Czym jest SSL/TLS oraz jak Wdrożyć na Swojej Stronie

No Comments

SSL zamienię zwany TLS (lub na odwrót) jest używany do tunelowania nieszyfrowanych danych przez bezpieczne połączenie szyfrowane, niewątpliwą zaletą tej technologi jest to że nie musimy wprowadzić zmian do używanej już usługi, wystarczy nałożyć na nią nakładkę SSL która przeźroczyście dla aplikacji będzie szyfrować dane transportowe przez sieć.

Dlaczego powinno się szyfrować

Prywatność

Podstawą jest to aby ochronić się przed podsłuchaniem danych wysyłanych przez sieć przez osoby niepowołane. Podstawą problemu są sieci domowe oraz bezprzewodowe, gdzie jeśli posiadamy w domu router i nie posiada on włączonej usługi WPA lub chociaż WEB (można to poznać po tym czy jest wymagane hasło do podłączenia się do sieci bezprzewodowej), to każda osoba w zasięgu naszej sieci może podsłuchać wszystkie przesyłane przez nas dane, w tym hasła oraz loginy. Oczywiście tylko jeśli nasze dane nie są szyfrowane.

Autoryzacja

Każdy kto łączy się z bankiem przez internet wie że musi przed podaniem loginu i hasła sprawdzić czy w pasku adresu widnieje kłódka. Po co i jak to się sprawdza? Otóż zasada jest prosta, każdy system operacyjny lub przeglądarka internetową posiadają listę zaufanych certyfikatów. Organizacji rządowych jak i poza rządowych które sprawdzają autentyczność osoby i następnie podpisują cyfrowo jej certyfikat, potwierdzając tym że to jest rzeczywiście dana osoba lub instytucja. Tak podpisany certyfikat jest przedstawiany przez serwer internetowy i posiada wszystkie informacje o danej organizacji. Takie jak jej nazwę, siedzibę kraj oraz kontakt mailowy, posiada też jeszcze jedną, bardzo ważną informację. Czyli na których domenach certyfikat jest ważny i powinniśmy mu ufać, użycie certyfikatu podpisanego cyfrowo przez zaufany podmiot na innej domenie niż jest wystawiony spowoduje wyświetlenie błędu i ostrzeżenie użytkownika że coś jest nie tak.
Istnieje możliwość stworzenie własnego certyfikatu którym można podpisywać inne jednak dopóki on nie będzie zaufany przez przeglądarkę klienta to pojawi się błąd, wiele firm używa takich certyfikatów do wewnętrznych aplikacji czy serwerów proxy, poprzez instalowanie w przeglądarkach pracowników prywatny wewnętrzny certyfikat.

Pozycjonowanie

Google potwierdziło że będzie nagradzało za użycie SSL, poprzez lepszą pozycję w wynikach wyszukiwania.

Rodzaje certyfikatów

Koszt samego certyfikatu jest zależny od ilości pod-domen jaki certyfikat ma obsługiwać. I tak rozróżnia się głównie trzy rodzaje.

  • Tylko (pod)domenowe – czyli na przykład przyklad.pl, albo poczta.przyklad.pl. Jedna domena lub pod domena pomaga to zabezpieczyć konkretną usługę przed podsłuchaniem, dobre do użycia gdy na jednej domenie mamy wiele usług na różnych serwerach, wtedy wyciek jednego klucza zabezpieczy nas przed cofnięciem wszystkich. są to najtańsze certyfikatu
  • Wiele pod domen – jeśli mamy parę usług: przykla.pl, www.przyklad.pl, poczta.przyklad.pl na jednym serwerze, ułatwi nam to wprowadzenie certyfikatu, oczywiście nic nie broni nas przed użyciem jednego certyfikatu na kilku serwerach.
  • Wildcard – czyli certyfikaty z gwiazdą, najdroższy ale i zarazem najbardziej uniwersalne certyfikaty, posiadają domenę oraz pod domenę zastąpioną gwiazdką: przyklad.pl *.przyklad.pl, co to oznacza? Że taki certyfikat jest ważny dla wszystkich pod domen w domenie przyklad.pl czyli www.przyklad.pl czy mail.przyklad.pl oraz samo przyklad.pl, nie jest natomiast ważny dla blog.mail.przyklad.pl gdyż taki certyfikat musiał by wyglądać jak *.*.przyklad.pl.

Gdzie dostać certyfikat

Jako że nie jest to artykuł reklamowy to polecam stronę StartCom gdzie można dostać certyfikat na domenę i jedną pod domenę całkowicie za darmo. Opłaty są pobierane dopiero za certyfikaty na wiele pod domen lub wildcardy. Oraz za ewentualne anulowanie certyfikatu.

Wprowadzenie certyfikatu

Jak już mamy podpisany certyfikat i przynależny do niego klucz prywatny (jego nie będziemy nikomu pokazywać, jak sama nazwa brzmi prywatny). To musimy go zainstalować i tutaj zaczynają się sprawy komplikować po pierwsze jeśli instalujemy certyfikat na stronie hostowanej w zewnętrznej firmie, najpierw musimy się dowiedzieć czy nasz pakiet hostingu dopuszcza szyfrowanie, gdyż Może się zdarzyć tak że nasz hostingodawca nie będzie chciał aby nasza strona była szyfrowana gdyż zwiększa to obciążenie serwera. Później natomiast zaś sama instalacja będzie się odbywać w panelu administracyjnym w zależności od dostawcy usług. Trzeba też pamiętać że do szyfrowania polecany jest dedykowany adres IP – w przeciwnym wypadku będziemy potrzebować SNI (czytaj dalej).
Jeśli jednak chodzi hosting w firmie ROAN instalacja jest wykonywana poprzez panel administracyjny domeny, jesteśmy też gotowi wykonać taką instalację za klienta lub pokierować go w przypadku jakiegokolwiek problemu. Jako że dbamy o naszych klientów czyli też o klientów naszych klientów zalecamy instalację certyfikatu na witrynie internetowej.
W przypadku posiadania własnego serwera instalacja sprowadza się do odpowiedniego skonfigurowania serwera internetowego, takiego jak apache czy nginx. Wystarczy kierować się wskazówkami odpowiednimi dla danego serwera, przykład apache oraz nginx.

Co należy wiedzieć po instalacji

SSL czy TLS

Otóż posiadamy aktualnie używane technologie, SSLv1, SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2. Kolejność ich wypisana jest kolejnością ich powstania – SSLv1 najstarszy oraz TLSv1.2 najnowszy. SSL powstało w firmie Netscape i było przez nią rozwijane, jako że się przyjęło jako standard pieczę nad nim przyjęło Internet Engineering Task Force i zaczęło ją rozwijać przez co powstało TLS, mimo iż zazwyczaj używana jest technologia TLS to nadal nazywane jest potocznie nazywane jako SSL.

SSL jest niebezpieczne

Tak jak już wiemy czym się różni to trzeba wiedzieć że SSLv1, SSLv2 oraz SSLv3 są uznawane za niebezpieczne i łatwe do złamania niezależnie od użytego algorytmu szyfrowania. Dlatego wiele usług ma już wyłączone wsparcie SSL w każdej wersji i opiera się głownie na TLS od wersji 1 włącznie, który też już czasami może być uznawane za niebezpieczny w zależności od użytych algorytmów szyfrowania. Dlatego dobrze jest sprawdzić swoje ustawienia SSL i nie liczyć tylko na to że użycie nowszej technologi ochroni naszych klientów.

Test ustawień SSL

Osobiście polecam usługę Qualys SSL Labs do testów serwera http pod względem szyfrowania. wyświetli on wszystkie problemy z szyfrowaniem na naszym serwerze, pokaże jak je naprawić oraz przyzna ocenę końcową za ustawienia, co pomoże nam sprawdzić naszą konfigurację czy jest ona prawidłowo ustawiona. Na potrzeby testu wystarczy tylko wpisać adres strony internetowej.

Czym jest SNI w SSL

SNI jest dodatkiem do usług korzystających z SSL, pomaga on umieścić wiele szyfrowanych witryn na jednym adresie IP. Standardowe połączenie odbywa się poprzez zwrócenie certyfikatu przypisanego dla danego serwera obsługującego go, czyli jeden certyfikat jeden adres IP.
Dopiero wprowadzenie SNI to zmieniło gdyż do żądania połączenia szyfrowanego klient wysyła także informacje z którą domeną chce się połączyć. Co pozwala serwerowi wybrać odpowiedni certyfikat dla połączenia i takowy zaprezentować, inaczej serwer musiał by ‚zgadywać’, gdyż nie miał informacji z którym serwerem klient chce się połączyć. Jest to względnie stara technologia i nie obsługuje jej praktycznie tylko domyślna przeglądarka w Androidzie do wersji 3.* oraz Internet Explorer na systemie Windows XP lub Windows Server 2003, użycie nowszej przeglądarki jak Firefox od wersji 2.0 rozwiąże ten problem na obu platformach.
Dlatego jest to stosunkowo bezpieczny sposób udostępniania strony w internecie i tylko skrajny promil odwiedzających nie będzie mógł wejść na Twoją stronę. Dodatkowo o tę technologię oparte są także wszystkie strony korzystające z Cloudflare lub wiele usług typu CDN.

Podsumowanie

Wprowadzenie SSL jest dość łatwe a liczba firm takich jak StartCom będzie tylko rosnąć, przykładem jest inicjatywa Let’s Encrypt która pomoże każdej osobie wprowadzić szyfrowanie na swojej stronie internetowej za darmo.
Po wprowadzeniu SSL zalecamy zapoznać się z rozwinięciem SSL czyli HSTS oraz niedługo napiszemy o HPKP czyli przypinaniu certyfikatów do serwisu poprzez nagłówki HTTP podobnie jak w HSTS.

ROAN Agencja InterAktywna to przede wszystkim kreatywny zespół, który także uwielbia prowadzić ten Blog.

Zostaw komentarz

    Dopisz się do Newslettera!

    • To pole jest do zatwierdzania i powinno pozostać na niezmienionym poziomie.

    Sprawdź także

    Zobacz więcej
    No Comments