Poznaj nas
Pomoc
Obsługa klienta
Formularz kontaktowy
Tel: +48 695 742 350
E-mail: biuro@roan24.pl
w dni robocze pon.-pt.
w godz. 7:00-21:00
© 2023 ROAN Agencja Interaktywna Maria Łukin w spadku. Korzystając z tej strony, zgadzasz się z naszą polityką cookies.
Formularz kontaktu
Tel: +48 695 742 350
E-mail: biuro@roan24.pl
w dni robocze pon.-pt.
w godz. 7:00-21:00
© 2023 ROAN Agencja Interaktywna Maria Łukin. Korzystanie z serwisu oznacza akceptację polityki cookies.
Należy pamiętać, że korzystając z witryny bez zmiany ustawień przeglądarki, użytkownik wyraża zgodę na politykę prywatności i przechowywanie plików cookie, które umożliwiają sprawne działanie naszej witryny.
Czym jest SSL/TLS oraz jak Wdrożyć na Swojej Stronie
SSL zamienię zwany TLS (lub na odwrót) jest używany do tunelowania nieszyfrowanych danych przez bezpieczne połączenie szyfrowane, niewątpliwą zaletą tej technologi jest to, że nie musimy wprowadzić zmian do używanej już usługi, wystarczy nałożyć na nią nakładkę SSL, która przeźroczyście dla aplikacji będzie szyfrować dane transportowe przez sieć.
Dlaczego powinno się szyfrować
Spis treści
Oto przykładowe zastosowania, które pokazują, dlaczego warto wdrożyć na swojej stronie internetowej zabezpieczenia SSL:
Prywatność
Podstawą jest to, aby ochronić się przed podsłuchaniem danych wysyłanych przez sieć przez osoby niepowołane. Podstawą problemu są sieci domowe oraz bezprzewodowe, gdzie, jeśli posiadamy w domu router i nie posiada on włączonej usługi WPA lub chociaż WEB (można to poznać po tym, czy jest wymagane hasło do podłączenia się do sieci bezprzewodowej), to każda osoba w zasięgu naszej sieci może podsłuchać wszystkie przesyłane przez nas dane, w tym hasła oraz loginy. Oczywiście, tylko jeśli nasze dane nie są szyfrowane.
Autoryzacja
Każdy, kto łączy się z bankiem przez internet wie, że musi przed podaniem loginu i hasła sprawdzić, czy w pasku adresu widnieje kłódka. Po co i jak to się sprawdza? Otóż zasada jest prosta, każdy system operacyjny lub przeglądarka internetową posiadają listę zaufanych certyfikatów. Organizacji rządowych, jak i poza rządowych które sprawdzają autentyczność osoby i następnie podpisują cyfrowo jej certyfikat, potwierdzając tym, że to jest rzeczywiście dana osoba lub instytucja. Tak podpisany certyfikat jest przedstawiany przez serwer internetowy i posiada wszystkie informacje o danej organizacji. Takie jak jej nazwę, siedzibę kraj oraz kontakt mailowy, posiada też jeszcze jedną, bardzo ważną informację. Czyli na których domenach certyfikat jest ważny i powinniśmy mu ufać, użycie certyfikatu podpisanego cyfrowo przez zaufany podmiot na innej domenie niż jest wystawiony spowoduje wyświetlenie błędu i ostrzeżenie użytkownika, że coś jest nie tak.
Istnieje możliwość stworzenie własnego certyfikatu, którym można podpisywać inne jednak dopóki on nie będzie zaufany przez przeglądarkę klienta to pojawi się błąd, wiele firm używa takich certyfikatów do wewnętrznych aplikacji czy serwerów proxy, poprzez instalowanie w przeglądarkach pracowników prywatny wewnętrzny certyfikat.
Pozycjonowanie
Google potwierdziło, że będzie nagradzało za użycie SSL, poprzez lepszą pozycję w wynikach wyszukiwania.
Rodzaje certyfikatów
Koszt samego certyfikatu jest zależny od ilości pod-domen jaki certyfikat ma obsługiwać. I tak rozróżnia się głównie trzy rodzaje.
Gdzie dostać certyfikat
Jako że nie jest to artykuł reklamowy to polecam stronę StartCom gdzie można dostać certyfikat na domenę i jedną pod domenę całkowicie za darmo. Opłaty są pobierane dopiero za certyfikaty na wiele pod domen lub wildcardy. Oraz za ewentualne anulowanie certyfikatu.
Wprowadzenie certyfikatu
Jak już mamy podpisany certyfikat i przynależny do niego klucz prywatny (jego nie będziemy nikomu pokazywać, jak sama nazwa brzmi prywatny). To musimy go zainstalować i tutaj zaczynają się sprawy komplikować po pierwsze, jeśli instalujemy certyfikat na stronie hostowanej w zewnętrznej firmie, najpierw musimy się dowiedzieć czy nasz pakiet hostingu dopuszcza szyfrowanie, gdyż Może się zdarzyć, tak że nasz hostingodawca nie będzie chciał, aby nasza strona była szyfrowana, gdyż zwiększa to obciążenie serwera. Później natomiast zaś sama instalacja będzie się odbywać w panelu administracyjnym w zależności od dostawcy usług. Trzeba też pamiętać, że do szyfrowania polecany jest dedykowany adres IP – w przeciwnym wypadku będziemy potrzebować SNI (czytaj dalej).
Jeśli jednak chodzi hosting w firmie ROAN instalacja jest wykonywana poprzez panel administracyjny domeny, jesteśmy też gotowi wykonać taką instalację za klienta lub pokierować go w przypadku jakiegokolwiek problemu. Jako że dbamy o naszych klientów, czyli też o klientów naszych klientów zalecamy instalację certyfikatu na witrynie internetowej.
W przypadku posiadania własnego serwera instalacja sprowadza się do odpowiedniego skonfigurowania serwera internetowego, takiego jak apache czy nginx. Wystarczy kierować się wskazówkami odpowiednimi dla danego serwera, przykład apache oraz nginx.
Co należy wiedzieć po instalacji
SSL czy TLS
Otóż posiadamy aktualnie używane technologie, SSLv1, SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2. Kolejność ich wypisana jest kolejnością ich powstania – SSLv1 najstarszy oraz TLSv1.2 najnowszy. SSL powstało w firmie Netscape i było przez nią rozwijane, jako że się przyjęło jako standard pieczę nad nim przyjęło Internet Engineering Task Force i zaczęło ją rozwijać, przez co powstało TLS, mimo iż zazwyczaj używana jest technologia TLS to nadal nazywane jest potocznie nazywane jako SSL.
SSL jest niebezpieczne
Tak jak już wiemy czym się różni to trzeba wiedzieć, że SSLv1, SSLv2 oraz SSLv3 są uznawane za niebezpieczne i łatwe do złamania niezależnie od użytego algorytmu szyfrowania. Dlatego wiele usług ma już wyłączone wsparcie SSL w każdej wersji i opiera się głównie na TLS od wersji 1 włącznie, który też już czasami może być uznawane za niebezpieczny w zależności od użytych algorytmów szyfrowania. Dlatego dobrze jest sprawdzić swoje ustawienia SSL i nie liczyć tylko na to, że użycie nowszej technologi ochroni naszych klientów.
Test ustawień SSL
Osobiście polecam usługę Qualys SSL Labs do testów serwera http pod względem szyfrowania. wyświetli on wszystkie problemy z szyfrowaniem na naszym serwerze, pokaże jak je naprawić oraz przyzna ocenę końcową za ustawienia, co pomoże nam sprawdzić naszą konfigurację czy jest ona prawidłowo ustawiona. Na potrzeby testu wystarczy tylko wpisać adres strony internetowej.
Czym jest SNI w SSL
SNI jest dodatkiem do usług korzystających z SSL, pomaga on umieścić wiele szyfrowanych witryn na jednym adresie IP. Standardowe połączenie odbywa się poprzez zwrócenie certyfikatu przypisanego dla danego serwera obsługującego go, czyli jeden certyfikat jeden adres IP.
Dopiero wprowadzenie SNI to zmieniło, gdyż do żądania połączenia szyfrowanego klient wysyła także informacje, z którą domeną chce się połączyć. Co pozwala serwerowi wybrać odpowiedni certyfikat dla połączenia i takowy zaprezentować, inaczej serwer musiałby 'zgadywać’, gdyż nie miał informacji, z którym serwerem klient chce się połączyć. Jest to względnie stara technologia i nie obsługuje jej praktycznie tylko domyślna przeglądarka w Androidzie do wersji 3.* oraz Internet Explorer na systemie Windows XP lub Windows Server 2003, użycie nowszej przeglądarki jak Firefox od wersji 2.0 rozwiąże ten problem na obu platformach.
Dlatego jest to stosunkowo bezpieczny sposób udostępniania strony w internecie i tylko skrajny promil odwiedzających nie będzie mógł wejść na Twoją stronę. Dodatkowo o tę technologię oparte są także wszystkie strony korzystające z Cloudflare lub wiele usług typu CDN.
Podsumowanie
Wprowadzenie SSL jest dość łatwe a liczba firm takich jak StartCom będzie tylko rosnąć, przykładem jest inicjatywa Let’s Encrypt, która pomoże każdej osobie wprowadzić szyfrowanie na swojej stronie internetowej za darmo.
Po wprowadzeniu SSL zalecamy zapoznać się z rozwinięciem SSL, czyli HSTS oraz niedługo napiszemy o HPKP, czyli przypinaniu certyfikatów do serwisu poprzez nagłówki HTTP podobnie jak w HSTS.