Czym jest SSL/TLS oraz jak Wdrożyć na Swojej Stronie

Dlaczego powinno się szyfrować

Oto przykładowe zastosowania, które pokazują, dlaczego warto wdrożyć na swojej stronie internetowej zabezpieczenia SSL:

Prywatność

Podstawą jest to, aby ochronić się przed podsłuchaniem danych wysyłanych przez sieć przez osoby niepowołane. Podstawą problemu są sieci domowe oraz bezprzewodowe, gdzie, jeśli posiadamy w domu router i nie posiada on włączonej usługi WPA lub chociaż WEB (można to poznać po tym, czy jest wymagane hasło do podłączenia się do sieci bezprzewodowej), to każda osoba w zasięgu naszej sieci może podsłuchać wszystkie przesyłane przez nas dane, w tym hasła oraz loginy. Oczywiście, tylko jeśli nasze dane nie są szyfrowane.

Autoryzacja

Każdy, kto łączy się z bankiem przez internet wie, że musi przed podaniem loginu i hasła sprawdzić, czy w pasku adresu widnieje kłódka. Po co i jak to się sprawdza? Otóż zasada jest prosta, każdy system operacyjny lub przeglądarka internetową posiadają listę zaufanych certyfikatów. Organizacji rządowych, jak i poza rządowych które sprawdzają autentyczność osoby i następnie podpisują cyfrowo jej certyfikat, potwierdzając tym, że to jest rzeczywiście dana osoba lub instytucja. Tak podpisany certyfikat jest przedstawiany przez serwer internetowy i posiada wszystkie informacje o danej organizacji. Takie jak jej nazwę, siedzibę kraj oraz kontakt mailowy, posiada też jeszcze jedną, bardzo ważną informację. Czyli na których domenach certyfikat jest ważny i powinniśmy mu ufać, użycie certyfikatu podpisanego cyfrowo przez zaufany podmiot na innej domenie niż jest wystawiony spowoduje wyświetlenie błędu i ostrzeżenie użytkownika, że coś jest nie tak.
Istnieje możliwość stworzenie własnego certyfikatu, którym można podpisywać inne jednak dopóki on nie będzie zaufany przez przeglądarkę klienta to pojawi się błąd, wiele firm używa takich certyfikatów do wewnętrznych aplikacji czy serwerów proxy, poprzez instalowanie w przeglądarkach pracowników prywatny wewnętrzny certyfikat.

Pozycjonowanie

Google potwierdziło, że będzie nagradzało za użycie SSL, poprzez lepszą pozycję w wynikach wyszukiwania.

Rodzaje certyfikatów

Koszt samego certyfikatu jest zależny od ilości pod-domen jaki certyfikat ma obsługiwać. I tak rozróżnia się głównie trzy rodzaje.

• Tylko (pod) domenowe – czyli na przykład przyklad.pl albo poczta.przyklad.pl. Jedna domena lub pod domena pomaga to zabezpieczyć konkretną usługę przed podsłuchaniem, dobre do użycia, gdy na jednej domenie mamy wiele usług na różnych serwerach, wtedy wyciek jednego klucza zabezpieczy nas przed cofnięciem wszystkich. są to najtańsze certyfikatu
• Wiele pod domen – jeśli mamy parę usług: przykla.pl, www.przyklad.pl, poczta.przyklad.pl na jednym serwerze, ułatwi nam to wprowadzenie certyfikatu, oczywiście nic nie broni nas przed użyciem jednego certyfikatu na kilku serwerach.
• Wildcard – czyli certyfikaty z gwiazdą, najdroższy, ale i zarazem najbardziej uniwersalne certyfikaty, posiadają domenę oraz pod domenę zastąpioną gwiazdką: przyklad.pl *.przyklad.pl, co to oznacza? Że taki certyfikat jest ważny dla wszystkich pod domen w domenie przyklad.pl, czyli www.przyklad.pl czy mail.przyklad.pl oraz samo przyklad.pl, nie jest natomiast ważny dla blog.mail.przyklad.pl, gdyż taki certyfikat musiałby wyglądać jak *.*.przyklad.pl.

Gdzie dostać certyfikat

Jako że nie jest to artykuł reklamowy to polecam stronę StartCom gdzie można dostać certyfikat na domenę i jedną pod domenę całkowicie za darmo. Opłaty są pobierane dopiero za certyfikaty na wiele pod domen lub wildcardy. Oraz za ewentualne anulowanie certyfikatu.

Wprowadzenie certyfikatu

Jak już mamy podpisany certyfikat i przynależny do niego klucz prywatny (jego nie będziemy nikomu pokazywać, jak sama nazwa brzmi prywatny). To musimy go zainstalować i tutaj zaczynają się sprawy komplikować po pierwsze, jeśli instalujemy certyfikat na stronie hostowanej w zewnętrznej firmie, najpierw musimy się dowiedzieć czy nasz pakiet hostingu dopuszcza szyfrowanie, gdyż Może się zdarzyć, tak że nasz hostingodawca nie będzie chciał, aby nasza strona była szyfrowana, gdyż zwiększa to obciążenie serwera. Później natomiast zaś sama instalacja będzie się odbywać w panelu administracyjnym w zależności od dostawcy usług. Trzeba też pamiętać, że do szyfrowania polecany jest dedykowany adres IP – w przeciwnym wypadku będziemy potrzebować SNI (czytaj dalej).
Jeśli jednak chodzi hosting w firmie ROAN instalacja jest wykonywana poprzez panel administracyjny domeny, jesteśmy też gotowi wykonać taką instalację za klienta lub pokierować go w przypadku jakiegokolwiek problemu. Jako że dbamy o naszych klientów, czyli też o klientów naszych klientów zalecamy instalację certyfikatu na witrynie internetowej.
W przypadku posiadania własnego serwera instalacja sprowadza się do odpowiedniego skonfigurowania serwera internetowego, takiego jak apache czy nginx. Wystarczy kierować się wskazówkami odpowiednimi dla danego serwera, przykład apache oraz nginx.

Co należy wiedzieć po instalacji

SSL czy TLS

Otóż posiadamy aktualnie używane technologie, SSLv1, SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2. Kolejność ich wypisana jest kolejnością ich powstania – SSLv1 najstarszy oraz TLSv1.2 najnowszy. SSL powstało w firmie Netscape i było przez nią rozwijane, jako że się przyjęło jako standard pieczę nad nim przyjęło Internet Engineering Task Force i zaczęło ją rozwijać, przez co powstało TLS, mimo iż zazwyczaj używana jest technologia TLS to nadal nazywane jest potocznie nazywane jako SSL.

SSL jest niebezpieczne

Tak jak już wiemy czym się różni to trzeba wiedzieć, że SSLv1, SSLv2 oraz SSLv3 są uznawane za niebezpieczne i łatwe do złamania niezależnie od użytego algorytmu szyfrowania. Dlatego wiele usług ma już wyłączone wsparcie SSL w każdej wersji i opiera się głównie na TLS od wersji 1 włącznie, który też już czasami może być uznawane za niebezpieczny w zależności od użytych algorytmów szyfrowania. Dlatego dobrze jest sprawdzić swoje ustawienia SSL i nie liczyć tylko na to, że użycie nowszej technologi ochroni naszych klientów.

Test ustawień SSL

Osobiście polecam usługę Qualys SSL Labs do testów serwera http pod względem szyfrowania. wyświetli on wszystkie problemy z szyfrowaniem na naszym serwerze, pokaże jak je naprawić oraz przyzna ocenę końcową za ustawienia, co pomoże nam sprawdzić naszą konfigurację czy jest ona prawidłowo ustawiona. Na potrzeby testu wystarczy tylko wpisać adres strony internetowej.

Czym jest SNI w SSL

SNI jest dodatkiem do usług korzystających z SSL, pomaga on umieścić wiele szyfrowanych witryn na jednym adresie IP. Standardowe połączenie odbywa się poprzez zwrócenie certyfikatu przypisanego dla danego serwera obsługującego go, czyli jeden certyfikat jeden adres IP.
Dopiero wprowadzenie SNI to zmieniło, gdyż do żądania połączenia szyfrowanego klient wysyła także informacje, z którą domeną chce się połączyć. Co pozwala serwerowi wybrać odpowiedni certyfikat dla połączenia i takowy zaprezentować, inaczej serwer musiałby 'zgadywać’, gdyż nie miał informacji, z którym serwerem klient chce się połączyć. Jest to względnie stara technologia i nie obsługuje jej praktycznie tylko domyślna przeglądarka w Androidzie do wersji 3.* oraz Internet Explorer na systemie Windows XP lub Windows Server 2003, użycie nowszej przeglądarki jak Firefox od wersji 2.0 rozwiąże ten problem na obu platformach.
Dlatego jest to stosunkowo bezpieczny sposób udostępniania strony w internecie i tylko skrajny promil odwiedzających nie będzie mógł wejść na Twoją stronę. Dodatkowo o tę technologię oparte są także wszystkie strony korzystające z Cloudflare lub wiele usług typu CDN.

Podsumowanie

Wprowadzenie SSL jest dość łatwe a liczba firm takich jak StartCom będzie tylko rosnąć, przykładem jest inicjatywa Let’s Encrypt, która pomoże każdej osobie wprowadzić szyfrowanie na swojej stronie internetowej za darmo.
Po wprowadzeniu SSL zalecamy zapoznać się z rozwinięciem SSL, czyli HSTS oraz niedługo napiszemy o HPKP, czyli przypinaniu certyfikatów do serwisu poprzez nagłówki HTTP podobnie jak w HSTS.