Co to jest protokół i certyfikat SSL? Jak działa? Przed czym chroni?

Czym jest protokół i certyfikat SSL, jakie są jego rodzaje i dlaczego to ważne, żeby sprawdzać, co kryje się za kłódką w pasku adresowym.

Certyfikat SSL

Dlaczego kiedy wchodzisz na niektóre strony na ekranie pojawia się mrożące krew w żyłach ostrzeżenie: “Połączenie nie jest prywatne. Osoby atakujące mogą próbować wykraść Twoje informacje ze strony …(na przykład hasła, wiadomości lub dane kart kredytowych)”?

Komunikat zobaczysz na stronach, które nie używają szyfrowania. Rozpoznasz je również patrząc na pasek adresowy.

Jeżeli w pasku adresowym jest http://, to witryna nie używa bezpiecznego połączenia. Strona zabezpieczona certyfikatem będzie miała oznaczenie https:// oraz symbol kłódki.

Jednak cyberprzestępcy wiedzą, że strony HTTP nie budzą zaufania (przeglądarki ostrzegają przed nimi) i szukają sposobu, żeby Cię zmylić. 

Warto uzbroić się w wiedzę czym jest SSL, jak działa i jak przynosi korzyści. Zaczynajmy!

Certyfikat SSL – co to jest?

SSL to protokół sieciowy, który służy do bezpiecznych połączeń internetowych. Takie połączenia nawiązywane są przy użyciu certyfikatów – dlatego mówimy o certyfikacie SSL.

SSL jest narzędziem szyfrującym komunikację między serwerem, a przeglądarką internetową. Uwierzytelnia również (czyli potwierdza tożsamość) serwera, któremu udostępniasz dane np. numer karty kredytowej podczas zakupów w sklepie www.

Obecnie powszechnie stosowana jest wyższa, bezpieczniejsza wersja SSL – TLS. Jednak nazwa “certyfikat SSL” zakorzeniła się i nadal jest powszechnie stosowana. Używają jej również dostawcy zabezpieczeń choć w praktyce oferują zakup i wdrożenie certyfikatu TLS. Dla wygody będę używał określenia certyfikat SSL lub certyfikat SSL/TLS.

Jednak czym właściwie jest ten certyfikat?

Czym jest certyfikat SSL? 

Certyfikat SSL potwierdza, że strona, którą odwiedzamy korzysta z bezpiecznego połączenia. Bezpieczne – szyfrowane – połączenie zapewnia autentyczność, prywatność i integralność przesyłanych danych. 

Certyfikat SSL powinna stosować każda witryna, na której pozostawiasz swoje dane. Te dane to m.in. adres e-mail, informacje wpisane do kwestionariusza, numer karty kredytowej. Certyfikaty SSL wystawiają Urzędy Certyfikacji (Certificate Authority, CA). Właściciel strony, któremu zależy na bezpieczeństwu Twoich danych musi kupić i wdrożyć certyfikat SSL/TLS (lub skorzystać z darmowej wersji certyfikatu SSL).

Jak działa certyfikat SSL?

Działanie certyfikatu SSL wygląda – w skrócie, bez zagłębiania się w technikalia – następująco:

  1. nawiązanie połączenia przeglądarki www, z której korzystasz, z serwerem, na którym umieszczona jest odwiedzana strona (kontakt SSL),
  2. jeżeli strona zabezpiecza dane certyfikatem SSL, to serwer wysyła klucz publiczny,
  3. przeglądarka odsyła symetryczny klucz sesji przy użyciu klucza publicznego (jeżeli weryfikacja certyfikatu przebiegła pomyślnie),
  4. serwer używa klucza prywatnego, odsyła potwierdzenie i rozpoczyna zaszyfrowaną sesję,
  5. dane przesyłane między przeglądarką a serwerem są od tego momentu szyfrowane i zabezpieczone przed ingerencją osób trzecich.

Cała procedura trwa ułamki sekundy i jest praktycznie niezauważalna dla internauty.

Jak poznasz, że strona jest zabezpieczona SSL?

O tym, czy strona używa SSL wiesz na pierwszy rzut oka, wystarczy, że spojrzysz na protokół w pasku adresowym:

  • szyfrowany protokół to HTTPS (HTTP oznacza brak certyfikatu SSL),
  • przy adresie będzie symbol kłódki. 

Poniżej przykłady na podstawie przeglądarki Google Chrome. Tak samo lub podobnie wygląda to w innych przeglądarkach.

W przypadku zabezpieczonej strony wygląda to tak (na przykładzie kwestiabezpieczenstwa.pl):

Google Chrome – pasek adresu – domena kwestiabezpieczenstwa.pl z SSL

W przypadku braku SSL wygląda to tak (na przykładzie strony Urzędu Miasta Kielce um.kielce.pl – wstydźcie się – mamy 2023 rok!):

Google Chrome – pasek adresu – domena um.kielce.pl bez SSL

Dodatkowo możesz też sprawdzić szczegółowe informacje o zabezpieczeniu odwiedzanej strony. Właściwie – jak przekonasz się za chwilę – to bardzo zalecana metoda.

Kliknij w kłódkę (lub napis „Niezabezpieczona”), a dowiesz się m.in.:

  • czy połączenie jest bezpieczne,
  • jaki certyfikat został użyty,
  • dla kogo został wystawiony certyfikat i do kiedy jest ważny.

Tak to wygląda dla poprawnie zabezpieczonej strony i połączenia:

Google Chrome – pasek adresu – domena kwestiabezpieczenstwa.pl – Połączenie jest bezpieczne

A tak po kliknięciu na napis „Połączenie jest bezpieczne”:

Google Chrome – pasek adresu – domena kwestiabezpieczenstwa.pl – Połączenie jest bezpieczne – wyjaśnienie

A tak wygląda dla braku zabezpieczenia na stronie:

Google Chrome – pasek adresu – domena um.kielce.pl – Twoje połączenie z tą witryną nie jest bezpieczne

Bywa, że zobaczysz przekreśloną kłódkę. To znaczy, że część informacji ze strony nie jest przesyłanych szyfrowanym połączeniem.

W przypadku strony używającej certyfikatu SSL, który wygasł lub jest nieprawidłowy mozesz zobaczyć też ostrzeżenie w stylu:

Google Chrome – Błąd dotyczący prywatności – Połączenie nie jest prywatne

Jeżeli chcesz poznać szczegóły na temat certyfikatu danej strony, to użyj darmowego serwisu www.ssllabs.com/ssltest lub kliknąć na napis „Certyfikat jest ważny”, który widoczny jest na jednym ze screenów powyżej. Wyświetli to wszystkie informacje o certyfikacie:

Google Chrome – przeglądarka certyfikatów

Przed czym chroni SSL?

Protokół SSL chroni Cię podczas wizyty na stronie www. Zabezpieczy przed działalnością internetowych przestępców, np.:

  • przekierowaniem na inną stronę (phishing – podszycie się pod inną firmę/instytucję w celu kradzieży danych),
  • wykradzeniem danych, które podałeś podczas logowania/rejestracji konta,
  • przechwyceniem danych użytych przy realizacji e-płatności,
  • kradzieżą haseł, numerów kart, kont, a potem użyciem ich do popełnienia przestępstw lub sprzedaży w Darknecie,
  • skasowaniem lub fałszowaniem danych,
  • kradzieżą danych, które służą do logowania się do sieci wewnętrznych w firmach.

SSL i phishing: uważaj na fałszywą kłódkę!

Mam dla Ciebie ważne ostrzeżenie: certyfikat SSL nie oznacza, że jesteś bezpieczny na odwiedzanej stronie! 

SSL jest szalenie przydatny, jednak uważaj, bo cyberprzestępcy chętnie używają protokołu SSL w swoim procederze! Powinieneś sprawdzić, co kryje się za kłódką, która budzi Twoje zaufanie.

Skuteczność zabezpieczenia zależy od rodzaju weryfikacji przeprowadzonej podczas wydania certyfikatu. 

Cyberprzestępcy wiedzą, że strony HTTP nie budzą zaufania (Google ostrzega przed wchodzeniem na nie) i szukają sposobu, żeby Cię zmylić.

Certyfikaty SSL DV – to najbardziej podstawowa weryfikacja (szczegóły niżej) – są często wykorzystywane przez przestępców. Większość stron www używanych do phishingu dysponuje takim certyfikatem. Dlaczego? Bo weryfikowana jest tylko domena, a nie firma, która wystąpiła o certyfikat.

Prosty przykład. Chcesz wejść na stronę pkobp.pl, ale przez literówkę (lub celowe przekierowanie Twojego ruchu) trafiłeś na pkopp.pl – stronę z certyfikatem SSL DV założoną przez cyberprzestępców i służącą do phishingu.

Spójrz na dane z 2019 roku. Okazało się, że ok. 94% stron phishingowych zabezpieczonych certyfikatem SSL, miało certyfikat typu DV (dane firmy PhishLabs). Dlatego najbezpieczniejsze są strony używające certyfikaty OV i EV. Są droższe, a przede wszystkim wystawca sprawdza dane fizyczne firmy, która o niego wystąpiła.

Zapamiętaj: To, że strona ma certyfikat SSL, nic nie znaczy (bez weryfikacji adresu czy certyfikatu). To, że strona nie ma certyfikatu SSL, znaczy, że nie chcesz z niej korzystać.

Jak uniknąć przestępców ukrywających się za SSL? 

Przed podaniem na stronie wrażliwych danych – np. loginu do konta bankowego czy też kodu BLIK – kliknij w kłódkę i sprawdź czy jest informacja dla jakiej firmy wystawiono certyfikat SSL.

Jeżeli chciałeś wejść na stronę banku, sklepu lub innej instytucji, a w certyfikacie nie ma nazwy firmy, na którą został wystawiony, to musisz rozważyć dalsze działania. Być może padniesz ofiarą phishingu.

Pamiętaj, że właściciele niektórych stron sami nie wiedzą, że ich witryny służą do niecnych celów. Przestępcy włamują się na strony i podmieniają treści, żeby wyłudzić dane użytkowników.

Masz swoją stronę (np. blog) lub prowadzisz działalność w e-commerce? Przygotowałem dla Ciebie dodatkowe informacje o protokole SSL. Sprawdź, dlaczego warto z niego korzystać nawet, jak nie handlujesz w sieci. Taka wiedza przyda się również “zwykłym” internautom, którzy chcą poszerzyć wiedzę o cyberbezpieczeństwie.

Rodzaje certyfikatów SSL

W sieci funkcjonuje kilka rodzajów certyfikatów SSL. Podział zależy przede wszystkim od rodzaju weryfikacji – szczegółowe informacje zebraliśmy w tabelce.

rodzaj certyfikatuzabezpieczeniestandardowy czas oczekiwania na wydanie certyfikatu
certyfikat DV (Domain Validation) wystawiany jest na podstawie automatycznej weryfikacji prawa podmiotu do posługiwania się daną domenąod ręki (do godziny)
certyfikat OV (Organization Validation)wystawca certyfikatu sprawdza – oprócz własności domeny z danymi w serwerach DNS – dokumenty przesłane przez właściciela domeny1 – 5 dni
certyfikat EV (Extended Validation)najwyższy poziom zabezpieczenia, podmiot występujący o taki certyfikat jest szczegółowo prześwietlany przez wystawcę, weryfikacja obejmuje również firmę – w informacji certyfikatu będzie umieszczona nazwa przedsiębiorstwa, pasek adresu wyświetli się na zielono7 – 14 dni

Firmy hostingowe oferują również różne typy certyfikatów TLS/SSL. Na liście znajdziesz:

  • Standard SSL – standardowy certyfikat dla jednej domeny i jednej subdomeny,
  • Wildcard SSL – szyfrowanie danych w domenie głównej i wszystkich subdomenach,
  • Multi-Domain/SAN SSL – certyfikat dla wielu domen wraz z ich subdomenami,
  • Free SSL – bezpłatny certyfikat SSL.

Jaka jest cena certyfikatu SSL?

Możesz znaleźć certyfikaty płatne i darmowe. Za komercyjny certyfikat trzeba zapłacić rocznie do ok. 600 zł za certyfikat EV, którego używają zazwyczaj największe firmy i korporacje, np. banki.

Certyfikat możesz mieć gratisowo. Darmowy SSL oferują niektóre firmy hostingowe. Jednym z najpopularniejszych jest Let’s Encrypt.

Certyfikat SSL – płatny czy bezpłatny

Pod względem szyfrowania darmowe certyfikaty nie różnią się od tych płatnych. Popularnym i sprawdzonym bezpłatnym certyfikatem SSL jest wspomniany Let’s Encrypt urzędu certyfikacji powołanego przez amerykańską organizację pożytku publicznego.

Z drugiej strony wystawca płatnego certyfikatu oferuje ubezpieczenie – wypłaci pieniądze w przypadku skutecznego ataku przestępców skutkującego złamaniem certyfikatu SSL. W praktyce jednak takie ataki się nie zdarzają, więc i wspomniane ubezpieczenia nie są wypłacane. Jest to bardziej marketingowy chwyt, niż realna korzyść.

Pamiętaj, że zazwyczaj płatny certyfikat jest ważny przez rok, a potem należy wykupić przedłużenie jego ważności. Darmowy certyfikat Let’s Encrypt ważny jest przez 90 dni, a potem może odnawiać się automatycznie (ustawienie domyślne na wielu hostingach) lub należy go odnowić ręcznie.

Certyfikat SSL – jak go wdrożyć

Zazwyczaj dostawca certyfikatu – np. firma hostingowa – sam przeprowadzi proces jego wdrożenia. Certyfikat możesz też zainstalować w Panelu klienta na stronie dostawcy.

Twoje zadanie to zakup certyfikatu SSL u wybranego dostawcy oraz wskazanie adresu domeny dla której chcesz uruchomić bezpieczne połączenie. Warunek: pod wskazaną domeną musi znajdować się strona www. 

Przydatne instrukcje:

  1. Jak uruchomić SSL, czyli HTTPS na stronie?
  2. Jak włączyć certyfikat SSL (HTTPS) na hostingu WordPress?

Dlaczego warto używać certyfikatu SSL/TLS – bezpieczeństwo i pozytywny wpływ na SEO

Jeżeli jesteś internautą, to z pewnością zwracasz uwagę na swoje bezpieczeństwo w sieci. Nie masz ochoty odwiedzać stron, które mogą łatwo stać się celem skutecznego ataku przestępców. Tym bardziej nie zostawisz tam swoich danych, np. numeru karty kredytowej.

W sieci jest masa sklepów oferujących podobne produkty – zamiast ryzykować lepiej wybrać inny, zabezpieczony.

Dla właścicieli witryn brak certyfikatu SSL to strata potencjalnych klientów. Google Chrome od wersji 68 oznacza każdą stronę bez certyfikatu SSL/TLS jako niezabezpieczoną. Wiele osób zniechęca to do wizyty. 

Dodatkowo strony z certyfikatem mają lepsze SEO. Linki do witryn, które nie używają szyfrowania trafiają niżej w wynikach wyszukiwania. W sumie brak SSL oznacza mniejszy ruch na stronie i mniejsze dochody.

Zapisz się na bezpłatny 7-dniowy kurs e-mail:
PODSTAWY BEZPIECZEŃSTWA

i dowiedz się jak zabezpieczyć komputer, telefon i konta internetowe:

PODSTAWY BEZPIECZEŃSTWA