Twój czas się powoli kończy. Jeśli witryna nadal zaczyna się od HTTP – pora uzyskać SSL-a

Certyfikat SSL

Wkrótce na naszym blogu MSERWIS będziesz miał okazję przeczytać tekst na temat mitów dotyczących bezpieczeństwa, które należy obalić w nowym 2018 roku. Do wspomnianej listy istotnie należy dopisać uzyskanie certyfikatu SSL (Secure Socket Layer).


Rok 2018 będzie rokiem szyfrowania. Począwszy od stycznia Google i Mozilla zaczną aktualizować interfejs użytkownika w swoich przeglądarkach i wszelkie witryny posiadające na początku adresu HTTP będą oznaczane komunikatem “niezabezpieczone”.

Skąd to wiemy? Otóż z dokładnej obserwacji działań przeglądarek zmierzających do ustandaryzowania zaszyfrowanych połączeń HTTPS w poprzednim roku. Zeszłej jesieni, ilość ostrzeżeń wyświetlanych w przeglądarkach wzrosła – od tamtej pory przeglądarki wydają ostrzeżenie o nieszyfrowanym połączeniu dla dowolnej strony HTTP z polem tekstowym. Do czasu.

Na wiosnę przeglądarki zaczną aktywnie oznaczać dowolną witrynę HTTP jako „Niezabezpieczoną”. To oznacza, że bez wykupionego certyfikatu SSL w swojej witrynie i migracji do HTTPS, twoja strona będzie oznaczona jako „niezabezpieczona”.

Źródło: https://support.google.com/chrome/answer/95617

Dla naszych stałych czytelników informacja ta nie powinna być wielkim zaskoczeniem. Ostatnio pisaliśmy o tym w lutym 2017 roku – Firefox i Chrome ostrzegają, że połączenie z Twoją stroną nie jest bezpieczne? Co zrobić? oraz we wrześniu 2016 roku – Nie masz certyfikatu SSL? Możesz stracić klientów. Nadchodzą zmiany w Google Chrome.

Nie masz jeszcze SSL-a? To zrozumiałe, zwlekanie jest cechą ludzką, wciąż więc istnieją miliony stron internetowych, które jeszcze nie rozwiązały tego problemu. Poniżej tłumaczymy o co w tym wszystkim chodzi.

Czemu potrzebuję certyfikatu SSL?

Najkrótsza odpowiedź brzmi: ponieważ przeglądarki internetowe zaczynają traktować go jako standard. Internet, jaki znamy, zbudowany jest na protokole HTTP lub Hypertext Transfer Protocol. HTTP działał znakomicie przez ostatnie dwie dekady, ale ma jedną wadę: nie jest bezpieczny. Wszelkie informacje przesyłane za pośrednictwem połączenia HTTP są otwarte. Oznacza to, że łatwo jest podsłuchać połączenie. Ktoś może z niego wykraść informacje lub ustawić się między użytkownikiem a serwerem, co pozwoli mu wykonać tzw. atak Man-in-the-Middle.

Po poprawnym zainstalowaniu certyfikatu SSL można rozpocząć korzystanie z HTTPS zamiast HTTP. HTTPS to bezpieczna wersja protokołu HTTP. Wykorzystuje szyfrowanie zarówno do uwierzytelniania serwera, jak i do ochrony wszelkich przesyłanych informacji.

Dzięki temu łatwiej zrozumieć, dlaczego przeglądarki wymagają takiego standardu, w końcu chodzi o bezpieczeństwo informacji ich użytkowników takich jak: dane osobowe, hasła, loginy czy numery kart kredytowych.

Czemu wydawcy przeglądarek o tym decydują?

Odpowiemy wprost: wydawcy przeglądarek są w takim położeniu, które pozwala im dyktować warunki.

“Zastanów się teraz czy wiesz, jak korzystać z Internetu bez komputera lub przeglądarki mobilnej?



hmmm… no właśnie.”

Ludzie potrzebują przeglądarek do przeglądania stron w Internecie, ponieważ (czy tego chcemy czy nie) Internet stał się częścią naszego życia. Firmy z kolei potrzebują przeglądarek, aby w odpowiedni sposób wyświetlały swoje witryny, gdy ludzie zdecydują się je odwiedzić. Wydawcy przeglądarek dysponują więc ogromną mocą decyzyjną. Prawdą jest jednak to, że działają oni przede wszystkim w interesie swoich użytkowników – w końcu bez nich nie osiągnęłyby swojej pozycji. Bezpieczne połączenia oznaczają większe bezpieczeństwo wszystkich użytkowników, co z kolei tworzy bezpieczniejszy internet.

Co jeśli nie potrzebuję SSL-i?

W tym momencie nie chodzi o to, kto potrzebuje protokołu SSL lub nie. Chodzi o to, że wydawcy przeglądarek chcą przenieść Internet na HTTPS, który za moment stanie się standardem – takim samym, jak wcześniej HTTP. Poza prostym faktem, że szyfrowane połączenia są bezpieczniejsze, istnieje również techniczny powód, dla którego warto dokonać tej zmiany.

Jest nim HTTP/2 – następcą wiekowego już HTTP. Czym jest HTTP/2? To nowa wersja wydanego w 1999 roku protokołu HTTP/1.1 odpowiadającego  za komunikację serwera z przeglądarką. W odróżnieniu od HTTP nowy protokół jest znacznie szybszy, działa lepiej, ale wymaga też bezpiecznych połączeń. Wdrożenie protokołu HTTP/2 postępuje stopniowo, ale ostatecznie stanie się nowym standardem. Tak więc wymaganie protokołu SSL ułatwia również przejście na HTTP/2.

Jak działają certyfikaty SSL?

W dużym skrócie: SSL to protokół służący do bezpiecznej transmisji zaszyfrowanego strumienia danych z użyciem certyfikatów. Szyfrowanie danych odbywa się linii klient – serwer, np. podczas podawania podawania danych do logowania w dowolnym serwisie. Wydanie certyfikatu wymaga między innymi weryfikacji posiadanych praw klienta do danej nazwy domenowej.

Najważniejszą rzeczą na samym początku jest wybór certyfikatu, którego chcesz użyć w swojej witrynie. Kolejnym krokiem będzie zainstalowanie go na serwerze, a następnie konfiguracji domeny w taki sposób, aby wskazywała adresy HTTPS zamiast HTTP. Natomiast schemat działania protokołu jest dość skomplikowany, a prezentuje się on w poniższy sposób.

Schemat działania protokołu:

  1. Klient wysyła do serwera zgłoszenie zawierające m.in. obsługiwaną wersję protokołu SSL, dozwolone sposoby szyfrowania i kompresji danych oraz identyfikator sesji. Komunikat ten zawiera również liczbę losową używaną potem przy generowaniu kluczy
  2. Serwer odpowiada podobnym komunikatem w którym zwraca klientowi wybrane parametry połączenia: wersję protokołu SSL, rodzaj szyfrowania i kompresji, oraz podobną liczbę losową
  3. Następnie serwer:
    – wysyła swój certyfikat pozwalając klientowi na sprawdzenie swojej tożsamości
    – wysyła informację o swoim kluczu publicznym
    – oraz informuje klienta, że może on przejść do następnej fazy połączenia
  4. Klient na podstawie ustalonych w poprzednich komunikatach dwóch liczb losowych (swojej i serwera) generuje klucz sesji używany do faktycznej wymiany danych. Następnie wysyła go serwerowi używając jego klucza publicznego
  5. Klient zawiadamia, że serwer może przełączyć się na komunikację szyfrowaną… oraz że jest gotowy do odbierania danych zakodowanych
  6. Serwer zawiadamia, że wykonał polecenie – od tej pory wysyłał będzie tylko zaszyfrowane informacje… i od razu wypróbowuje mechanizm – ten komunikat jest już wysyłany bezpiecznym kanałem.

Jak widzimy powyżej działanie protokołu nie należy do najłatwiejszych do wyjaśnienia. Ważne jest jednak to, że dzięki niemu użytkownik może mieć gwarancję, że połączenie z serwerem jest naprawdę bezpieczne.

Czy warto sięgnąć po darmowy certyfikat SSL?

Skoro jednym z celów jest doprowadzenie do sytuacji, w której 100% witryn w sieci www będzie dostępnych po HTTPS, w 2014 roku za sprawą Internet Security Research Group (ISRG) pojawiła się pojawiła się inicjatywa dostarczania użytkownikom darmowych certyfikaty szyfrowania. Let’s Encrypt oferuje bezpłatne certyfikaty oraz zestaw narzędzi do zarządzania nimi oraz automatycznej integracji z serwerami HTTP. Wg zapewnień certyfikaty mają być darmowe dla wszystkich. Czy na zawsze? To się okaże.

Jeden z najpopularniejszych (do niedawna) dostawców darmowych certyfikatów Start SSL został w ostatnim roku zablokowany przez Google co niechybnie skończyło się dla niego “śmiercią”. Istnieją jednak inni dostawcy, uznawani przez honorowani przez najpopularniejsze przeglądarki i systemy operacyjne. Należą do nich m.in.: SSL for Free czy Let’s Encrypt.

Let’s Encrypt jest bardzo ciekawą alternatywą dla płatnych certyfikatów, ale ma też minusy. Jest to dobre rozwiązanie dla posiadaczy własnych serwerów, na których można zainstalować dodatkowe oprogramowanie. Niestety, nie nadaje się na hosting współdzielony. Wydawany jest na 3 miesiące z możliwością automatycznego odnowienia. Nie posiada również ubezpieczenia które jest dostępne w przypadku płatnych rozwiązań.

Należy pamiętać, że SSL-e to nie tylko szyfrowanie ale również potwierdzanie faktu, że jesteś tym za kogo się podajesz. Płatne rozwiązania oferują potwierdzenie zgodne ze standardami Urzędu Certyfikacji (CA). Korzystając z darmowych certyfikatów nie masz takiej gwarancji. Pamiętaj o tym, że darmowe certyfikaty wydawane na krótkie okresy, płatne mogą być wydane nawet na kilka lat!

Podsumowanie

Skoro już kończymy warto jeszcze raz to powtórzyć. Certyfikat SSL to nie tylko produkt dla dużych stron, sklepów internetowych czy banków. W 2018 roku każdy będzie potrzebował SSL-a.

Ps. czy wiecie, że ten sam standard właśnie wprowadza WordPress? Już w poprzednim roku pojawiły się w nim funkcje, takie jak API authentification, które wymagają posiadania protokołu HTTPS.

Źródła:

https://www.thesslstore.com/blog/getting-ssl-2018-plans/
https://www.whitepress.pl/baza-wiedzy/201/http-2-co-to-jest-i-czy-warto-to-wdrazac
https://potencjalnieniebezpieczni.pl/2017/11/16/6-powodow-dla-ktorych-warto-miec-certyfikat-ssl/
http://blog.piotrows.pl/letsencrypt-darmowy-certyfikat-ssl/
http://muflon.photosite.pl/doc/progzesp/ssl.html

Podobał Ci się artykuł? Udostępnij

8 myśli nt. „Twój czas się powoli kończy. Jeśli witryna nadal zaczyna się od HTTP – pora uzyskać SSL-a

  1. Enigma

    Niestety oznacza to znaczny wzrost kosztów prowadzenia każdej nawet najmniejszej strony www. Do ceny domeny, serwera/hostingu dojdzie jeszcze koszt certyfikatu.

  2. Łukasz Jachemski Autor wpisu

    Niekoniecznie, zawsze można przecież użyć darmowego certyfikatu.

  3. Parzysz

    Nie wiem jak inni ale OVH na swoich hostingach umożliwia korzystanie z Let’s Encrypt.
    Wydawanie certyfikatów nawet na kilka lat?! Obecnie maksymalnie 2 ale to nadal kilka bo wiecej niż jeden rok.

  4. Tomek

    Gdybym mial je obowiazkowo wykupywac dla kazdej domeny ( u mnie na hostingu musialbym wykupic dodatkowo oddzielny adres IP dla kazdej domeny) to musialbym zrezygnowac ze wszystkich moich stron i portali gdyz koszty hosting, domeny, dodatkowe IP, certyfikaty, zakup aktualizacji, skrypty, licencje itp. skutecznie odsunelyby mnie od mojego hobby jakim jest webmastering.

    Mam 10 stron internetowych, w tym dwa portale informacyjne, i wszystko to jest niezabezpieczone.
    Statystyki odwiedzin stron z roku na rok rosna.

    Ja rozumiem jak ktos ma sklep internetowy z platnosciami internetowymi to taka strona powinna byc jak najbardziej zabezpieczone.

  5. Marian

    Darmowy certyfikat nie jest w żaden sposób gorszy od płatnego. Jedynie może być ciut mniej wygodny, ponieważ darmowe certyfikaty od Let’s Encrypt muszą być odnawiane co kwartał, a płatny certyfikat bedzie ważny rok. W dodatku nieprawdą jest, że nie można mieć wielu domen i wielu certyfikatów na jednym serwerze.

    Certyfikat przyda się każdej stronie, nie tylko sklepom, bo chroni użytkowników przed manipulacją zawartości strony na drodze miedzy twoim serwerem a ich komputerem (np. wstrzykiwanie złośliwych skryptów).

    A jeśli nie masz kontroli nad serwerem, aby zainstalować na nim wsparcie dla SSL, to zobacz darmowe proxy Cloudflare które zapewni ci szyfrowanie miedzy ich serwerami CDN a użytkownikiem.

  6. Łukasz Jachemski Autor wpisu

    Dziękujemy za ten komentarz. Nasza firma podobnie jak francuski rejestrator umożliwia na swoich hostingach korzystanie z dowolnych certyfikatów SSL (w tym dostarczanych przez Let’s Encrypt). Zgadzamy się również, że w świetle nowych przepisów tj. od 1 marca 2018 roku, certyfikaty autoryzowanych producentów wydawane będą maksymalnie na okres 2 lat. Przepisy te wejdą w życie dokładnie za miesiąc, więc jeżeli ktoś chciałby wykupić certyfikat na okres 3 lat ma jeszcze cały miesiąc na skorzystanie z tej opcji. Pozdrawiamy!

  7. Łukasz Jachemski Autor wpisu

    Panie Tomku, bardzo dziękujemy za komentarz. Spieszymy z wyjaśnieniem, że zakup oddzielnego adresu IP dla każdego SSL to już technologiczna prehistoria. Nasze konta hostingowe korzystają z technologii SNI (Server Name Indication), która pozwala na rozdzielenie ruchu na poprawnie zainstalowany certyfikat SSL bez dodatkowego adresu IP. Obecnie jest to standard i nawet najtańszy serwer obsługuje SNI. Na serwerze można również zainstalować dowolną ilość certyfikatów SSL.

    Zachęcamy do sprawdzenia naszej oferty na ten stronie: https://www.mserwis.pl/hosting

    Nie ma również obowiązku wykupywania tak dużej ilości certyfikatów. Świetnym rozwiązaniem może okazać się jeden certyfikat typu MultiDomain, który pozwala obsłużyć różne nazwy domen w ramach jednego certyfikatu. W naszej ofercie znajdzie Pan certyfikaty MultiDomain firm; GeoTrust oraz Comodo:

    https://www.mserwis.pl/certyfikaty-ssl/comodo/multidomain
    https://www.mserwis.pl/certyfikaty-ssl/geotrust-multidomain

    W razie czego służymy pomocą oraz radą. Pozdrawiamy!

  8. Łukasz Jachemski Autor wpisu

    Panie Marianie, należy się Panu medal za bezinteresowną edukację w dziedzinie wirtualnych serwerów 🙂 Dziękujemy i pozdrawiamy!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *