W ciągu najbliższych tygodni wykorzystywanie szyfrowanego połączenia przez strony internetowe może zacząć być standardem. Dotychczas z certyfikatów SSL korzystały przede wszystkim sklepy internetowe, banki i firmy zajmujące się obsługą płatności. Kolejna aktualizacja przeglądarki Chrome może jednak sytuację diametralnie odmienić.
Czym jest certyfikat SSL?
Kiedy wchodzimy na stronę internetową, nawiązywane jest połączenie pomiędzy przeglądarką a daną stroną internetową. Strona, która wykorzystuje certyfikat SSL, ma w adresie „https” zamiast „http” i po tym najłatwiej taki serwis rozpoznać. Jeśli strona nie korzysta z szyfrowanego połączenia, to wszystkie dane przesyłane podczas wypełniania formularzy czy dokonywania płatności mogą wejść w niepowołane ręce. Wysyłane poufne informacje mogą być również przez przestępców zmieniane, czego efektem może być np. podmiana numeru konta, na które mamy wpłacić należność za dokonane zakupy. W przypadku połączenia szyfrowanego dane nie mogą być zmienione i zawsze trafią w miejsce docelowe. Można zatem powiedzieć, że certyfikat SSL jest rozwiązaniem, które ma zapewnić bezpieczeństwo korzystania z sieci.
Bez SSL? Dla Chrome niebezpieczny
Od lipca 2018 roku, a dokładnie od wprowadzenia 68 wersji przeglądarki Chrome, każdy serwis, który nie wykorzystuje szyfrowanego połączenia, zostanie oznaczony jako niebezpieczny. Aktualnie użytkownik również może dowiedzieć się czegoś takiego od przeglądarki Chrome, ale żeby poznać szczegółową informację, musi kliknąć ikonkę przy adresie domeny:
Dopiero wtedy zobaczy ostrzeżenie, że strona może być niebezpieczna. W wersji 68 komunikat będzie już jednoznaczny:
O ile w poprzedniej wersji informacja była tak naprawdę niedostrzegalna, to w wersji 68 komunikat może mieć poważny wpływ na to, czy użytkownicy będą chcieli korzystać ze strony. Pamiętajmy, że w istocie niewielu korzystających z sieci ma świadomość tego, co taki komunikat oznacza. Ważna informacja jest również taka, że 3 na 4 Polaków korzystających z sieci używa właśnie przeglądarki Chrome. Zatem wdrożenie szyfrowanego połączenia jest po prostu koniecznością.
Certyfikat SSL – jaki wybrać?
Certyfikat SSL wcale nie musi się wiązać ze znacznym wydatkiem. Szyfrowane połączenie staje się kosztowne dopiero w przypadku zaawansowanych jego wersji. Do wyboru mamy certyfikaty:
- Domain Validation (DV) – podstawowy certyfikat. W tym przypadku nie jest sprawdzana wiarygodność zamawiającego. Weryfikowane jest jedynie to, czy osoba, która chce wygenerować SSL, ma prawa do tej domeny.
- Organization Validation (OV) – w tym przypadku certyfikat jest bardziej zaawansowany. Nie chodzi wyłącznie o techniczne zabezpieczenie strony, ale o weryfikację zamawiającego. Do wniosku o certyfikat musi zostać dołączony np. wyciąg z KRS. Po wejściu na stronę, która wykorzystuje certyfikat OV, i kliknięciu zielonej kłódki, możemy zobaczyć, dla kogo certyfikat ten został wystawiony. Jest on sugerowany w przypadku, gdy dany serwis obsługuje płatności.
- Extended Validation (EV) – najbardziej zaawansowana wersja. Weryfikacja w tym przypadku dotyczy wielu aspektów – m.in. poprawności danych, praw do domeny i innych. W tej wersji obok adresu strony wyświetla się również nazwa firmy, na którą wystawiono certyfikat, tak jak na poniższym przykładzie:
Ile kosztuje SSL?
Ceny SSL są zróżnicowane. Przykładowo sprawdźmy ofertę wskazanego wyżej AZ.pl, którą znajdziemy pod adresem: https://az.pl/ssl/. Jak widać, podstawowa wersja certyfikatu dostępna jest za 11 zł w pierwszym roku. Jeśli jednak potrzebujemy bardziej zaawansowanych wersji certyfikatu, w opcji OV zapłacimy ponad 244 zł za rok, a w wersji EV blisko 500 zł. Jeśli jednak prowadzimy blog czy zwykły serwis informacyjny, to nie ma powodów, żebyśmy inwestowali w droższy certyfikat – wystarczy jego podstawowa wersja.
Certyfikat SSL to już konieczność
W kolejnych tygodniach możemy się spodziewać rosnącego zainteresowania certyfikatami. Konsekwencje dla stron, które ich nie wykorzystują, mogą być poważne, dlatego prawdopodobnie z czasem tylko jednostki nie zdecydują się na wdrożenie szyfrowanego połączenia.
Artykuł partnera.
