SSL, czyli Secure Socket Layer jest protokołem sieciowym zabezpieczającym połączenia internetowe. Został opracowany przez Netscape w 1994 r. i dość szybko powszechnie przyjęty ze względu na wysoką skuteczność, uniwersalność oraz stosunkowo prostą implementację rozwiązania.
Co to jest SSL i skąd wiadomo, że dane połączenie jest bezpieczne?
Standard SSL to protokół szyfrowania strumienia danych transferowanych pomiędzy użytkownikiem strony internetowej, a jej serwerem. Posługują się nim protokoły aplikacyjne (FTP, HTTP, telnet etc.), wykorzystując gwarancje bezpieczeństwa i poufności transmisji.O bezpieczeństwie danej strony internetowej świadczy przedrostek adresu w postaci https:, zamiast niezabezpieczonego http:, a także obecność zamkniętej kłódki przed przedrostkiem. W przypadku zaawansowanych certyfikatów SSL przed kłódką pojawia się również nazwa właściciela domeny.
Jak można uzyskać certyfikat SSL?
Cyfrowe certyfikaty SSL wystawiane są przez Urzędy Certyfikacji, czyli podmioty uprawnione do takich działań. Właściciele domen ubiegający się o potwierdzenie wiarygodności swojej strony nie muszą jednak zwracać się do Urzędów bezpośrednio. Certyfikat SSL odpowiedni dla własnych potrzeb można nabyć zwykle u swojego dostawcy usług internetowych.Chodź szyfrowanie jest procesem skomplikowanym, a certyfikacja wydaje się równie zaawansowana technologicznie, w rzeczywistości uzyskanie podstawowego certyfikatu Domain Validation w AZ.pl trwa około godziny, natomiast najwyższy poziom gwarancji bezpieczeństwa, Extended Validation, można uzyskać maksymalnie w ciągu tygodnia.
Kiedy warto ubiegać się o certyfikat SSL?
Certyfikacja SSL własnej domeny jest, co do zasady dobrowolna, choć niektóre firmy uniemożliwiają korzystanie z ich usług, jeśli strona użytkownika nie będzie zabezpieczona poprzez szyfrowanie SSL. Inne komercyjne organizacje promują certyfikację SSL, premiując w określony sposób zabezpieczone strony. Szyfrowanie SSL jest zalecane szczególnie w przypadku witryn przetwarzających dane użytkowników, takich jak:
- sklepy internetowe i serwisy aukcyjne,
- strony obsługujące płatności, np. domeny banków,
- portale szkół i uczelni,
- witryny urzędowe,
- strony związane z danymi pacjentów przychodni czy szpitali,
- strony korporacyjne,
- poczta e-mail,
- aplikacje typu klient-serwer.
Jak działa protokół szyforwania SSL?
Za pomocą protokołu sieciowego SSL możliwe jest szyfrowanie różnego rodzaju połączeń, m. in. do serwerów FTP czy poczty elektronicznej. Wykorzystuje się go oczywiście również do zabezpieczania protokołu HTTP, otrzymując Hypertext Transfer Protocol Secure, czyli HTTPS, a tym samym pewność, że wymiana danych z witryną jest bezpieczna.Działanie protokołu SSL opiera się na parach kluczy szyfrowania (z użyciem tzw. kryptografii asymetrycznej) oraz certyfikacie uwierzytelniającym. W uproszczeniu zasada szyfrowania SSL przedstawia się następująco:
- Kiedy użytkownik pobiera dane ze strony, serwer prosi przeglądarkę użytkownika o klucz publiczny, dzięki któremu szyfruje wszystkie informacje przesyłane do przeglądarki. Ta z kolei deszyfruje dane za pomocą klucza prywatnego, który nigdy nie jest udostępniany na zewnątrz.
- W sytuacji odwrotnej, kiedy użytkownik wysyła dane do serwera (np. wypełniając formularz), przeglądarka użytkownika pobiera klucz publiczny serwera i szyfruje dane tak, żeby tylko serwer, z którym nawiązane zostało połączenie mógł je odszyfrować. Deszyfracja odbywa się za pomocą klucza prywatnego serwera.
