Blog

Certyfikat ssl — dlaczego nie warto…

…przekładać jego instalacji na później 😉

Zacznijmy od tego czym jest certyfikat SSL:

SSL (ang. Secure Socket Layer) jest protokołem sieciowym wykorzystywanym do zabezpieczenia połączeń internetowych. Certyfikat gwarantuje poufność transmisji danych przesyłanych przez Internet. Za pomocą certyfikatu mogą być szyfrowane połączenia do strony WWW, poczty internetowej, serwera ftp i tym podobnych. Na chwilę obecną najczęściej spotykany jest przy zabezpieczeniu połączeń z bankowością elektroniczną. Certyfikaty używane w protokole SSL zawierają m.in. nazwę domeny, dla której zostały wystawione. Ponieważ każdy z użytkowników może stworzyć własny certyfikat, aby standaryzować tą sytuację, zostały powołane urzędy certyfikacji, które podpisują i zatwierdzają certyfikaty SSL. Tylko specjalnie zatwierdzone certyfikaty są uznawane za bezpieczne. Przy użyciu certyfikatów niepodpisanych przez ww. urzędy, w większości przeglądarek i klientów pocztowych, w czasie próby połączenia użytkownika z serwerem zobaczy on odpowiednie ostrzeżenie o nieprawidłowym certyfikacie.

Certyfikat SSL i przeglądarka internetowa — w praktyce:

Jak sprawdzić czy strona, na której przebywamy posiada wdrożony certyfikat SSL? Najprościej sprawdzić dokładnie adres internetowy strony www. Jeżeli adres strony rozpoczyna się od HTTPS, strona posiada wdrożony certyfikat. Jeśli natomiast adres strony zaczyna się od HTTP, strona nie podsiada certyfikatu. Do niedawna obecność połączenia szyfrowanego była sygnalizowana użytkownikowi, przez pojawienie się ikonki kłódki przy adresie internetowym. Miało to informować użytkownika, że połączenie jest bezpieczne. Połączenie ze stronami bez certyfikatu (połączenie ze stroną www — nieszyfrowane) nie było sygnalizowane w żadne sposób. Jedynie przejście ze strony zabezpieczonej na niezabezpieczoną, było sygnalizowane odpowiednim komunikatem. W najbliższych miesiącach nastąpi dosyć duża zmiana właśnie w tej kwestii. Przeglądarki będą informować użytkownika czy strona, na której występuje jakikolwiek formularz danych, jest bezpieczna (ma zainstalowany, podpisany certyfikat SSL), a odbędzie się to z dużym naciskiem na fakt, sygnalizowania stron niezabezpieczonych certyfikatem.

Już w październiku 2017 roku na wszystkich stronach wyświetlonych za pomocą przeglądarki Google Chrome w wersji 62,  które posiadają formularze danych i nie mają wdrożonego oraz aktualnego certyfikatu SSL, pojawi się komunikat o tym, że witryna jest niebezpieczna.

W praktyce — wygląda to tak:

Żródło obrazka: chromium.org

Zgodnie z informacjami, które możemy znaleźć na blogu chromium.org:

Hasła i dane z kart kredytowych nie są jedynymi danymi, które powinny być prywatne. Każdy typ danych, wprowadzanych przez użytkownika, powinien być prywatny i nie powinien być dostępny przez jakiegokolwiek użytkownika sieci (…).

Passwords and credit cards are not the only types of data that should be private. Any type of data that users type into websites should not be accessible to others on the network, so starting in version 62 Chrome will show the “Not secure” warning when users type data into HTTP sites.”

Na wyżej wymienionym blogu widnieje informacja, że w przyszłości przeglądarka Google planuje oznaczać wszystkie strony korzystające z protokołu HTTP (bez certyfikatu SSL)  jako niebezpieczne. Więcej informacji na temat planowanych, w nadchodzących miesiącach, zmianach można znaleźć w poście: Next steps toward more connection security.

Natomiast przeglądarka Mozilla Firefox, już od wersji 52 (obecna wersja to 56), stosuje podobne ostrzeżenia i pewnie na takich ostrzeżeniach się nie skończy — jeżeli wierzyć zapowiedziom ze strony Mozilla. Więcej o samych ostrzeżeniach możemy przeczytać tutaj: https://support.mozilla.org/en-US/kb/insecure-password-warning-firefox

Ostrzeżenia takie można również  znaleźć w przeglądarce Opera oraz Edge.

Instalacja certyfikatu SSL na stronie www — czy warto czekać?

statystyki-wersji-przeglądarek
Źródło: ranking.pl
Polacy bardzo szybko aktualizują swoje przeglądarki do najwyższych wersji, co widać na powyższym wykresie. Dlatego dobrze jest założyć, że użytkownicy naszej strony już niedługą będą używać wersji przeglądarki (o ile już nie używają), która będzie ostrzegać przed niezabezpieczonym połączeniem w ten bądź inny sposób.

W mojej opinii zdecydowanie nie warto czekać z instalacją certyfikatu na swojej stronie www! Z dużym prawdopodobieństwem można założyć, że brak certyfikatu wpłynie negatywnie na ilość wypełnionych formularzy na naszej stronie oraz zwiększonego współczynnika odrzuceń dla stron, na których występują. Kto z nas nie zastanowi się, dwa razy, przed wypełnieniem niezabezpieczonego formularza kontaktowego, o którym tak chętnie ostrzegają przeglądarki internetowe?

Ostatnia sprawa — czyli koszty

Trochę o kosztach samego wdrożenia certyfikatu SSL na stronie. Sam certyfikat nie jest aż tak drogi i jego koszty zamykają się w granicach ok. 50 – 200 zł netto (ceny bez promocji w abonamencie rocznym, w najprostszej postaci certyfikatu dla domeny). Sama instalacja certyfikatu, na serwerze i wdrożenie go na stronie www, jest trochę kłopotliwa i może wymagać poniesienia dodatkowych kosztów, związanych z dostosowaniem strony www. Jednakże jest to opłata jednorazowa — raz przystosowana witryna nie będzie potrzebowała kolejnego dostosowywania, przy instalacji nowego certyfikatu. Jedyną, stałą opłatą są koszty samego certyfikatu, który jest ograniczony czasowo i trzeba go odnawiać. Istnieje możliwość obniżenia kosztów zakupu certyfikatu bądź uzyskania nawet darmowych, podpisanych przez urzędy certyfikacji — certyfikatów ssl. Jednak ich ważność jest krótsza niż rok — czyli będziemy zmuszeni co kilka miesięcy instalować nowy certyfikat.

Ten mały twist w tytule miał skłonić Cię do przeczytania mojego wpisu na temat certyfikatu SSL, jego instalacji na stronie oraz tego dlaczego, tak naprawdę, warto go posiadać. Mam nadzieję, że było warto. Raz jeszcze — polecam jak najszybszą instalację certyfikatów SSL na wszystkich swoich stronach.

Jeżeli będziesz zainteresowany instalacją certyfikatu ssl na swoje stronie — skontaktuj się z nami — chętnie pomożemy.

  /PD

Komentarze