Certyfikaty SSL są ważniejsze, niż myślisz. Kiedy dokonujesz płatności w internecie , albo podajesz Twoje dane osobowe, zapisując się na newsletter – praktycznie w każdym z tych wypadków wolisz, żeby Twoje dane pozostały poufne, prawda?

Z tego wpisu dowiesz się:

  • Co to jest certyfikat SSL?
  • Jak działa certyfikat SSL?
  • Czym różnią się certyfikaty ssl darmowe od płatnych?

Aktualizacja 2023

Obejrzyj przygotowany przez nas filmik i dowiedz się, jak zainstalować certyfikat SSL.

Jak certyfikaty SSL pomagają w takim wypadku?

Janek łączy się z siecią i składa zamówienie. Janek też oczywiście chce, aby jego dane pozostały poufne. Dane są wysyłane na serwer – do firmy hostingowej obsługującej stronę, aby jej właściciel mógł zrealizować zamówienie.

Gdyby transmisja między przeglądarką i serwerem została przechwycona, można je łatwo odczytać! Chodzi o to, że w warstwie transmisji danych – wymiana informacji może zostać podsłuchana – np. poprzez niezabezpieczoną sieć wi-fi. Jeśli dane są przesyłane jawnie – atakujący może poznać ich treść tylko na podstawie analizy transmisji. Teoretycznie może zatem poznać wszystkie poufne informacje, które Janek wysyła do serwera.

Kiedy stosujesz certyfikat SSL – dane są zaszyfrowane jeszcze w przeglądarce. Dane zostają zaszyfrowane jeszcze w Twoim urządzeniu (telefon, komputer itp.) i dopiero w takiej postaci są przesyłane na serwer. Przechwycenie takiej transmisji nie daje atakującemu wglądu w dane.

Certyfikaty SSL potwierdzają tożsamość, ale jak?

Szyfrowanie to najbardziej znana zaleta certyfikatów SSL, ale nie jedyna. Drugą, nie mniej istotną, jest potwierdzenie tożsamości właściciela domeny, na którą certyfikat jest wystawiony.

Z tego punktu widzenia certyfikaty istotnie różnią się poziomem wiarygodności takiego potwierdzenia – mówi się w tym kontekście o metodzie walidacji.

Certyfikaty SSL DV

Wiarygodność
Cena

DV – Domain Validation. Ten typ certyfikatu oznacza walidację wg domeny. Wiarygodność takiego certyfikatu należy ocenić jako niską, ponieważ zakłada ona jedynie, że osoba, która generuje certyfikat, ma dostęp do skrzynki mailowej w postaci admin@nazwadomenowa.pl lub ma możliwość potwierdzenia swojego uprawnienia do domeny, poprzez wgranie odpowiedniego pliku na serwer, do folderu domeny.

Certyfikat tego rodzaju potwierdza tylko tyle, że został wygenerowany dla danej nazwy domenowej. Certyfikat nie podaje informacji o właścicielu domeny. Zdarza się, że ktoś rejestruje domenę łudząco podobną do innej i generuje certyfikat SSL dla niej.

Ponieważ przeglądarka potwierdza, że dana domena jest chroniona – łatwo może uśpić to czujność użytkowników i spotkałem w sieci doniesienia o tym, że strony wyłudzające dane (np. łudząco podobne do bankowych) były chronione certyfikatem zakładającym taką właśnie walidację, więc przeglądarki traktowały je jako chronione SSL’em. Usypiało to czujność osób, które nieświadome oszustwa, podawały swoje dane logowania na takiej właśnie stronie, a w rzeczywistości była to niezabezpieczna strona.

Samo szyfrowanie danych działa natomiast równie dobrze, jak dla wyższych poziomów walidacji. W zakresie przesyłu danych między serwerem i przeglądarką transmisję chronioną SSL’em możesz uznać za poufną i dobrze chronioną.

Certyfikaty SSL OV

Wiarygodność
Cena

OV – ang. Organization Validation. Ten typ certyfikacji zapewnia lepszy poziom potwierdzenia tożsamości właściciela. Dzieje się tak, ponieważ w procesie walidacji domeny sprawdzane są dane identyfikacyjne właściciela wraz z oficjalnymi rejestrami. Przykładowo – nazwa spółki, na którą certyfikat jest wystawiany, musi być zgodna z nazwą figurującą w Krajowym Rejestrze Sądowym.

Taka procedura utrudnia oszustwa – żeby takowego dokonać, niezbędne byłoby posiadanie zarejestrowanej nazwy łudząco podobnej do nazwy „atakowanej” – zatem ochrona swojej marki przy pomocy takiego certyfikatu jest lepsza niż w wypadku prostego DV.

Ochrona poufności jest natomiast identyczna – typ walidacji nie ma bezpośredniego przełożenia na działanie algorytmu szyfrującego dane.

Certyfikaty SSL EV

Wiarygodność
Cena

EV – ang. Extended Validation. W tym wypadku procedura jest najbardziej złożona. Jej szczegóły zależą od wystawcy certyfikatu i nierzadko wymagają np. przesłania umowy spółki dla potwierdzenia tożsamości wnioskodawcy. Powoduje to, że czas i koszty uzyskania tego rodzaju certyfikatu są najwyższe. Równocześnie ten certyfikat stanowi też najbardziej wiarygodne potwierdzenie, że jesteś na właściwej stronie, a nie „podróbce”.

W wypadku tych certyfikatów suma gwarancyjna jest też najwyższa.

Niektóre przeglądarki internetowe „nagradzają” strony chronione tym rodzaju certyfikatu, podając zielony pasek w adresie. Świadczy o najwyższym poziomie zaufania do danej strony.

Certyfikaty SSL – o co chodzi z gwarancjami?

Komercyjne certyfikaty zazwyczaj zapewniają ochronę poprzez mechanizm sumy gwarancyjnej. Jest to kwota, którą wystawca danego certyfikatu (np. Comodo, Certum itp) wypłaca w razie, kiedy Twój użytkownik np. dokona transakcji na stronie zabezpieczonej takim certyfikatem wystawionym na Twoje dane, ale na stronie oszusta – po szczegółowe zasady warto sięgnąć do regulaminów poszczególnych dostawców.

Warto wiedzieć, że w większości wypadków suma gwarancyjna waha się od 10.000 do 100.000 USD. Nie oznacza to jednak, że w razie „złamania” certyfikatu otrzymasz dokładnie taką kwotę. Zazwyczaj mówimy tu o kwotach dla użytkowników końcowych, którzy skutkiem np. nieprawidłowości w procesie certyfikacji po stronie wystawcy, zostaliby wprowadzeni w błąd co do właściciela strony, dokonali na niej zakupu, a ponieważ strona tylko podszywałaby się pod Twój sklep internetowy – nie otrzymaliby towaru i jedynie stracili pieniądze.

Mechanizm gwarancji polega wówczas na zwrocie poniesionych strat dla użytkownika końcowego, do wysokości sumy gwarancyjnej.

Nie są opisane przypadki korzystania z takiej gwarancji u żadnego dużego wystawcy, w naszej firmie też nigdy nie zanotowaliśmy tego rodzaju sytuacji. Z pewnością jednak gwarancje, które występują wyłącznie w wypadku certyfikatów komercyjnych – stanowią dodatkowy atut, przemawiający za wyborem tej formy zabezpieczenia strony.

Gwarancje te nie występują natomiast w wypadku certyfikatów Let’s Encrypt.

Gwarancja różnicuje certyfikaty SSL

Istnienie mechanizmu gwarancyjnego to jeden z czynników różnicujących certyfikaty komercyjne od certyfikatów bezpłatnych. Sumy gwarancyjne mogą być także różne w różnych markach certyfikatów, nawet w ramach tego samo poziomu walidacji.

Certyfikaty SSL – komercyjne vs Let’s Encrypt?

Wiarygodność
Cena

Jeszcze kilka late temu na rynku były wyłącznie certyfikaty komercyjne, od 2-3 lat obserwujemy natomiast wzrost popularności certyfikatów Let’s Encrypt.

Są to certyfikaty darmowe, co stanowi ich główną zaletę. Szyfrują dane równie skutecznie, jak certyfikaty komercyjne. Niestety – mają też wady. Najważniejsze, to:

  • Certyfikat Let’s Encrypt jest wystawiany raz na 3 miesiące i trzeba go później odnawiać – chyba, że hosting wspiera automatyzację tego procesu.
  • Certyfikat Let’s Encrypt opiera się na prostej walidacji DV, więc najsłabszej możliwej.
  • Certyfikat Let’s Encrypt nie oferuje żadnej sumy gwarancyjnej.

W wypadku naszego hostingu obsługa tych certyfikatów jest „wbudowana” w panel DirectAdmin. Warto wiedzieć, że LE może działać jak każdy inny certyfikat, ale bez odpowiedniego wsparcia po stronie dostawcy hostingu niezbędne jest jego ręczne generowanie, odnawianie i instalowanie co trzy miesiące, co dodatkowo zniechęca.

Certyfikat SSL nie chroni przed wszystkim!

Pamiętaj, że istnieje wiele zagrożeń, przed którymi SSL nie chroni. Stosowanie certyfikatu w żaden sposób nie chroni przed:

  • wykradzeniem informacji z serwera (tu stosuj szyfrowanie baz),
  • wykradzeniem informacji z Twojego komputera (tu pomoże zdrowy rozsądek, hasła, antywirusy),
  • naruszeniami w zakresie zakresu zgody na wykorzystanie przesyłanych danych przez operatora serwisu,
  • rejestracją łudząco podobnej nazwy domenowej, ochronieniem jej innym certyfikatem SSL i udawaniem, że to prawdziwa strona. Oszustwo takie wyjdzie na jaw kiedy ktoś sprawdzi dane certyfikatu (na kogo został wystawiony), ale większość osób po prostu tego nie sprawdza.

W tym miejscu warto wskazać na obszerny artykuł na temat zagrożeń dla domen, które występują pomimo stosowania certyfikatów SSL.

Certyfikaty SSL wg liczby i zakresu domen

Certyfikaty można podzielić także ze względu na liczbę chronionych adresów, rozpatrując liczbę domen oraz „zasięg” ochrony w obrębie domeny.

TypZakres ochrony
Single domainTen typ certyfikatu chroni po prostu JEDEN adres, najczęściej z uwzględnieniem „www.” z przodu. Chroni także wszystko to, co będzie po ukośniku. Nie chroni natomiast subomen. Przykładowy zakres ochrony:
sklep.pl
www.sklep.pl
sklep.pl/logowanie
WildcardTen certyfikat chroni wszystkie subdomeny pierwszego poziomu. Nie zabezpiecza natomiast dalszych subdomen. Będzie zatem chronić adresy typu:
buty.sklep.pl
torebki.sklep.pl
logowanie.sklep.pl
MultidomainKupiony certyfikat może chronić wiele różnych nazw domenowych, co jest bardziej efektywne kosztowo, niż kupowanie wielu osobnych certyfikatów dla każdej domeny osobno. Jest to jednak liczba skończona, zazwyczaj mówimy o 10-20 domenach. Przykłady:
sklepzbutami.pl
sklepztorebkami.pl

Warto zwrócić uwagę, że niektóre certyfikaty obejmują możliwość instalacji tylko na jednym serwerze, a inne na wielu serwerach. Instalacja na wielu serwerach ma sens, jeśli zasoby chronionej domeny są rozrzucone na różne maszyny z różnymi adresami IP.

Przykładowo strefaklienta.domeny.pl i strefapracownika.domeny.pl to dwie różne subdomeny tej samej domeny. Jeśli są one skierowane na różne serwery. Chcąc chronić je jednym certyfikatem trzeba upewnić się, że można z niego korzystać na wielu serwerach.

Certyfikaty SSL – dlaczego warto?

Podsumujmy, dlaczego warto korzystać z certyfikacji SSL:

  • Ochrona danych między przeglądarką użytkownika, a serwerem
  • Większa wiarygodność strony (więcej konwersji)
  • Posiadanie certyfikatu SSL sprzyja osiąganiu wyższych pozycji w Google. Trudno dziś osiągnąć wysokie wyniki bez SSL’a.
  • Certyfikaty SSL zmniejszają podatność strony na phishing (atak polegający na podstawieniu użytkownikom kopii strony łudząco podobnej do Twojej w celu wyłudzenia np. danych do logowania).
  • Brak certyfikatu SSL powoduje uznanie strony na niezabezpieczoną przez przeglądarki internetowe, oznaczające adres w sposób od razu budzący niepokój u osób odwiedzających stronę.
Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

10 odpowiedzi do "Certyfikaty SSL – na czym to polega? Rodzaje certyfikatów SSL."

  1. Dzisiaj już większość rynku korzysta z darmowego ssl’a Let’s Encrypt 🙂

  2. webdominator pisze:

    Dobry art aczkolwiek w przypadku stron na których nie odbywa się sprzedaż można śmiało zastosować cloudflare flexible ssl i zielona kłódeczka „siedzi” 😉

  3. Daniel pisze:

    Darmowy SSL Let’s Encrypt jest zupełnie wystarczający dla bloga i dla małego sklepu.

    1. Artur Pajkert pisze:

      Można spotkać opinie, że wysokie poziomy walidacji sprzyjają przekonaniu Google, że naprawdę zależy Ci na Twojej stronie i jest ona wartościowa. Taką spotkałem np. w 7 odcinku podcastu „Niezłe aparaty” (autor tej wypowiedzi Tom Robak). Inni jednak uważają, że wystarczy posiadanie jakiegokolwiek certyfikatu SSL. Przy blogu, podobnie jak Ty, wybrałbym LE, ale gdybym miał sklep – to wolałbym mieć certyfikat komercyjny.

  4. fit pisze:

    ciekawe czy jest jakakolwiek różnica s SERPACH przy róznych certyfikatach

    1. Artur Pajkert pisze:

      To ciekawe zagadnienie. Nie znalazłem na ten temat „twardego” badania, ale niektórzy specjaliści SEO, jak Tom Robak, są zdania, że SSL’e o większej wiarygodności, głównie EV, stanowią dla Google sygnał, że poważnie podchodzisz do Twojej strony. Skoro Ty sam poważniej traktujesz stronę, to, zdaniem Toma, masz szansę, że będzie to skutkować lepszą opinią. Więcej znajdziesz w 7. odcinku podcastu „Niezłe aparaty”, poświęconym właśnie zagadnieniom SEO. Tego stanowiska nie udało mi się jednak potwierdzić w żadnych badaniach. Większość specjalistów SEO jest natomiast zgodna co do tego, że połączenie zestawione po HTTPS jest bardzo ważne, a jego brak będzie negatywnie oceniony przez wyszukiwarkę.

  5. Darmowy certyfikat jest zbawieniem dla mojej strony, a właściwie wizytówki firmy. Bardzo dziękuję.

    1. Artur Pajkert pisze:

      Tylko pamiętaj, że darmowy Let’s Encrypt zapewnia wprawdzie szyfrowanie, ale nie daje aż takiego poziomu wiarygodności. Dla „wizytówki” jest natomiast w pełni ok!

  6. B468 pisze:

    Jestem zwolennikiem płatnych certyfikatów, ale zachowuję rozsądek i stosuję je w przypadku stron, gdzie ogólnie rzecz mówiąc klient podaje jakieś swoje dane. Nie widzę sensu w przypadku stosowania ssla do prostej strony, która nie zawiera nawet interakcji z użytkownikiem w postaci formularza 🙂

  7. Mosos pisze:

    Certyfikat komercyjny ma ten sam poziom szyfrowania, więc droższy nie oznacza lepszy. A różnica jest w naszej głowie, ponieważ większość uważa, że jak zapłaci więcej to otrzyma coś lepszego.. 🙂 a to jest błędne myślenie.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?