Surfując po sieci, na pewno niejednokrotnie natknąłeś się na strony internetowe, które na pasku adresu zamiast tradycyjnego http:// miały https://, o czym dodatkowo informuje zielona kłódka lub cały pasek adresu w takim kolorze. Takie oznaczenie strony świadczy o tym, że witryna ma certyfikat SSL, który szyfruje połączenie między serwerem a odbiorcą, zapewniając bezpieczeństwo i wiarygodność serwisu.
Obecnie z technologii SSL korzystają najczęściej sklepy internetowe, serwisy aukcyjne, banki i inne witryny przetwarzające poufne dane, takie jak: hasła, numery kart i kont bankowych. Internauci korzystający z serwisów zabezpieczonych certyfikatami SSL nie muszą się obawiać, że ich dane zostaną wykorzystane do nielegalnych działań hakerów czy aplikacji szpiegowskich. Dlatego, jeśli planujesz uruchomienie witryny, która będzie gromadziła poufne dane, zadbaj o bezpieczeństwo swoich internautów, instalując certyfikat na swoim serwerze.
Gdzie kupić certyfikat?
Certyfikat SSL można zamówić bezpośrednio u dostawców, np. w Certum, RapidSSL, Symantec, GeoTrust czy Comodo, i samodzielnie (jeśli masz odpowiednie uprawnienia i umiejętności) lub z pomocą administratora zainstalować go na własnym serwerze. O wiele prostszym i wygodniejszym rozwiązaniem jest złożenie takiej dyspozycji w firmie hostingowej, w której posiadasz serwer. Większość rynkowych firm, takich jak: dhosting.pl, nazwa.pl, home.pl czy kei.pl, oprócz serwerów i domen ma w ofercie również różnego rodzaju certyfikaty. Zanim jednak zamówisz serwer w wybranej firmie, upewnij się, czy dany pakiet hostingowy obsługuje SSL. Jedną z najciekawszych ofert proponuje firma dhosting.pl, która gwarantuje dodatkowe rabaty na wybrane certyfikaty przy zamówieniu na dłuży czas. Największy rabat – 20 proc. – można uzyskać przy zawarciu umowy na 4 lata.
Rodzaje certyfikatów
Wybór optymalnego certyfikatu zależy od potrzeb serwisu. Dla niewielkich sklepów internetowych, forów internetowych, aplikacji tworzonych pod kątem Facebooka czy stron zawierających formularze kontaktowe i rejestracyjne wystarczy podstawowy certyfikat, z grupy DV (Domain Validation), który służy do ochrony pojedynczej domeny. Proces potwierdzenia wiarygodności wnioskodawcy odbywa się elektronicznie i trwa zazwyczaj od kilku do kilkunastu minut. Oznacza to, że informacje potwierdzające prawa do własności zgłaszanej domeny są pobierane z rejestru domen. Jest to najszybsza, a zarazem najtańsza opcja zagwarantowania bezpieczeństwa dla swojej witryny. Koszt rocznego abonamentu takiego certyfikatu nie powinien przekraczać 150 zł. Jednym z najpopularniejszych jest RapidSSL dostępny np. w ofercie dhosting.pl w konkurencyjnej cenie tylko 44,55 zł rocznie. Dobrą alternatywą może też być certyfikat Certum Commercial SSL w abonamencie 119 zł rocznie.
Jeżeli twój serwis działa z wieloma subdomenami (np. zakupy.twojadomena.pl lub konto.twojadomena.pl), powinieneś się zdecydować na certyfikat typu wildcard, również kwalifikujący się do grupy DV. Ochrona pełnego adresu i wszystkich subdomen to już znacznie większy koszt – w granicach od 300 do nawet 600 zł rocznie.
Duże sklepy internetowe, korporacje, witryny urzędów administracji publicznej powinny sięgnąć po certyfikaty z grupy OV (Organization Validation) wymagające sprawdzenia organizacji wnioskującej, która musi dostarczyć dokumenty firmowe i osobowe potwierdzające własność domeny i organizacji działającej pod danym adresem WWW. Tutaj również występują dwa rodzaje certyfikatów: podstawowy (do obsługi pojedynczego adresu) lub certyfikat typu wildcard do zabezpieczenia adresu wraz z subdomenami. Do zastosowań biznesowych warto wykorzystać jeden z certyfikatów GeoTrust. W ofercie dhosting.pl dostępny jest Certum Trusted SSL w cenie 449 zł za rok lub GeoTrust True BusinessID w abonamencie rocznym 499 zł.
Ostatnią grupą są certyfikaty EV (Extended Validation), których wydanie poprzedzone jest złożeniem wniosku do Urzędu Certyfikacji. Wnioskodawca jest zobowiązany do dostarczenia dokumentów firmowych i osobowych potwierdzających własność domeny i wiarygodność firmy. Rozszerzona walidacja jest gwarantem najwyższej jakości na skutek skrupulatnej weryfikacji firmy. Internauta może rozpoznać zastosowanie takiego certyfikatu przez właściciela witryny na pasku adresu zmieniającym kolor na zielony (albo po widocznym symbolu zielonej kłódki). To rozwiązanie jest kierowane przede wszystkim do banków, prestiżowych sklepów i instytucji finansowych, w których bezpieczeństwo poufności jest najważniejszym elementem witryny. Certyfikaty z tej grupy wiążą się z wydatkiem rocznym rzędu 1200–2500 zł, w zależności od rodzaju certyfikatu. Czasami w ramach promocji dostępnych w firmach hostingowych taki certyfikat można nabyć w granicach 600–900 zł za rok. W ofercie dhosting.pl dostępny jest certyfikat GeoTrust True BusinessID with EV w abonamencie za 899 zł.
Gwarancja wystawcy
Każdy certyfikat jest objęty ubezpieczeniem wystawcy. Gdyby doszło do złamania szyfru, organizacja, która go wydała, musi wypłacić odpowiednie odszkodowanie. I tak najprostsze certyfikaty z grupy DV objęte są gwarancją zazwyczaj do około 30 tysięcy złotych. W przypadku certyfikatów OV ubezpieczenie wynosi od około 750 000 zł do nawet 400 000 złotych. Największym zabezpieczeniem są objęte certyfikaty EV, np. GeoTrust True Business ID EV, który jest zabezpieczony kwotą 1,5 mln dolarów (około 4,8 mln zł).
Czy można uzyskać bezpłatny certyfikat?
Przemysław Dolny
Dyrektor IT w firmie dhosting.pl
- Algorytmy szyfrowania SSL oraz generowania kluczy RSA są standardami otwartymi. Dzięki temu dla każdego dostępne są biblioteki i aplikacje (np. OpenSSL, gnutls), które można wykorzystać do samodzielnego wygenerowania certyfikatu SSL. Proces ten wymaga jednak pewnej wiedzy technicznej.
Samopodpisany certyfikat SSL pozwala nawiązać szyfrowane połączenie w większości zastosowań niekomercyjnych, np. dostęp do własnej strony domowej czy bloga, jednak aplikacje wyświetlały będą odstraszający komunikat z ostrzeżeniem o możliwej próbie oszustwa.
Dla przedsiębiorstw, np. sklepów internetowych, standardem jest wykorzystanie certyfikatów SSL wystawianych przez zaufane Urzędy Certyfikacji (CA). Dzięki nim można spełnić jeden z wymogów GIODO dotyczących przetwarzania danych osobowych. Zaufany certyfikat jest automatycznie weryfikowany, gwarantuje bezpieczeństwo oraz zwiększa zaufanie wśród użytkowników.
Oba wspomniane rodzaje certyfikatów SSL można zainstalować na większości serwerów komercyjnych. W przypadku serwerów darmowych, ze względu na wymaganie osobnego adresu IP lub SNI, instalacja SSL zazwyczaj jest niemożliwa.
