Czym jest i po co Ci certyfikat SSL – http kontra https

 

Przegl膮daj膮c r贸偶ne strony w Internecie, zauwa偶y艂e艣 zapewne, 偶e cz臋艣膰 adres贸w zaczyna si臋 od http://, a cz臋艣膰 od https://. By膰 mo偶e zwr贸ci艂e艣 tak偶e uwag臋 na to, 偶e wygl膮d paska adresu przegl膮darki potrafi r贸偶ni膰 si臋 w zale偶no艣ci od odwiedzanej witryny. Nie tylko jest to celowe, ale obie r贸偶nice w zakresie paska adresu s膮 ze sob膮 jak najbardziej powi膮zane.

 

Z tego artyku艂u dowiesz si臋:

 

* Jakie s膮 r贸偶nice mi臋dzy HTTP i HTTPS ?

* Czym jest certyfikat SSL i TLS ?

* Dlaczego powiniene艣 przej艣膰 na HTTPS ?

* Jak certyfikat wp艂ywa na SEO, bezpiecze艅stwo i wydajno艣膰 ?

* Jakie s膮 typy certyfikat贸w ?

* Sk膮d wzi膮膰 darmowe szyfrowanie ruchu ?

* Jak unikn膮膰 tzw. mixed content warning ?

 

 

Co daje literka „S”?

 

Adres strony zaczynaj膮cy si臋 od https oznacza, 偶e witryna u偶ywa certyfikatu SSL – ruch jest szyfrowany i nie mo偶e by膰 pods艂uchiwany. O ile jeszcze dekad臋 temu szyfrowanie ruchu stosowane by艂o w szczeg贸lnych przypadkach (np. banki i armie jako pierwsze je stosowa艂y), to sytuacja ta uleg艂a radykalnej zmianie. Edward Snowden, NSA, nowe ransomware i wzmo偶ona aktywno艣膰 cyberprzest臋pc贸w sprawi艂y, 偶e kiedy tylko szyfrowanie ruchu sta艂o si臋 darmowe i dost臋pne dla ka偶dego, ruch wykona艂o Google.

 

 

Chocia偶 Internet sk艂ada si臋 z gigantycznej ilo艣ci stron, s膮 one g艂贸wnie wy艣wietlane na relatywnie niewielkiej liczbie aplikacji. Google Chrome ma obecnie ponad 62% rynku, Internet Explorer 11%, a Mozilla FireFox 10%. To, jak 3 programy odbieraj膮 stron臋, wp艂ywa wi臋c na wi臋cej ni偶 90% u偶ytkownik贸w na ca艂ym 艣wiecie! Rozwijaj膮c Internet, chroni膮c sw贸j interes i buduj膮c dobry PR jednocze艣nie, Google wypowiedzia艂o kilka lat temu wojn臋 staremu protoko艂owi http. Mozilli, jako organizacji non-profit dbaj膮cej o dobro u偶ytkownika, nie trzeba by艂o d艂ugo przekonywa膰 do podobnych ruch贸w.

 

W du偶ym uproszczeniu mo偶esz za艂o偶y膰, 偶e „s” oznacza „szyfrowany”. Literka „S” ma jednak jeszcze techniczne znaczenie.

 

 

SSL i TLS

 

Rozumiesz ju偶 r贸偶nic臋 mi臋dzy http a https. Cz臋sto w kontek艣cie szyfrowania ruchu przewija si臋 tez poj臋cie SSL, czyli Secure Sockets Layer. Tak naprawd臋 jest to poj臋cie nadrz臋dne – szyfrowanie odbywa si臋 poprzez certyfikaty SSL, za艣 https to nic innego jak „http poprzez ssl” – czyli ruch internetowy z na艂o偶onym certyfikatem.

 

Ironii ca艂ej sprawie dodaje fakt, 偶e protok贸艂 zyskuj膮cy na znaczeniu najmocniej od roku 2015, wynaleziony zosta艂 przez firm臋…Netscape, tw贸rc贸w przegl膮darki Netscape Navigator. Data plajty: rok 2008. Nie wspominamy jednak o nich bez powodu: s艂owo SSL jest bowiem ich w艂asno艣ciowym znakiem towarowym, a wsp贸艂czesne implementacje szyfrowania ruchu r贸偶ni膮 si臋 nieco od orygina艂u. Aby oficjalnie zaznaczy膰 t臋 r贸偶nic臋 i unikn膮膰 problem贸w prawnych, wraz z dobiciem do wersji 3.0, kolejne edycje nazywaj膮 si臋 ju偶 TLS.

 

Chyba najprostsze por贸wnanie do porty USB – a偶 do serii 3 zmienia艂y si臋 jedynie numerki, ale nie ma czego艣 takiego jak USB 4. Zamiast niego mamy nowe nazewnictwo w postaci USB-C.

 

 

Kawa na 艂aw臋

 

Maj膮c na uwadze technikalia i histori臋 zadajmy sobie najwa偶niejsze pytanie – czy https powinno Ci臋 obchodzi膰? Odpowied藕 to jednoznaczne „Tak, i to ju偶”.

 

Je艣li masz lub b臋dziesz mia艂 absolutnie dowoln膮 stron臋 internetow膮, bardzo szybko przekonasz si臋, 偶e nie jest 艂atwo przyci膮gn膮膰 na ni膮 ludzi. Jeszcze ci臋偶ej jest sk艂oni膰 ich do zostania, zakupu produktu, wype艂nienia formularza albo zag艂臋bienia si臋 w tre艣膰. Ostatnia rzecz, jak膮 chcesz aby widzieli, to wielki czerwony komunikat, 偶e Twoja strona nie jest bezpieczna:

 

 

Jak si臋 zapewne domy艣lasz, dzia艂a on *bardzo* 藕le na wizytuj膮cych. W najlepszym razie uciekn膮, w najgorszym zg艂osz膮 Twoj膮 stron臋 jako niebezpieczn膮. Ostro艣膰 komunikat贸w stale si臋 zwi臋ksza, dawniej by艂y to jedynie ikonki, planowane jest podkre艣lanie paska adresu na czerwono, a bran偶a nie zastanawia si臋 czy, tylko *kiedy* strony bez https zostan膮 ca艂kowicie zablokowane.

 

To jednak nie koniec problem贸w.

 

Brak szyfrowania ruchu oznacza, 偶e dowolny formularz na stronie (kontaktowy, newsletter, nawet ekran logowania) jest z definicji 艂atwy do pods艂uchania. Zgodnie z RODO, za wszelkie wycieki danych u偶ytkownik贸w odpowiada w艂a艣ciciel strony – czyli *Ty*. Zasadniczo lepiej jest nie mie膰 na g艂owie takich problem贸w, a tym bardziej potencjalnych kar finansowych z nimi zwi膮zanych.

 

Obecno艣膰 szyfrowania jest te偶 brana pod uwag臋 przy ustalaniu pozycji Twojej strony w wynikach wyszukiwania w Google. Stanowi jeden z tzw. sk艂adnik贸w pomocniczych – dla przyk艂adu, je艣li inna witryna jest oceniona jako identyczna lub bardzo podobna jako艣ciowo do Twojej nieszyfrowanej, ale posiada certyfikat SSL, to wygra walk臋 o wy偶sz膮 pozycj臋. Tyczy si臋 to nawet p艂atnych reklam Google Ads (dawniej AdWords), gdzie p艂ac膮c tyle samo za reklam臋 mo偶esz przegra膰 licytacj臋 tylko przez brak certyfikatu.

 

Co wi臋cej, najnowsze technologie opracowywane s膮 przy za艂o偶eniu, 偶e szyfrowanie jest stosowane. Funkcjonalno艣ci takie jak geolokalizacja zwyczajnie wymagaj膮 szyfrowania ruchu, w przeciwnym razie ka偶dy przest臋pca m贸g艂by ustala膰 miejsca przebywania jego cel贸w. Aplikacje mobilne na Androida i iOS nie mog膮 ju偶 opiera膰 si臋 na http.

 

Fantastyczna tr贸jka

 

Istnieje kilka typ贸w certyfikat贸w – CA, OV i EV.聽 R贸偶ni膮 si臋 one jedynie stopniem weryfikacji Ciebie i Twojej firmy. Najprostszy wymaga tylko automatycznego udowodnienia, 偶e jeste艣 w艂a艣cicielem danej domeny. Po艣redni to weryfikacja Twojej firmy, a najmocniejszy pe艂en audyt Twojego bezpiecze艅stwa i proces贸w.

 

Co ciekawe, stosuj膮 one niemal identyczne mechanizmy szyfrowania – jedyna zauwa偶alna przez u偶ytkownika r贸偶nica to wygl膮d paska adresu. Najdro偶sze i najbardziej zaawansowane certyfikaty EV (Extended Verification, czyli Rozszerzona Weryfikacja) skutkuj膮 w pe艂ni zielonym paskiem przegl膮darki – jak w dowolnym banku:

 

 

Nawet je艣li masz do艣膰 du偶膮 firm臋 i rozwini臋t膮 prezencj臋 w Internecie, nie potrzebujesz wcale certyfikatu EV. Gigantyczne serwisy jak YouTube, GMail, Yahoo czy Google zadowalaj膮 si臋 certyfikatami OV. Pow贸d jest prosty: du偶o ni偶sze koszty i administracja za to samo szyfrowanie. Pisz膮c o du偶o ni偶szych kosztach mamy tu na my艣li niemal lub dok艂adnie r贸wne zeru.

 

Ka偶dy z tych typ贸w mo偶e mie膰 jeszcze opcj臋 wildcard – generowany jest wtedy te偶 na subdomeny. Je艣li ich u偶ywasz, musisz albo zastosowa膰 certyfikat Wildcard, albo wygenerowa膰 dla ka偶dej聽 subdomeny oddzielny certyfikat. Tyczy si臋 to r贸wnie偶 wersji z i bez cz艂onu „www” – s膮 traktowane jako dwie osobne domeny.

 

Nic nie p艂a膰

 

Zapewne dostawca Twojego hostingu ju偶 kilkukrotnie oferowa艂 Ci certyfikat za kwot臋 od 10 do 1000 z艂otych. Nie tylko nie musisz, ale nie masz po co z takich ofert korzysta膰.

 

Certyfikaty SSL w 100% za darmo wystawiaj膮 m.in. Comodo i Let’s Encrypt. To drugie jest nie tylko dostawc膮 certyfikat贸w, ale globaln膮 inicjatyw膮, kt贸ra zrzesza firmy hostingowe. Je艣li Twoja jest na li艣cie, to niemal na pewno oferuje porz膮dne us艂ugi, za艣 instalacja i odnawianie certyfikatu ograniczy si臋 do kilku klikni臋膰 w panelu. Na pewno do akcji nale偶膮 Domena.pl, Zenbox, Atthost i OVH.

 

Niekt贸re firmy, jak np. Home.pl, oferuj膮 co prawda mo偶liwo艣膰 instalacji, ale nie u艂atwiaj膮 jej – zamiast prostej operacji w panelu, musisz najpierw wygenerowa膰 r臋cznie plik CSR, wrzuci膰 jego zawarto艣膰 w odpowiednie miejsce i r臋cznie pobra膰 2 klucze: prywatny oraz publiczny. Nie jest to przesadnie skomplikowany proces, ale wymaga pewnej wiedzy i odrobiny czasu.

 

Je艣li Tw贸j dostawca hostingu lub platformy nie umo偶liwia instalacji w艂asnego certyfikatu i wymaga kupna od siebie – jeste艣 robiony w konia. Przyk艂adowo platforma Shoplo chce 99 z艂 za…darmowy certyfikat Let’s Encrypt. Ten sam, kt贸ry np. na Zenboksie w艂膮czasz dos艂ownie 3 klikni臋ciami myszy w mniej ni偶 20 sekund.

 

 

Mieszane odczucia

 

Musisz mie膰 na uwadze jedn膮 bardzo istotn膮 rzecz – po zainstalowaniu samego certyfikatu nale偶y przyjrze膰 si臋 samej stronie. Chodzi o dwie rzeczy.

 

Po pierwsze, ustaw przekierowanie na wersj臋 z https – zazwyczaj jest to mo偶liwe bezpo艣rednio w panelu dostawcy hostingu. Je艣li u偶ywasz WordPressa, w Ustawieniach adres strony oraz panelu administracyjnego r贸wnie偶 powinny zaczyna膰 si臋 od https:

 

 

Po drugie, musisz unika膰 tzw. mixed content warnings. To ostrze偶enia o ruchu typu mieszanego i niekompletnym certyfikacie. Dla przyk艂adu, je艣li na stronie https;//przyklad.pl umie艣cisz r臋cznie obrazek, jako jego adres podaj膮c http://przyklad.pl/obraz.jpg, wywo艂asz w艂a艣nie MCW. Obrazek 艂adowany b臋dzie na sztywno w spos贸b nieszyfrowany, wi臋c zielona k艂贸dka przy adresie zast膮piona zostanie 偶贸艂t膮 – je艣li dowolna cz臋艣膰 strony nie jest szyfrowana, ca艂o艣膰 jest uznawana za niezabezpieczon膮.

 

 

R贸偶ne wtyczki i motywy do Joomli oraz WordPressa cz臋sto zapisuj膮 adres danego zasobu na sztywno. W efekcie po instalacji certyfikatu na istniej膮c膮 stron臋 mog膮 przesta膰 dzia艂a膰 niekt贸re czcionki, mapy czy filmiki – wtedy musisz wej艣膰 w edycj臋 strony i r臋cznie zmieni膰 ich adres na https. Znaczn膮 cz臋艣膰 takich przypadk贸w w WordPressie za艂atwi膰 mo偶na wtyczk膮, ale niemal zawsze wymagana jest drobna r臋czna interwencja. W skrajnych przypadkach mo偶e by膰 wymagana edycja plik贸w szablonu, ale to zdarza si臋 relatywnie rzadko.

 

Jedna z metod szybkiej diagnozy takiej strony to otworzenie strony w Firefoksie, klikni臋cie 偶贸艂tej k艂贸dki, a nast臋pnie strza艂ki w prawo->Wi臋cej informacji->Media. Panel ten bardzo jasno pokazuje wszystkie obrazy na stronie, wraz z pocz膮tkiem ich adresu (http lub https):

 

 

Je艣li wszystkie obrazy s膮 odpowiednio serwowane, ale nadal widzisz 偶贸艂t膮 k艂贸dk臋, kliknij gdziekolwiek i wybierz Zbadaj Element, a nast臋pnie Konsola. Czerwone komunikaty Blocked loading mixed active content zawsze maj膮 obok dok艂adny adres zasobu (np. czcionki z zasob贸w Google Fonts):

 

 

 

Kim jeste艣my

 

Od ponad dekady zajmujemy si臋 audytowaniem, naprawieniem i tworzeniem stron, landing pages oraz sklep贸w internetowych. Ch臋tnie odpowiemy na wszelkie pytania dotycz膮ce https i SSL, wykonamy te偶 bezp艂atny audyt Twojej strony. Nie wymagamy 偶adnych danych p艂atniczych, kupna produktu ani spotkania 鈥 tylko adres strony i e-mail, na kt贸ry wy艣lemy wynik analizy.

 

Po otrzymaniu zg艂oszenia na podany adres e-mail dostaniesz wynik audytu. Zajmie to maksymalnie 48 godzin. Za艂膮czymy r贸wnie偶 rekomendacj臋 i zaproponujemy naprawienie wszystkich znalezionych problem贸w.

 

Przejd藕 do audytu ——->

 

 

Spodobaj膮 Ci si臋 r贸wnie偶: