystkie te dane wspierają wiarygodność strony.

Certyfikat SSL z Walidacją Organizacji (OV SSL)

Certyfikaty SSL z walidacją organizacji (OV SSL) są podobne do certyfikatów EV SSL pod względem procesu aplikacji i informacji wyświetlanych w pasku adresu, jednak stanowią niższy poziom bezpieczeństwa i kosztów.

OV SSL są zwykle używane przez komercyjne lub publiczne strony internetowe, aby pokazać ich zaangażowanie w zachowanie poufności informacji.

Certyfikat SSL z Walidacją Domeny (DV SSL)

Certyfikaty SSL z weryfikacją domeny (DV SSLs) są mniej bezpieczne i mniej rygorystyczne (a także tańsze!) certyfikacje często wykorzystywane przez blogi i inne strony informacyjne, które nie zajmują się zbieraniem danych ani płatnościami online.

Zazwyczaj proces weryfikacji wymaga jedynie, aby właściciele stron internetowych potwierdzili swoje prawa do nich za pomocą e-maila lub telefonu. Po uzyskaniu tego certyfikatu w pasku adresu zwykle wyświetlane są tylko HTTPS oraz ikona kłódki.

Certyfikat SSL dla wielu domen (MD SSL)

Certyfikaty SSL dla wielu domen (MD SSL) są również określane jako certyfikaty nazw alternatywnych (SAN) oraz certyfikaty komunikacji zjednoczonej (UCC).

Certyfikat SSL MD może chronić wiele domen najwyższego poziomu oraz subdomeny — na przykład en.domain.com, blog.domain.com itp. Liczba elementów, które obejmuje, jest ustalana przez organ wydający certyfikat.

Każda właściwość, którą chcesz zabezpieczyć na mocy tego certyfikatu, musi być zdefiniowana w momencie wydania. Aby dodać więcej, posiadacz musi poprosić o jego aktualizację i ponowne wydanie przez CA. Ta ostrożność czyni go bezpieczniejszym niż kolejna opcja.

Certyfikat SSL typu Wildcard

Certyfikaty SSL typu Wildcard zapewniają zabezpieczenie dla jednej domeny i nieograniczonej liczby poddomen do niej przypisanych.

Dla stron internetowych z wieloma subdomenami, może to być szybki i niedrogi sposób, aby upewnić się, że każda sekcja Twojej strony jest automatycznie chroniona przez szyfrowanie. Wadą jest to, że jeśli nawet jedna subdomena zostanie skompromitowana, inne subdomeny pod tym samym certyfikatem typu wildcard również mogą zostać naruszone.

Jak Uzyskać Certyfikat SSL w 7 Krokach

Jeśli jesteś gotowy, aby skorzystać z bezpieczeństwa, jakie może zapewnić certyfikat SSL, te podstawowe kroki powinny pomóc większości właścicieli stron internetowych uzyskać potrzebną dokumentację:

1. Wybierz Poziom Ochrony SSL

Ile domen i subdomen chcesz zabezpieczyć? Jak wiele zabezpieczeń potrzebujesz? Skorzystaj z powyższego przewodnika po typach certyfikatów SSL, aby określić, którego rodzaju szukasz.

2. Wygeneruj Żądanie Podpisania Certyfikatu

Żądanie podpisania certyfikatu (CSR) to zaszyfrowany plik zawierający informacje o firmie i domenie oraz klucze prywatne i publiczne, które będą potrzebne twojemu CA do stworzenia twojego certyfikatu.

Sposób generowania CSR różni się w zależności od platformy, z której korzystasz, lub hostingu, z którym współpracujesz. Większość hostów pozwala na stworzenie CSR poprzez ich panel administracyjny. Oto jak klienci DreamHost mogą stworzyć CSR.

Jeśli wolisz spróbować poradzić sobie z tym krokiem bez pomocy hosta, ten przewodnik może ci pomóc w ustaleniu konkretnych kroków, które musisz wykonać.

3. Zakup Swój Certyfikat Przez Urząd Certyfikacji

Twój kolejny krok to znalezienie renomowanej CA, od której zakupisz swój certyfikat SSL. Istnieje wiele opcji, w tym:

• letsencrypt.org
• sectigo.com
• verisign.com

Niezależnie od wybranego dostawcy, jego strona internetowa powinna przeprowadzić cię przez wybór typu certyfikatu SSL, przesłanie CSR i zakończenie zakupu.

Klienci DreamHost mogą uzyskać certyfikat SSL — bezpłatny lub płatny — za pośrednictwem panelu klienta. Zobacz, jak to zrobić tutaj.

4. Zakończ Walidację (Jeśli Wymagane)

Jeśli wybrałeś typ certyfikatu o wysokim poziomie bezpieczeństwa, który wymaga udowodnienia swojej tożsamości lub własności strony internetowej, twój CA poda ci kroki, które musisz wykonać, aby dostarczyć weryfikację.

5. Zainstaluj Swój Nowy Certyfikat SSL

Jeśli wszystko idzie zgodnie z planem, powinieneś teraz móc pobrać pliki certyfikatu dostarczone przez twoje CA. Teraz czas zainstalować go na twojej stronie internetowej.

To kolejny krok, który może się różnić w zależności od platformy Twojej strony, dostawcy hostingu, a nawet rodzaju wybranego certyfikatu. Skontaktuj się z dostawcą hostingu lub zaloguj się do panelu klienta hosta strony i poszukaj czegoś o nazwie „ustawienia SSL/TLS” lub „menedżer SSL/TLS” i postępuj zgodnie z instrukcjami instalacji pobranych plików.

Albo, jeśli wolisz zrobić to samodzielnie, DigiCert ma innego przewodnika, który pomoże ci poruszać się po większości platform.

Dla użytkowników WordPress, instalacja certyfikatu SSL może być wykonana za pomocą wtyczki jak Really Simple SSL. Klienci DreamHost mogą dodać certyfikat SSL od innych dostawców, postępując zgodnie z tymi instrukcjami.

Powiązane: Co to jest wtyczka?

6. Przetestuj Swoją Instalację SSL

Aby sprawdzić, czy Twój certyfikat jest poprawnie zainstalowany i działa prawidłowo, wyszukaj w Google frazę „narzędzie do sprawdzania SSL”, aby znaleźć platformę, która przeprowadzi dla Ciebie szybką analizę. CA, z którego korzystałeś, może także mieć narzędzie do sprawdzania SSL na swojej stronie internetowej.

7. Przekieruj Adresy URL HTTP

Na koniec musisz przekierować wszystkie HTTP URL-e na HTTPS URL-e po zainstalowaniu swojego certyfikatu SSL, aby upewnić się, że użytkownicy mają dostęp tylko do najbezpieczniejszej wersji Twojej strony.

DreamHost automatycznie przekierowuje odwiedzających na wersję HTTPS Twojej strony, gdy dodasz certyfikat SSL, a inni dostawcy hostingu mogą robić to samo.

Jeśli ta opcja nie jest dla Ciebie dostępna i musisz ręcznie zaktualizować swój serwer, mamy instrukcje dotyczące dostępu do serwera Apache lub Nginx, aby wymusić przekierowanie tutaj.

Dla użytkowników WordPressa, jeśli użyłeś wtyczki instalującej SSL, może ona również zawierać wbudowane usługi migracji z HTTP na HTTPS. Jeśli nie, Redirection lub inna wtyczka mogą tutaj dużo pomóc.

Powiązane: Czym jest przekierowanie?

Czy Certyfikaty SSL Wygasają?

Tak, certyfikaty SSL wygasają.

Zgodnie z Forum Władz Certyfikacyjnych i Przeglądarek, które reguluje wszystkie kwestie związane z SSL, certyfikaty powinny wygasać po około 13 miesiącach. Ta decyzja została podjęta w odpowiedzi na informację od Apple, że nie będą już akceptować certyfikatów z dwuletnim okresem ważności — co kiedyś było normą. Czas wygaśnięcia twojego certyfikatu zależy od CA, która dostarczyła twój SSL.

Certyfikacja SSL wygasa z powodu szybkich zmian w Internecie. Regulacje dotyczące zbierania danych pojawiają się i znikają, firmy i strony internetowe zmieniają właścicieli, a starsze pary kluczy stają się mniej bezpieczne, gdy hakerzy stają się bardziej zaawansowani. Ponowna certyfikacja daje właścicielom stron internetowych szansę na odświeżenie swojego bezpieczeństwa oraz daje CAs czas na przegląd informacji dołączonych do certyfikatu, aby upewnić się, że wszystko jest poprawne.

Gdy certyfikat SSL wygaśnie, a strona nie będzie już chroniona przez ten protokół bezpieczeństwa, przeglądarka wyświetli ostrzeżenie, informując użytkowników, że witryna nie jest bezpieczna i należy postępować ostrożnie.

Oczywiście, wygaśnięcie certyfikatu SSL nie przychodzi znikąd. Organ certyfikujący, od którego otrzymałeś dokumentację, wyśle powiadomienie, gdy nadejdzie czas na odnowienie. Zazwyczaj zaczynają się one na około 90 dni przed wygaśnięciem, i zalecamy działanie jak najszybciej po ich otrzymaniu. Upewnij się również, że zapiszesz się, aby te powiadomienia były wysyłane na adres e-mail, który zawsze będziesz sprawdzać i do którego będziesz miał dostęp.

Jak odnowić swój certyfikat SSL

W przypadku wielu dostawców certyfikatów SSL, kroki odświeżania certyfikatu SSL są takie same, jak przy pierwszym jego uzyskaniu. Będziesz więc musiał wygenerować CSR, zakupić certyfikat SSL od CA, ukończyć wszelką wymaganą weryfikację oraz zainstalować i przetestować swój certyfikat.

Mimo to, wielu dostawców SSL i hostów stron internetowych zaczyna automatyzować jak najwięcej elementów tego procesu. Dlatego możliwe, że nie będziesz musiał przechodzić przez wszystkie te kroki za każdym razem — ale warto wiedzieć, jakie czynności konserwacyjne mogą cię czekać podczas rozważania certyfikacji SSL i utrzymania swojej strony internetowej.

Powiązane: Jak Naprawić Typowe Problemy Z SSL w WordPressie 

Wybierz Hosting, Który Wzmocni Twoje Cele Bezpieczeństwa

Na szczęście zabezpieczenie doświadczeń użytkownika w sieci oraz budowanie zaufania do Twojej marki poprzez pokrycie SSL/TLS to stosunkowo łatwy proces. Jednakże, nie oznacza to, że każdy właściciel strony będzie miał chęć lub czas, aby nie tylko znaleźć najlepszą opcję certyfikacji SSL, ale również zainstalować ją i utrzymywać rok po roku.

Jeśli wolisz skupić się na aspektach biznesowych, zespół usług profesjonalnych zarządzania stroną DreamHosta może wesprzeć Twoje cele związane z bezpieczeństwem i doświadczeniem, zajmując się wszystkim od drobnych aktualizacji po odzyskiwanie po włamaniu, migrację linków i kompleksową administrację oraz monitoring strony.