Prawdziwie bezpieczny certyfikat SSL

Certyfikat SSL

W ostatnich tygodniach dużo się mówi o potrzebie korzystania z certyfikatów SSL we wszystkich typach stron internetowych. Otrzymujemy również wiele pytań od naszych klientów, którzy już korzystają z certyfikatów, ale nie są pewni czy w odpowiednio bezpieczny sposób.

Znaleziono również luki w protokole SSL, które wymagają podjęcia działań przez właścicieli stron lub administratorów serwerów. Wyszukiwarka Google ma promować serwisy, które wykorzystują certyfikaty SSL. Zobaczmy więc, z jakimi zagrożeniami mamy obecnie do czynienia i jak wdrożyć certyfikat SSL z głową, aby nasi użytkownicy byli w pełni bezpieczni.

Niebezpieczny pudel, czyli SSL 3.0

Atak, nazwany POODLE, wykorzystuje podatność w tym protokole, pozwalającą na nieuprawnione rozszyfrowanie kodowanej transmisji.

Rozwiązaniem jest korzystanie z protokołu TLS 1.0 – 1.2. Obsługę SSL 3.0 powinni wyłączyć administratorzy serwerów. Również zwykli internauci mogą wyłączyć obsługę protokołu SSL 3.0 w ustawieniach swojej przeglądarki, jeżeli korzystają ze starszych wersji (aktualnie wydania przeglądarek Firefox oraz Chrome mają domyślnie wyłączone SSL 3.0).

Pewną niedogodnością jest to, że niektóre starsze urządzenia nie wspierają protokołu TLS, w takich nielicznych przypadkach mogą więc pojawić się problemy z kompatybilnością.

Podkreślamy iż to, z jakiego protokołu szyfrowania korzysta dana transmisja, nie zależy od certyfikatu SSL. Dlatego też żaden certyfikat SSL nie jest narażony na niebezpieczeństwo związane z korzystaniem z SSL 3.0. Taka zmiana protokołu nie wymaga wymiany certyfikatu.

Co to jest SHA-2?

SHA to akronim w języku angielskim zwrotu “secure hash algorithm”, czyli tzw. zestaw kryptograficznych funkcji skrótu. Używany jest do generowania certyfikatów SSL, które to z kolei szyfrują transmisję danych na stronach internetowych pomiędzy przeglądarką internetową a serwerem.

Obecnie większość certyfikatów opiera się na algorytmie SHA-1. Został on wprowadzony do użytku w 1995 roku i był przeznaczony do bezproblemowego użycia przez urządzenia komputerowe z tamtych czasów. Współczesne komputery dysponują wielokrotnie większą mocą obliczeniową, która obecnie pozwala na skuteczne przeprowadzenie ataków na wynik działania tego algorytmu.

Aby uniknąć potencjalnych zagrożeń bezpieczeństwa związanych z używaniem przestarzałego algorytmu, firmy takie jak Microsoft czy Google ogłosiły, iż przestaną wspierać algorytm SHA-1 oraz zaczną używać nowszy, bardziej bezpieczny algorytm SHA-2.

Dlatego też każdy właściciel strony internetowej, która korzysta już z certyfikatu SSL, powinien zaplanować jego wymianę na taki, który korzysta z algorytmu SHA-2.

Jakie problemy będzie stwarzało korzystanie z certyfikatów SHA-1?

Użytkownicy przeglądarki Chrome podczas przeglądania szyfrowanych stron, zabezpieczonych certyfikatem SHA-1 o ważności dłuższej niż do 31 grudnia 2015 roku będą widzieli ostrzeżenia dotyczące bezpieczeństwa. Po 1 stycznia 2017 roku przeglądarka Chrome nie pozwoli wejść na strony, które dalej będą używać certyfikatów SHA-1. W tym dniu również systemy Microsoft odmówią połączenia przy użyciu certyfikatów SHA-1.

Użytkownicy Chrome 39 i wyższych, podczas wchodzenia na strony zabezpieczone certyfikatem SHA-1 który wygasa pomiędzy 1 czerwca 2016 a 31 grudnia 2016 zobaczą żółty trójkąt ostrzegawczy (“strona bezpieczna, z drobnymi błędami”).

chrome-ssl-triangle

Od wersji 40 Chrome certyfikaty SHA-1 wygasające po 1 stycznia 2017 roku będą traktowane jako neutralne, potencjalnie niebezpieczne.

chrome-ssl-neutral

Natomiast Chrome w wersji 41 dla certyfikatów SHA-1 wygasających po 1 grudnia 2016 wyświetli ostrzeżenie, zaś dla certyfikatów SHA-1 wygasających po 1 stycznia 2017 wygeneruje błąd zabezpieczeń, uniemożliwiając wejście na stronę.

chrome-ssl-insecure

Jak zamienić certyfikat SHA-1 na SHA-2?

Dobra wiadomość jest taka, że zamiana certyfikatu jest bezpłatna. Wszyscy najwięksi wystawcy certyfikatów pozwalają na bezpłatne ponowne wydanie w dowolnym momencie w trakcie ważności certyfikatu. Nowo wydany certyfikat będzie ważny do tego samego dnia, co pierwotny.

Przed wydaniem swojego certyfikatu w wesji SHA-2 upewnij się, że Twój serwer wspiera SHA-2. Nie będzie to problem, jeśli używasz aktualnego oprogramowania serwera, dowolnego wydawcy.

Tutaj znajdziesz tabelę wsparcia dla systemów Windows.

Jak wymienić certyfikat RapidSSL, GeoTrust lub Symantec?

Każdy posiadacz certyfikatu może w okresie jego ważności bezpłatnie wydać go ponownie. Jest to prosta operacja, którą można przeprowadzić samodzielnie w kilka chwil.

Wszystkie certyfikaty wydawane od 9 grudnia 2014 roku domyślnie korzystają z SHA-2.

W celu ponownego wydania certyfikatu:

  • Wygeneruj nową parę klucza prywatnego oraz żądania podpisania certyfikatu (CSR)
  • Zaloguj się do konsoli administracyjnej certyfikatu RapidSSL lub GeoTrust  lub do konsoli dla certyfikatów Symantec.
  • Dostęp do konsoli wymaga potwierdzenia pod kontaktowym adresem e-mail, który był użyty do zamówienia certyfikatu.
  • Po wejściu do konsoli kliknij “Reissue Certificate”, wprowadź CSR i zatwierdź ponowne wydanie
  • Może być konieczne potwierdzenie wydania certyfikatu poprzez kliknięcie w link w e-mailu wysyłanym na autoryzowany adres w domenie, dla której wydawany jest certyfikat
  • Nowy certyfikat wydawany jest następnie automatycznie i przesyłany e-mailem.
    Zainstaluj nowy certyfikat wraz z odpowiadającym mu certyfikatem pośredniczącym.
  • Zweryfikuj instalację certyfikatu przy użyciu odpowiedniego narzędzia.

Czy mogę nadal zakupić certyfikat SHA-1?

Obecnie podczas procesu ponownego wydania certyfikatu nadal masz wybór czy wygenerować go jako SHA-1 czy SHA-2. Opcja taka istnieje ze względu na potrzebę korzystania ze starszych certyfikatów w przypadku urządzeń niewspierających SHA-2. Docelowo jednak zostanie ona wyłączona.

Weryfikacja poprawności instalacji certyfikatu

Wszyscy posiadacze certyfikatów wydanych przez RapidSSL, GeoTrust, Thawte czy Symantec powinni zweryfikować ich poprawną instalację przy wykorzystaniu tego narzędzia:

https://ssltools.geotrust.com/checker/views/certCheck.jsp

Zweryfikuje ono m.in następujące aspekty:

  • czy certyfikat jest ważny
  • czy zainstalowany jest poprawny certyfikat dla danej domeny
  • czy zainstalowany jest poprawny certyfikat pośredniczący (CA)
  • czy certyfikat korzysta z SHA-1 czy SHA-2
  • jaka jest siła klucza prywatnego (zalecana min. 2048)
  • czy serwer jest podatny na atak Poodle
  • czy serwer jest podatny na atak Heartbleed

Jak zakupić wiarygodny certyfikat SSL

Certyfikat dla swojego serwisu internetowego możesz zakupić w dwóch miejscach.

W serwisie MSERWIS.pl znajdziesz dokładne porównanie certyfikatów największych wystawców. Każdy z nich zamówisz on-line i zapłacisz za niego kartą lub przelewem błyskawicznym. Tam gdzie to jest możliwe, certyfikat zostanie wystawiony natychmiast.

Jeśli posiadasz serwer wirtualny w MSERWIS.pl to możesz na nim bez żadnych dopłat zainstalować dowolny certyfikat SSL, niezależnie od pakietu Twojego konta.

W Domeny.tv możesz również zamówić wszystkie certyfikaty z oferty MSERWIS. Aby tego dokonać, zaloguj się do panelu administracyjnego domen. Następnie wybierz zakładkę Certyfikaty SSL. Możesz skorzystać z wygodnego generatora klucza CSR, aby szybko zamówić certyfikat. Opłata za wydanie pobierana jest z Twojego salda przedpłaconego, upewnij się więc że masz wystarczające środki przez zamówieniem certyfikatu. W każdej chwili możesz szybko dodać środki do swojego salda. Na certyfikaty SSL zamawiane przez panel Domeny.tv udzielamy atrakcyjnych zniżek.

Podobał Ci się artykuł? Udostępnij

Wypełnij formularz, aby otrzymać Domenowy Niezbędnik

* Zapisując się do newslettera, wyrażasz zgodę na przesyłanie Ci informacji o nowościach, promocjach, produktach i usługach firmy Domeny.tv. Zgodę możesz w każdej chwili wycofać, a szczegóły związane z przetwarzaniem Twoich danych osobowych znajdziesz w polityce prywatności.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *