Certyfikat SSL/TLS - co to jest?
SSL oraz TLS to protokoły kryptograficzne, których zadanie polega na szyfrowaniu komunikacji pomiędzy serwerem, a przeglądarką klienta. Dzięki nim, przeglądarka internetowa jest w stanie nawiązać bezpieczne połączenie za pomocą protokołu HTTPS, zamiast standardowego HTTP.
HTTP (HyperText Transfer Protocol) to protokół, który umożliwia przechwytywanie zasobów w internecie. Stanowi podstawę każdej wymiany danych w internecie i jest protokołem klient-serwer, co oznacza, że żądania są inicjowane przez odbiorcę, przeważnie przeglądarkę internetową. HTTPS natomiast, to protokół HTTP rozszerzony o warstwę bezpieczeństwa (Secure), właśnie poprzez certyfikat SSL.
Nazwy SSL i TLS są często używane zamiennie, ponieważ de facto jest to ten sam protokół. Różnica polega na tym, że TLS jest nowszą, bezpieczniejszą wersją protokołu SSL, który rozwiązuje problemy z bezpieczeństwem swojego poprzednika. SSL zostało stworzone w 1995 roku przez firmę Netscape. W roku 1999, międzynarodowa organizacja Internet Engineering Task Force (IETF) stworzyła ulepszoną wersję SSL, nazwaną TLS właśnie, która była de facto wersją 3.1 protokołu SSL.
Dziś nazw SSL i TLS używa się często zamiennie, ze względu na wygodę użytkowników. W rzeczywistości jednak, większość nowoczesnych stron internetowych używa protokołu TLS, ponieważ jest on bezpieczniejszy.
Co dają certyfikaty SSL/TSL?
Jak już wiemy, dzięki certyfikatom SSL/TLS mamy możliwość korzystania z bezpiecznego protokołu wymiany danych HTTPS. Dzięki takiemu rozwiązaniu, możemy w bezpieczny sposób przesyłać takie wrażliwe dane, jak numery kart kredytowych, adresy mailowe czy dane logowania.
SSL/TLS zapewnia także, że dane, które otrzymuje użytkownik w swojej przeglądarce są takie same jak te, które serwer wysyła. Innymi słowy, certyfikat zabezpiecza strony internetowe przed atakmi, które podmieniają dane widoczne na stronie. Takie ataki nazywane są Man in the Middle (MitM).
Jeżeli strona, na której chcesz zostawić swoje poufne dane takiego certyfikatu nie zawiera, należy liczyć się z ewentualnością, że ktoś może te dane przechwycić.
Istotnym aspektem jest także to, że strony bez certyfikatu SSL/TLS są gorzej traktowane przez wyszukiwarki internetowe (np. Google), a niekiedy także przez same przeglądarki internetowe. Niektóre z nich bowiem, mogą przed wejściem na taką stronę poinformować użytkownika, że dana strona nie posiada zabezpieczeń i zapobiegać połączeniu z taką witryną. Można oczywiście pominąć takie ostrzeżenie i na taką stronę wejść, ale z pewnością nie tworzy to dobrego wrażenia na użytkownikach.
Jak zdobyć certfikat SSL/TSL?
Za przydzielanie certyfikatów SSL/TLS odpowiedzialne są Urzędy Certyfikacji (z ang. CA - Certificate Authority). Ich zadaniem jest zapewnienie weryfikacji stron internetowych w taki sposób, abyśmy mieli pewność, że strona, na której się znajdujemy to naprawdę ta strona i że nikt nie próbuje się pod nią podszywać. Tych podmiotów jest na świecie ponad 100.
Wiele usług hostingowych proponuje swoim użytkownikom płatne certyfikaty SSL, należy jednak pamiętać, że możemy uzyskać taki certyfikat bezpłatnie, chociażby dzięki organizacji Let's Encrypt. Dużo nowoczesnych platform hostingowych, takich jak Netlify czy Vercel, zapewniają darmowy certyfikat SSL/TSL automatycznie, bez naszej ingerencji. Certyfikat ten możemy także zdobyć korzystając z usług serwisu Cloudflare.
Komentarze