Jak działają certyfikaty SSL. Jakie są rodzaje certyfikatów SSL.

Google lubi zielone kłódki w paskach statusu przeglądarek – to stwierdzenie, które pada ostatnio bardzo często w kontekście zarówno hostingu jak i pozycjonowania. Nie wszyscy rozumieją, po co dane na stronie internetowej mają być szyfrowane. Ale jednak magia „zielonej kłódki” działa.

Jak działa połączenie: przeglądarka – serwer?

Jak działa zielona kłódka, oznaczająca połączenie szyfrowane w przeglądarce internetowej? Trzeba zastanowić się, co się dzieje w momencie otwarcia strony www. Wpisując adres strony www w przeglądarce internetowej, wysyłamy zapytanie do odpowiedniego serwera (pomijam sprawy rozwiązywania nazw na IP i tym podobne techniczne sprawy), który wysyła do przeglądarki treści: statyczny html, przetworzony kod php, pliki stylów css, pliki Javascript i obrazki. Przeglądarka internetowa układa te elementy w gotową stronę internetową i wyświetla ją lokalnie na komputerze.

Dane, które wysyłane są z serwera do przeglądarki są przesyłane bez szyfrowania – jak jest to plik tekstowy, to wysyłany jest plik tekstowy. Oczywiście w przypadku prostej, informacyjnej strony internetowej nie ma w zasadzie znaczenia, że ktoś „podsłucha” naszą transmisję. Istnieje możliwość podmiany lub modyfikacji takich danych podczas transmisji. I tutaj pojawia się niebezpieczeństwo w przypadku, gdy pobieramy z serwera lub wysyłamy do niego dane, które są poufne. Nawet logując się do własnej strony www wysyłamy do serwera login i hasło. Ktoś mógłby je podsłuchać i wykorzystać. Zapisując się na newsletter również wysyłamy swój mail do czyjejś strony www, a kupując w sklepie internetowym podajemy swoje dane osobowe właścicielowi witryny w celu przetworzenia zamówienia.

Jak działa połączenie szyfrowane między przeglądarką a serwerem?

Zasada pobierania strony przez SSL jest identyczna jak za pomocą zwykłego połączenia. Przeglądarka wysyła żądanie o elementy strony, a po zwróceniu ich przez serwer układa je lokalnie i wyświetla.

Różnica jest taka, że przed wysłaniem żądania przeglądarka uzgadnia z serwerem, aby szyfrować dane. W przypadku połączenia z użyciem SSL zapytanie do serwera oraz wszystkie elementy, które zwraca serwer są zaszyfrowane przed przesłaniem i odszyfrowane dopiero w przeglądarce. Oznacza to, że nie da się podsłuchać ani zmodyfikować takich danych między serwerem a klientem.

O tym, że dane są szyfrowane najczęściej świadczy zielona kłódka w pasku przeglądarki. Oczywiście dane mogą być szyfrowane również bez istnienia tego oznaczenia, gdyż certyfikat SSL można wygenerować sobie każdy samodzielnie (jest to tzw. certyfikat „self-signed”). Jednak, aby pojawiła się kłódka certyfikat musi być wydany przez zaufane centrum certyfikujące, które generując certyfikat SSL jest „rozpoznawane” przez przeglądarki jako zaufane. Zatem fakt, czy pojawi się zielona kłódka jest w pewnym sensie sprawą umowną: wystawca certyfikatu musi spełnić restrykcyjne zasady generowania certyfikatów SSL, a przeglądarka musi mieć tego wystawce w swojej bazie „zaufanych wystawców certyfikatów”.

Rodzaje certyfikatów SSL

Istnieje kilka rodzajów certyfikatów. Nie różnią się one w zakresie sposobu szyfrowania danych, ale sposobem weryfikacji podmiotu, który używa certyfikatu. Każdy z certyfikatów w przeglądarce ikonę zielonej kłódki, ale niektóre wyświetlą jeszcze koło kłódki nazwę właściciela strony, dla której został wydany certyfikat.

Certyfikaty DV (Domain Validation)

Certyfikaty SSL (Domain Validation) gwarantują szyfrowanie transmisji informacji w certyfikowanej domenie. Są to najpopularniejsze i najprostsze certyfikaty (najprostsze w zakresie wydawania).
Podczas wydawania certyfikatu następuje WYŁĄCZNIE weryfikacja domeny. Zakończenie procesu weryfikacyjnego ogranicza się do potwierdzenia zamówienia certyfikatu SSL wysyłanego na adres e-mail: „admin@domena-klienta.pl”

Oczywiście adres musi istnieć w domenie, dla której kupuje się certyfikat, w tym przypadku byłaby to domena: „domena-klienta.pl”. Kliknięcie linka wysłanego przez wystawcę certyfikatu na adres np. admin@domena-klienta.pl jest jedyną weryfikacją, że jest się właścicielem domeny dla której chce się uzyskać certyfikat. Po kliknięciu linka certyfikat jest wystawiany.

Gdy zajrzymy do szczegółów certyfikatu (np. klikając na zieloną kłódkę w przeglądarce) będzie tam informacja o domenie, ale nie będzie tam żadnych informacji o firmie/organizacji dla której został on wydany.

Takie certyfikaty są najtańsze, koszt wynosi ok. 59$, ale oczywiście u różnych resellerów można takie certyfikaty kupić czasem już od 40-50 zł rocznie.

Certyfikaty OV (Organization Validation)

Certyfikaty OV to certyfikaty o rozszerzonym sposobie weryfikacji. Zanim zostanie wystawiony, musi nastąpić weryfikacja danych w oparciu o odpowiednie dokumenty rejestrowe firmy. Najczęściej trzeba przesłać mailem, faksem lub pocztą tradycyjną dokumenty, które potwierdzą dane firmy.
Różnica w stosunku do certyfikatów DV to dopisanie firmy, na jaką jest wystawiony certyfikat w szczegółach certyfikatu. W punktu widzenia klienta, który korzysta ze strony przeglądarki wyświetlają identyczną zieloną kłódkę jak w przypadku certyfikatów DV.

Ceny certyfikatów OV to kwota 169$ na rok.

Certyfikaty EV (Extended Validation)

Zamówienie certyfikatu wymaga podania dokładnych danych i kompletu dokumentów  w języku angielskim.
Firma certyfikująca może kontaktować się bezpośrednio z firmą występującą o certyfikat; konieczna jest znajomość języka angielskiego. Procedura wydania obejmuje:
A. Organization Authentication Requirements
B. Operational Existence Confirmation
C. Physical Address Confirmation
D. Telephone Number Confirmation
E. Domain Authentication Requirements
F. Order Verification Requirements

Cena certyfikatu EV to kwota 699$. U wielu resellerów można kupić te certyfikaty dużo taniej.

Zaletą tego certyfikatu jest wyświetlenie nazwy organizacji obok standardowej ikony zielonej kłódki. Najczęściej z tego rozwiązania korzystają instytucje finansowe takie jak banki.

Certyfikaty DV, OV, EV – a jak z bezpieczeństwem?

Jak widać na opisach powyżej, certyfikaty różnią się głównie „kwestiami formalnymi” – im bardziej zaawansowany certyfikat, tym więcej informacji o właścicielu strony jest w nim zawarte: DV nie ma żadnych, OV posiada informacje wewnątrz szczegółów certyfikatu, a EV wyświetla je w pasku adresu przeglądarki www.

Oprócz tego, certyfikaty te technicznie niczym się nie różnią – mają takie same algorytmy szyfrowania i takiej samej długości klucze szyfrujące.

Czy warto używać darmowych certyfikatów SSL?

Porównanie certyfikatów płatnych z certyfikatami darmowymi można obejrzeć w artykule: Czym różnią się bezpłatne certyfikaty SSL od płatnych certyfikatów SSL ?

Udostępnij!

Dodaj komentarz