Certyfikaty SSL

Od szeregu lat na serwerach użytkowników zainstalowane są certyfikaty SSL. Początkowo takim certyfikatem mogły pochwalić się jedynie duże instytucje i spółki oraz banki. Dzisiaj certyfikat SSL dostępny jest dla wszystkich użytkowników i właścicieli stron internetowych i poczty elektronicznej. Ale wielu z nas zadaje sobie pytanie, czym ten certyfikat SSL tak naprawdę jest i co nam to daje.

Postaramy się odpowiedzieć na najważniejsze zagadnienia związane z SSL i w sposób maksymalnie uproszczony przybliżyć zalety posiadania takiego certyfikatu.

Połączenie internetowe

Łącząc się z dowolną stroną internetową za pomocą swojej ulubionej przeglądarki WWW wysyłasz zapytanie, które przechodząc przez szereg serwerów trafia do tego jedynego właściwego serwera na którym znajduje się zasób (strona). Twoje zapytanie wysyłane jest w sposób otwarty, a dane jakie otrzymujesz również dostarczone zostaną do ciebie w sposób niezabezpieczony. Rodzi to niebezpieczeństwo podsłuchania przez przestępców całej lub części treści jakie przeglądasz. A teraz załóżmy, że w sposób niezabezpieczony połączyłeś się ze swoim bankiem, panelem administracyjnym swojej strony firmowej lub na przykład zakładem opieki lekarskiej (przychodniom) lub dokonujesz zakupów w sklepie internetowym.

Połączenie podsłuchiwane

Analizując te jakże wrażliwe dane, przestępca uzyskuje dostęp do Twojego lub firmowego konta bankowego, karty kredytowej,  strony WWW i wszelkich informacji na temat Twojego stanu zdrowia. Nie trzeba być specjalistą, aby wiedzieć, że za pomocą informacji jakie uzyskał przestępca można wziąć kredyt lub przelać pieniądze na dowolne konto, podmienić zawartość filmowej strony WWW lub podjąć próbę szantażu.

Połączenie SSL

Dlatego od wielu lat stosuje się metodę szyfrowania połączenia zarówno dla serwisów WWW, jak i poczty email. Procedura szyfrowania nosi właśnie nazwę SSL od angielskiej nazwy Secure Sockets Layer i jest to protokół służący do szyfrowanej komunikacji sieciowej.
Serwer wykorzystujący SSL posiada swój certyfikat, który umożliwia udowodnienie tożsamości. Dzięki niemu użytkownik może być pewny, że jest połączony z właściwym serwerem.
Ale przecież każdy może wygenerować sobie certyfikat dla swojego serwera, nadać nazwę jaką chce i publikować treści uwierzytelniając się tym protokołem. Otóż NIE – Jeżeli właściciel sam wygeneruje niepotwierdzony certyfikat, wszystkie wiodące przeglądarki stron WWW zakomunikują nam:

Protokół SSL do prawidłowego funkcjonowania potrzebuje certyfikatu wydanego przez zaufaną instytucję lub firmę. Dopiero wtedy możemy mówić, że połączenie posiada CERTYFIKAT SSL.
W przypadku serwisów WWW udokumentowane jest to zieloną kłódką tak jak pokazano to poniżej.

W każdej chwili możemy sprawdzić autentyczność tak wystawionego certyfikatu klikając na zieloną kłódeczkę i uzyskując więcej danych na temat samego certyfikatu i jego wystawcy.

Zatem, czy warto posiadać certyfikat? Zdecydowanie TAK. Bezpieczeństwa nigdy nie jest za wiele, a skutki braku zabezpieczeń z jakimi możemy się spotkać są znacznie bardziej kosztowne od zakupionego certyfikatu.