Firefox, Chrome, Facebook… Dlaczego wymagają certyfikatów SSL?

Przeglądarki ostrzegają!

Rok 2017 obfitował w kolejne zmiany w mechanizmach przeglądarek internetowych, które z coraz mniejszą tolerancją traktowały strony bez certyfikatów SSL. W styczniu 2017 roku, wraz z udostępnieniem wersji Google Chrome 56, w przeglądarce pojawiły się komunikaty informujące o możliwości przechwycenia danych w polach logowania na niezabezpieczonych stronach WWW. Był to jeden z etapów procesu informowania i uwrażliwiania użytkowników na zagrożenia wynikające z braku certyfikatów SSL. Ostatnim krokiem, przeciwko nieszyfrowanym połączeniom, była zmiana wprowadzona w Google Chrome w lipcu tego roku. Od tej pory komunikaty w pasku adresu pojawiają się dla wszystkich niezabezpieczonych stron, zniechęcając skutecznie użytkowników do ich przeglądania.

W tym samym czasie podobne działania edukacyjne prowadziła również Mozilla Firefox. Od wersji Firefox 52 przeglądarka informuje w każdym formularzu logowania o ryzyku związanym z nieszyfrowanym połączeniem. Wcześniej była to jedynie ikonka w pasku adresu (strona niezabezpieczona).

Analiza danych TOP 1M stron internetowych wg Alexa oraz Google potwierdza, że wprowadzone środki poskutkowały, zwiększając świadomość internautów oraz ilość stron zabezpieczonych protokołem SSL. Google podaje, że 68% ruchu obsługiwanego przez przeglądarkę Chrome dla systemów Androida i Windows1 w roku 2017 to ruch szyfrowany. Dla systemów OS Chrome i Mac wartość ruchu szyfrowanego osiągnęła w tym samym czasie próg 78%.

 

Facebook wymusi połączenie szyfrowane

Zwiększony nacisk na bezpieczeństwo kładzie także Facebook. Serwis zapowiedział2 , że od 6 października 2018 r. domeny bez HTTPS nie będą mogły korzystać z opcji autoryzacji. Oznacza to, że strona lub aplikacja wykorzystująca logowanie za pomocą Facebooka, a niezabezpieczona certyfikatem SSL, nie będzie mogła używać tej funkcji.

Do tej pory wymóg posiadania certyfikatu SSL - podczas autoryzacji do strony za pomocą Facebooka - dotyczył jedynie aplikacji dodanych od marca 2018. Wraz z wprowadzeniem zmiany, protokół HTTPS będzie wymagany dla wszystkich stron internetowych podczas każdego logowania z użyciem danych do serwisu Facebook oraz dla każdego wywołania API.

 

Bezpieczeństwo logowania

Protokół HTTPS szyfruje połączenie pomiędzy komputerem użytkownika a serwerem, przez co pomaga zachować poufność przesyłanych danych oraz chronić bezpieczeństwo osób korzystających ze stron i aplikacji WWW. Bezpieczeństwo HTTPS opiera się na protokole TLS (z ang. Transport Layer Security).

Gdy użytkownik łączy się ze stroną WWW poprzez HTTPS, do przeglądarki wysyłany jest certyfikat SSL. Przeglądarka sprawdza ważność certyfikatu, a także ważność wszystkich powiązanych certyfikatów aż do najwyższego poziomu certyfikatu root. Jeżeli certyfikat nie będzie zaufany, przeglądarka wyświetli odpowiedni komunikat.

 

Co to jest certyfikat SSL?

Certyfikat SSL to mechanizm gwarantujący bezpieczeństwo stron internetowych. Zapewnia poufność i integralność danych przesyłanych przez Internet, np. za pośrednictwem formularza na stronie WWW czy poczty elektronicznej oraz zawiera informacje o domenie. O obecności certyfikatu SSL świadczy ikona kłódki oraz protokół HTTPS w pasku adresu strony internetowej.

Każdy może wygenerować własny certyfikat SSL (tzw. Self signed certificate). Nie będzie on jednak wiarygodny dla przeglądarek internetowych. Dlatego też powstała Infrastruktura Klucza Publicznego (z ang. Public Key Infrastructure, w skrócie PKI), która tworzy hierarchiczną strukturę zaufania, a w jej skład wchodzą Urzędy Certyfikacji. Stanowią one zaufaną stronę trzecią, która wystawia certyfikaty i potwierdza własność klucza publicznego.

 

Rodzaje certyfikatów SSL

Na rynku dostępne są trzy typy certyfikatów SSL. Różnią się między sobą poziomem weryfikacji domeny i jej właściciela przez organ certyfikujący oraz oferowaną gwarancją w przypadku złamania szyfrowania.

Certyfikat EV (Extended Validation) – proces weryfikacji obejmuje prawo do posługiwania się domeną, status prawny, zgodność z danymi urzędowymi oraz sprawdzenie czy podmiot wnioskujący rzeczywiście prowadzi działalność. Proces ten może potrwać do 15 dni. Certyfikat EV gwarantuje najwyższy poziom bezpieczeństwa oraz najwyższe kwotowe gwarancje w przypadku złamania zabezpieczeń. W pasku przeglądarki widnieje zielona kłódka oraz nazwa firmy.

 

Certyfikat EV

 

Certyfikat OV (Organization Validation) – proces weryfikacji dotyczy prawa do posługiwania się domeną oraz sprawdzenia danych wnioskującego na podstawie nadesłanych dokumentów (np. dokumenty spółki lub wyciąg z KRS). Wystawienie certyfikatu może trwać kilka dni. W pasku adresu strony widoczna jest zielona kłódka bez nazwy firmy.

Certyfikat DV (Domain Validation) – w procesie weryfikacji sprawdzane jest jedynie, czy wnioskujący ma prawo do posługiwania się domeną internetową. Dane wnioskującego nie są weryfikowane. Ten rodzaj certyfikatu oferuje jedynie szyfrowanie i integralność danych.

 

Certyfikat DV Let's Encrypt

 

Dlaczego warto mieć certyfikat SSL

Chcąc obronić się przed ograniczeniami wprowadzonymi w najpopularniejszych przeglądarkach, właściciele stron internetowych powinni zaopatrzyć się w certyfikaty SSL. Jednak brak wyświetlających się w przeglądarkach komunikatów o ostrzeżeniach to nie jedyna zaleta certyfikatów SSL.

Certyfikaty SSL to przede wszystkim gwarancja bezpieczeństwa danych, które klienci powierzają firmom. „Zielona kłódka” w pasku przeglądarki oznacza wiarygodność i potwierdzenie wysokich standardów bezpieczeństwa, co przekłada się na zaufanie do marki.

Już od 2014 roku posiadanie przez stronę certyfikatu SSL jest jednym z czynników rankingowych wyszukiwarki Google. Do niedawna korzystanie z HTTPS stanowiło przewagę nad konkurencją, obecnie, gdy liczba zabezpieczonych stron rośnie, brak szyfrowanego połączenia na stronie WWW sprawia, że firma zostaje w tyle.

Certyfikaty wystawione przez zaufane instytucje chronią przed phishingiem, czyli próbą wyłudzenia danych kart płatniczych lub dostępów do konta za pomocą fałszywej strony sklepu czy banku. Strony phishingowe do złudzenia przypominają autentyczne serwisy internetowe kopiując ich strukturę i szatę graficzną. Nie ma jednak możliwości, aby posiadały certyfikat SSL wystawiony dla sklepu czy banku, pod które próbują się podszywać. Sprawdzenie szczegółów certyfikatu SSL rozwieje wszystkie wątpliwości co do prawdziwości strony WWW.

 

Jak zainstalować certyfikat SSL?

Certyfikat DV Let’s Encrypt jest w OVH dostępny bezpłatnie dla każdej domeny i subdomeny zainstalowanej w ramach hostingu. Można go aktywować w Panelu klienta, na liście domen podpiętych do serwera lub na stronie głównej hostingu, a instalacja oraz późniejsze odnowienie certyfikatu jest w pełni automatyczne i zarządzane przez OVH.

 

instalacja certyfikatu SSL OVH

Ważne jest także, aby upewnić się, że strona internetowa nie pobiera treści z innych serwisów w sposób nieszyfrowany. Dostosowanie skryptów, takich jak system komentarzy Disqus czy wtyczki social mediów jest niezbędne, aby ikona kłódki pojawiła się w pasku adresu strony WWW. W naszym przewodniku o SSL wyjaśniamy, na co zwrócić szczególną uwagę.

1 Źródło: https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

2 Źródło: https://developers.facebook.com/blog/post/2018/06/08/enforce-https-facebook-login/