Co to jest SSL?

Protokół SSL (Secure Socket Layer) tworzy zaszyfrowane połączenie między przeglądarką i serwerem webowym, dzięki czemu wszystkie dane krążące między nimi pozostają poufne. Protokół SSL jest poprzednikiem protokołu TLS (Transport Layer Security), ale jest nadal szerzej znany i używany.

SSL-Gateway-Illustration

Co oznacza pojęcie Secure Sockets Layer i dlaczego jest ono ważne?

Po pierwsze, ważne jest, aby zrozumieć, co się działo przed wprowadzeniem protokołu SSL w 1995 roku. Dawniej, gdy przeglądarka klienta łączyła się z serwerem firmy, wszelkie dane były przesyłane w postaci zwykłego tekstu. To oznaczało, że jeśli podmiot o złych intencjach był w stanie przechwycić dane przesyłane przez Internet, w tym dane karty kredytowej i wszelkie inne wrażliwe dane osobowe, to mógł je również odczytać. Takie włamanie było znane jako atak „człowiek pośrodku” (man in the middle).

Starając się trwale usunąć tego „człowieka", w latach dziewięćdziesiątych XX w. deweloper przeglądarki Netscape stworzył protokół bezpieczeństwa internetowego, Secure Sockets Layer. Firmie bardzo zależało na stworzeniu protokołu, który gwarantowałby poufność i integralność danych, a także zapewnił bezpieczny proces uwierzytelniania zarówno dla użytkownika przeglądarki, jak i właściciela serwera, czyli klienta i firmy.

Jej starania zakończyły się sukcesem, a protokół SSL został przyjęty przez organizacje na całym świecie do wspierania i zabezpieczania interakcji z klientami. A co z „człowiekiem w środku"? Jeśli przechwyci przesyłane dane, dzięki protokołowi Secure Socket Layer nie zobaczy nic więcej niż masa zmieszanych znaków, dzięki czemu atak się nie powiedzie.

Czym różni się SSL od protokołu TLS?

Data Security Resources - OVHcloud

Dla większości osób, niewiele. W 1999 r. protokół TLS (Transport Layer Security) został wprowadzony w celu zastąpienia szyfrowania SSL. Oferuje on zaktualizowane funkcje bezpieczeństwa, w tym eliminację znanych podatności SSL na niektóre ataki, wprowadzenie lepszych algorytmów szyfrowania i wiele innych. Chociaż z technicznego punktu widzenia wszystkie urządzenia używają obecnie TLS, a szyfrowanie SSL nie jest już dostępne, pojęcie SSL jest nadal używane przez większość świata IT i dostawców certyfikatów. Dzieje się tak dlatego, że SSL stał się nieodłącznym elementem historii bezpieczeństwa danych i z tego powodu używamy go tutaj i na naszych stronach produktowych, kiedy tak naprawdę mówimy o TLS.

Jak sprawdzić, czy strona jest chroniona za pomocą szyfrowania SSL?

Na zastosowanie certyfikatu SSL wskazują dwa elementy. Pierwszy to ikona kłódki w oknie adresu przeglądarki, zazwyczaj po lewej stronie adresu internetowego. Po kliknięciu w nią otrzymasz informacje dotyczące wersji certyfikatu SSL strony z opcją wyświetlenia samego certyfikatu Secure Sockets Layer. Obejmuje to również datę wygaśnięcia certyfikatu. Jeśli certyfikat jest nieaktualny, protokół SSL nie będzie aktywny, więc użytkownicy powinni natychmiast zaprzestać nawigacji po stronie. Drugim elementem jest „https://” zamiast „http://" na początku adresu strony WWW. Litera „s" oznacza, że zastosowano protokół SSL, a połączenie jest zabezpieczone.

Jak działa protokół SSL?

Aby zapewnić autentyczność, Secure Sockets Layer tworzy proces „powitania" między przeglądarką i serwerem w momencie próby połączenia. Proces ten podzielony jest na sześć etapów:

1. Przywitanie klienta

Klient - lub jego komputer - używa przeglądarki internetowej do próby połączenia z serwerem SSL strony firmy. Zanim połączenie zostanie nawiązane, przeglądarka najpierw wymaga od serwera identyfikacji. W efekcie klient się „wita”.

Icons/concept/Cloud/Cloud Server Created with Sketch.

2. Powitanie serwera

Aby zidentyfikować się w przeglądarce, strona internetowa wysyła informacje o swoim certyfikacie SSL oraz kluczu publicznym serwera. W ten sposób serwer odpowiada na powitanie.

3. Kontrola certyfikatu

Przeglądarka internetowa automatycznie uwierzytelnia ten certyfikat odnosząc go do listy zaufanych organów certyfikacji Secure Sockets Layer w celu weryfikacji certyfikatu SSL.

4. Klucz sesji

Jeśli weryfikacja certyfikatu SSL zakończy się pomyślnie, przeglądarka wie, że serwerowi można ufać, więc tworzy symetryczny klucz sesji za pośrednictwem publicznego klucza serwera, który jest wysyłany do serwera.

Icons/concept/padlock/transitPadlock Created with Sketch.

5. Odkodowanie klucza

Serwer strony otrzymuje klucz sesji i odkodowuje go przed wysłaniem potwierdzenia, które jest również szyfrowane za pomocą klucza sesji klienta.

6. Początek sesji

Po zakończeniu procesu „cyfrowego powitania" sesja może się oficjalnie rozpocząć, a wszelkie dane przesyłane między przeglądarką klienta a serwerem firmy są teraz szyfrowane dzięki SSL.

Dlaczego certyfikat SSL Secure Socket Layer jest ważny dla biznesu?

Mówiąc jednym słowem - zaufanie. Sygnalizuje klientom, że firma traktuje bezpieczeństwo danych poważnie. To z kolei budzi zaufanie klientów i zwiększa szanse na złożenie przez nich zamówienia. Mówiąc najprościej: jeśli firma nie posiada certyfikatu, informuje klienta, że jego obawy i obawy dotyczące bezpieczeństwa w sieci nie są dla niej istotne. To żadnej firmie nie poprawia reputacji.

Certyfikat SSL gwarantuje również spokój w biznesie. Protokół SSL znacznie zmniejsza możliwość naruszenia danych, a także ogranicza możliwości dostępu dla nieuprawnionych użytkowników poprzez próby włamania, takie jak ataki typu phishing.

Dostawcy wyszukiwarek, np. Google, także uważają protokół SSL za istotny i mogą podnieść pozycję firm korzystających z SSL w rankingach wyszukiwarek. Są też protokoły handlowe i regulacyjne. Dla przykładu, jeśli firma pozwala na dokonywanie płatności kartą kredytową na swojej stronie internetowej, certyfikat SSL jest wymagany w celu spełnienia standardów bezpieczeństwa obowiązujących w branży (znanych jako Payment Card Industry compliance).

Na niektórych obszarach obowiązują również przepisy, które wymagają od firm odpowiednich środków bezpieczeństwa danych. Ich brak naraża firmę na kłopoty prawne, w tym kary pieniężne. Innymi słowy, bezpieczeństwo SSL i protokół SSL są obecnie kluczowe w erze e-commerce. Bez wsparcia SSL organizacja jest narażona na szereg zagrożeń finansowych, bezpieczeństwa i reputacji.

Jakie są typy definicji SSL?

Po odpowiedzi na pytanie „Co oznacza certyfikat SSL?" przyszedł czas na głębszą analizę dostępnych typów. Do dyspozycji są różne certyfikaty SSL w zależności od charakteru i potrzeb przedsiębiorstwa. Każda oferta Secure Sockets Layer będzie wymagała od firmy przeprowadzenia procesu weryfikacji w celu sprawdzenia, czy jest właścicielem domeny, a w niektórych przypadkach podania pełnych informacji o jej organizacji. Typy certyfikacji obejmują:

Certyfikat SSL Extended Validation

Ta wersja Secure Socket Layer jest niezbędna dla każdej firmy, która chce podkreślić wiarygodność swojej strony internetowej i zwiększyć zaufanie użytkowników. Aby uzyskać certyfikat, organizacja musi przejść przez proces walidacji, dostarczając dowodów, że jest właścicielem domeny, którą chce certyfikować. Certyfikat SSL jest kluczowy dla każdej firmy, która chce przeprowadzić procesy finansowe na swojej stronie internetowej lub zbierać dane szczególnie wrażliwe.

Certyfikat Organisation Validated SSL

Ta forma Secure Sockets Layer nie jest odpowiednia dla transakcji finansowych, ale służy do szyfrowania danych dotyczących aktywności użytkowników, które przemieszczają się między serwerem a przeglądarką internetową.

Certyfikat SSL Domain Validation

Ta wersja certyfikatu Secure Socket Layer oferuje jedynie niski poziom szyfrowania i ponieważ nie wiesz, kto i co otrzymuje zaszyfrowane dane, jest to oferta podstawowa, przeznaczona tylko dla blogów i prywatnych stron WWW. Podmioty, które wymagają najwyższego poziomu szyfrowania SSL, powinny szukać czegoś innego.

Certyfikat SSL Wildcard Validation

Technologia ta pozwala przedsiębiorstwom na korzystanie z z tego samego certyfikatu SSL, który zakupiły dla swoich domen, również na subdomenach. Jest to bardziej ekonomiczna alternatywa w porównaniu do zakupu certyfikatu dla każdej subdomeny.

Certyfikat SSL Unified Communications

Ta wersja Secure Sockets Layer zapewnia certyfikat SSL dla wielu domen posiadanych przez organizację. W ramach jednego certyfikatu można zainstalować do 100 domen.

Jak mogę uzyskać certyfikat SSL?

Aby zapewnić organizacji certyfikat SSL, należy wykonać następujące działania:

  • Wybierz wersję certyfikatu SSL, której potrzebujesz. Jak wspomniano wyżej, różne certyfikaty odpowiadają na różne potrzeby. Przed dokonaniem wyboru konieczne jest zrozumienie definicji i szyfrowania SSL.
  • Uzyskaj parę kluczy prywatnych i publicznych. Możesz je wygenerować na swoim serwerze. Klucze są wymagane w ramach żądania podpisania certyfikatu (CSR), które jest używane do uruchamiania procesu certyfikacji warstwy bezpiecznych gniazd. CSR zwykle zawiera nazwę firmy, jej lokalizację, typ i rozmiar oraz nazwę domeny.
  • Wyślij CSR do organu certyfikacji (CA) po upewnieniu się, że wybrałeś podmiot godny zaufania. Po dokonaniu zakupu postępuj zgodnie z instrukcjami CA i zainstaluj na serwerze nowy certyfikat Secure Sockets Layer. Operacja ta obejmie przesłanie i przetestowanie certyfikatu. Teraz już wszystko gotowe.
  • Pamiętaj, że bez względu na wersję wszystkie certyfikaty protokołów SSL mają daty wygaśnięcia, więc upewnij się, że pamiętasz, kiedy kończy się ważność Twoich certyfikatów. W przeciwnym razie klienci będą otrzymywali w przeglądarkach internetowych ostrzeżenia, że strona nie jest zabezpieczona protokołem SSL, a to może mieć wpływ na ich zaufanie do firmy.
     

OVHcloud i SSL

Bezpieczeństwo chmury ma kluczowe znaczenie. Dlatego oferujemy łatwy dostęp i uproszczony proces walidacji dla wszystkich Twoich wymagań dotyczących protokołu SSL. Możemy również polecić ofertę SSL, która najlepiej odpowiada Twoim konkretnym potrzebom. OVHcloud oferuje naszym klientom inne kluczowe funkcje bezpieczeństwa, dzięki czemu korzystasz z najnowszych procesów cyberochrony w każdej części firmy.