Protokół „HTTPS”, certyfikat SSL? Na pewno słyszeliście o takich pojęciach, ponieważ są one ściśle związane z bezpieczeństwem stron internetowych, zarówno po stronie właściciela serwisu jak i użytkownika. Niestety, w większości przypadków do kradzieży danych personalnych czy też innych wrażliwych danych dochodzi na stronach pozbawionych certyfikatu SSL. Zastanawiasz się pewnie czy moja/moje strony takiego protokołu „HTTPS” potrzebują? Spróbuję dzisiaj udzielić odpowiedzi na to pytanie.
SSL (Source Sockets Layers) to technologia szyfrowania ruchu sieciowego. Połączenie na linii: serwer internetowy, na którym znajduje się strona internetowa, a przeglądarka użytkownika jest szyfrowane, przez co chronione są informacje wymieniane pomiędzy nimi. Mówiąc prościej, zanim informacje wysłane za pomocą formularzy (kontaktowych, logowania, zakupu itd.) trafią do określonej lokalizacji, mogą przejść dosyć okrężną drogę po różnych serwerach i sieciach, w których bez odpowiedniego szyfrowania mogłyby zostać odczytane.
Strona internetowa korzystającą z protokołu „HTTPS” posiada zieloną kłódkę przy swoim adresie na pasku przeglądarki i wygląda to następująco:
Certyfikat SSL działa na zasadzie kryptografii wykorzystując dwa klucze (publiczny, prywatny) będące ciągami losowo wygenerowanych liczb. Pierwszy klucz szyfruje wiadomość, natomiast drugi (prywatny) pozwala tę wiadomość odczytać. Działa to w mniej więcej w taki sposób: jeżeli Adam chce wysłać list do Dawida, to przed wysłaniem musi tę wiadomość zaszyfrować kluczem publicznym Dawida, w momencie gdy Dawid otrzymuje wiadomość może ją odkodować używając swojego prywatnego klucza. Jeśli list dostałby się w niepowołane ręce i zostałby otwarty przez Janusza, który nie ma dostępu do klucza prywatnego Dawida, to Janusz zobaczy wyłącznie nieznany mu kod kryptograficzny.
Certyfikaty SSL mają chronić poufne, wrażliwe dane internautów wysyłane za pomocą formularzy online przed przechwyceniem i dostępem do nich przez osoby niepowołane. Protokół „HTTPS” powinien zostać wdrożony na stronach, które przetwarzają informacje finansowe (zamówienia składanie przez internet, konta bankowe), posiadają poufne dane (dokumenty, umowy klientów), przechowują dane personalne (PESEL, daty urodzenia), posiadają uwierzytelnienie (logowanie).
W ostatnich dniach zauważyłem, że protokół „HTTPS” staje się normą i wiele właścicieli stron internetowych decyduje się na taki krok mając na uwadze przede wszystkim bezpieczeństwo swoich klientów i kontrahentów. Nie skłamię też, jeśli powiem, że większość przeciętnych stron internetowych nie przetwarza żadnych danych, nie ma formularzy, ani sprzedaży online, więc tak na dobrą sprawę nie potrzebują certyfikatu SSL. Tak, jest to prawda, nie mniej jednak na dzień dzisiejszy istnieją rozwiązania udostępnione na licencji otwartej (np. Let’s Encrypted, Comodo), które wymagają wyłącznie „zamontowania” darmowego certyfikatu na własnej domenie.
Jakie korzyści przyniesie nam instalacja certyfikatu SSL?
Po pierwsze jest to bezpieczeństwo, którego nigdy za wiele! Użytkownik korzystający ze strony internetowej „z zieloną kłódką” ma poczucie bezpieczeństwa, chętniej skorzysta z formularza kontaktowego czy też dokona zakupów. Po drugie certyfikaty SSL potwierdzają wiarygodność strony www, a bardziej zaawansowane certyfikaty EV całej firmy. Po trzecie prestiż! Jasno dajemy do zrozumienia, że bezpieczeństwo i poufność nie jest nam obca. Po czwarte rozpoznawalność! Klient wie, że ma do czynienia z poważnym kontrahentem.
W przypadku zwykłej strony internetowej powyższe zalety wdrożenia certyfikatu SSL mają charakter wyłącznie wizerunkowy, ale jest jeszcze jeden, chyba najważniejszy powód, dlaczego warto wykonać wdrożenie certyfikatu SSL na takiej prostej stronie internetowej. Search Engine Optimization, czyli optymalizacja stron internetowych i dostosowywanie ich do wymogów Google, które rok temu zaczęło faworyzować responsywne witryny internetowe, a teraz ma zamiar promować witryny „bezpieczne”. Na dzień dzisiejszy trzy najważniejsze czynniki wpływające na pozycję w wyszukiwarce Google to: responsywność, szybkość i certyfikat SSL. Dlatego, nie ma co się zastanawiać, trzeba działać!
Tymczasem, do następnego!