Co to jest certyfikat SSL

SSL jest protokołem sieciowym używanym do bezpiecznych połączeń internetowych, przyjęto go jako standard szyfrowania na stronach WWW. Certyfikat SSL zapewnia poufność transmisji danych przesyłanych przez Internet. Intencją twórców SSL było zaprojektowanie protokołu uniwersalnego, tak aby mogły z niego korzystać protokoły aplikacyjne (HTTP, FTP, telnet itp.).

Oznacza to, że za pomocą SSL mogą być szyfrowane połączenia do poczty, serwera ftp, strony WWW itp. Dzięki swojej skuteczności oraz prostej obsłudze certyfikat SSL bardzo szybko znalazł zastosowanie zwłaszcza przy zabezpieczaniu transakcji realizowanych w bankowości elektronicznej, podczas aukcji internetowych oraz w systemach płatności online.

Certyfikat SSL zapewnia bezpieczeństwo danych przesyłanych za pośrednictwem strony internetowej. Jest to świadectwo dbałości o bezpieczeństwo jej użytkowników oraz dobry wizerunek.

Certyfikat SSL jest niezbędny wszędzie tam, gdzie Internauta pozostawia na stronie swoje dane.

Spotykamy je na stronach e-banków, sklepach internetowych, serwisach społecznościowych, e-urzędach, itd.

Jakie korzyści wynikają z posiadania certyfikatu SSL?

  • Szyfrowanie danych – certyfikat SSL ochrania (szyfruje) przesyłanie poufnych informacji (np. dane klientów w sklepie internetowym).
  • Poczucie bezpieczeństwa – użytkownik korzystający ze strony ma pewność, że przesyłane informacje nie trafią w niepowołane ręce. Chętniej dokona zakupów, bądź wypełni formularz kontaktowy na zabezpieczonej certyfikatem SSL stronie WWW.
  • Wiarygodność – certyfikat SSL potwierdza wiarygodność strony WWW, a przy bardziej zaawansowanych certyfikatach EV także całej firmy.
  • Prestiż – certyfikat SSL jasno przedstawia, że zasady bezpieczeństwa i poufności są dla Twojej firmy/osoby bardzo ważne.
  • Rozpoznawalność marki – posiadanie certyfikatu SSL odzwierciedla potencjalnym Klientom, że jesteś poważnym kontrahentem, któremu można zaufać.

Jakie podstawowe warunki trzeba spełnić, aby nabyć certyfikat SSL?

  • pod wybraną domeną musi znajdować się gotowa strona WWW,
  • domena ta musi być zarejestrowana na dane firmowe, które są widoczne w ogólnodostępnej bazie WHOIS,
  • musisz posiadać utworzone konto e-mail o adresie: „admin@szyfrowana_domena.pl”, na który wpłynie prośba o potwierdzenie zamówienia,

Od wersji 56 Chrome oznacza strony nie posiadające certyfikatów jako potencjalnie niebezpieczne.

 

Certyfikaty SSL klasy DV (Domain Validation)

Certyfikat SSL  szyfruje np. dane klientów przesyłanych przez formularz w sklepie internetowym. Dbasz tym samym o bezpieczeństwo zakupów w Twoim sklepie internetowym, zapewniasz poufność przesyłanych informacji biznesowych, zaznaczając jednocześnie, że jesteś poważnym kontrahentem.

Istnieje kilka klas certyfikatów SSL, które opisane są poniżej. Na wybór certyfikatu SSL może mieć wpływ:

  • długość procesu weryfikacji podmiotu wnioskującego o wydanie certyfikatu (Twojej firmy),
  • cena wybranego certyfikatu SSL,
  • ilość adresów WWW jakie mają być objęte szyfrowaniem SSL (zazwyczaj jeden certyfikat umożliwia szyfrowanie danych dla jednej domeny, natomiast certyfikat typu Wildcard pozwala chronić dowolną liczbę subdomen w twojej domenie),
  • sposób prezentacji informacji w przeglądarce o certyfikacie SSL chroniącym Twoją stronę WWW.

Rozróżniamy trzy klasy certyfikatów SSL:

  • Certyfikat klasy DV (Domain Validation) – dobry poziom zabezpieczeń,
  • Certyfikaty klasy OV (Organization Validation) – wysoki poziom zabezpieczeń,
  • Certyfikaty klasy EV (Extended Validation) – najwyższy poziom zabezpieczeń.

Certyfikaty klasy DV (Domain Validation)

Certyfikaty SSL oznaczane przez wystawców jako DV (Domain Validation) gwarantują szyfrowanie transmisji informacji w certyfikowanej domenie. Podczas wydawania certyfikatu następuje weryfikacja domeny. Zakończenie procesu weryfikacyjnego ogranicza się do potwierdzenia zamówienia wysyłanego na adres e-mail: “admin@certyfikowana_domena”.

Weryfikacja domeny oznacza, że podczas realizacji zamówienia wykonywana jest:

  • weryfikacja czy w pliku CSR znajdują się te same dane abonenta co w bazie WHOIS przy domenie, która ma być zabezpieczona przez certyfikat SSL.
  • weryfikacja czy pod adresem domeny jest opublikowana strona WWW. W przeciwnym wypadku wystawca może odmówić wydania certyfikatu SSL.

Certyfikaty SSL typu DV (Domain Validation) to:

  • skuteczne zabezpieczenie przed phishingiem i podsłuchiwaniem transmisji,
  • automatyczna weryfikacja podmiotu występującego o certyfikat – bez konieczności przysyłania dokumentów rejestrowych firmy,
  • w informacjach o certyfikacie nie będzie wyświetlana nazwa Twojej firmy (funkcjonalność ta dostępna jest przy certyfikatach typu OV oraz EV),
  • ochrona prywatności użytkowników korzystających z zabezpieczonej strony WWW,
  • wysoka gwarancja na zabezpieczenie transmisji danych. W przypadku certyfikatów: RapidSSL, RapidSSL Wildcard gwarancja wystawiana jest na kwotę 10 000$.
  • bezpłatna instalacja na serwerze.

Certyfikaty DV (Domain Validation)

Certyfikaty SSL (Domain Validation) gwarantują szyfrowanie transmisji informacji w certyfikowanej domenie. Są to najpopularniejsze i najprostsze certyfikaty (najprostsze w zakresie wydawania).
Podczas wydawania certyfikatu następuje WYŁĄCZNIE weryfikacja domeny. Zakończenie procesu weryfikacyjnego ogranicza się do potwierdzenia zamówienia certyfikatu SSL wysyłanego na adres e-mail: „admin@domena-klienta.pl”

Oczywiście adres musi istnieć w domenie, dla której kupuje się certyfikat, w tym przypadku byłaby to domena: „domena-klienta.pl”. Kliknięcie linka wysłanego przez wystawcę certyfikatu na adres np. admin@domena-klienta.pl jest jedyną weryfikacją, że jest się właścicielem domeny dla której chce się uzyskać certyfikat. Po kliknięciu linka certyfikat jest wystawiany.

Gdy zajrzymy do szczegółów certyfikatu (np. klikając na zieloną kłódkę w przeglądarce) będzie tam informacja o domenie, ale nie będzie tam żadnych informacji o firmie/organizacji dla której został on wydany.

Certyfikaty OV (Organization Validation)

Certyfikaty OV to certyfikaty o rozszerzonym sposobie weryfikacji. Zanim zostanie wystawiony, musi nastąpić weryfikacja danych w oparciu o odpowiednie dokumenty rejestrowe firmy. Najczęściej trzeba przesłać mailem, faksem lub pocztą tradycyjną dokumenty, które potwierdzą dane firmy.
Różnica w stosunku do certyfikatów DV to dopisanie firmy, na jaką jest wystawiony certyfikat w szczegółach certyfikatu. W punktu widzenia klienta, który korzysta ze strony przeglądarki wyświetlają identyczną zieloną kłódkę jak w przypadku certyfikatów DV.

Certyfikaty EV (Extended Validation)

Zamówienie certyfikatu wymaga podania dokładnych danych i kompletu dokumentów  w języku angielskim.
Firma certyfikująca może kontaktować się bezpośrednio z firmą występującą o certyfikat; konieczna jest znajomość języka angielskiego. Procedura wydania obejmuje:
A. Organization Authentication Requirements
B. Operational Existence Confirmation
C. Physical Address Confirmation
D. Telephone Number Confirmation
E. Domain Authentication Requirements
F. Order Verification Requirements

Zaletą tego certyfikatu jest wyświetlenie nazwy organizacji obok standardowej ikony zielonej kłódki. Najczęściej z tego rozwiązania korzystają instytucje finansowe takie jak banki.

Rodzaje certyfikatów SSL

Rodzaje certyfikatów SSL

Najpopularniejszą kategoryzacją certyfikatów SSL jest ich podział z uwagi na typ weryfikacji. Mając ten czynnik na względzie można wyróżnić następujące rodzaje:

  • Domain Validation (DV) – jest to podstawowa forma zabezpieczenia, umożliwiająca ochronę danych transmitowanych w certyfikowanej domenie. Przy wydawaniu certyfikatu weryfikacji poddawana jest wyłącznie zgłaszana domena. Oznacza to, że sprawdzone zostaje czy pod adresem domeny jest faktycznie opublikowana strona www, natomiast nie poddaje się weryfikacji danych firmy wnioskującej o certyfikat DV.
  • Organization Validation (OV) – stanowi rozszerzony rodzaj uwierzytelnienia. Podobnie jak model podstawowy również certyfikat OV zapewnia szyfrowanie transmitowanych informacji w wyznaczonej domenie. Podczas wydawania certyfikatu weryfikacji poddawana jest już nie tylko sama domena, ale także firma wnioskująca. Przy sprawdzaniu firma bądź osoba ubiegająca się o certyfikat OV może zostać poproszona o wyciąg z KRS-u lub umowę spółki.
    Charakterystyczna dla tego rodzaju certyfikacji jest pojawiająca się nazwa firmy po kliknięciu na pieczęć bezpieczeństwa (z reguły w postaci symbolu kłódki).
  • Extended Validation (EV) – ten rodzaj certyfikatu określany bywa również jako pełne uwierzytelnienie. Jego posiadanie to jasny przekaz dla użytkowników, że strona ma najsilniejszą weryfikację tożsamości. Przejawia się to widoczną nazwą firmy i zielonym oznaczeniem w pasku z adresem URL domeny. Przy wydaniu certyfikatu EV zarówno strona, jak i firma poddawane są szczegółowej weryfikacji. Firma bądź osoba wnioskująca jest sprawdzana pod kątem: faktycznej obecności fizycznej, statusu prawnego, realnego prowadzenia działalności, zgodności z danymi urzędowymi.