Certyfikaty SSL są narzędziem zapewniającym ochronę witryn internetowych, a także gwarantem zachowania poufności danych przesyłanych drogą elektroniczną. Pełne bezpieczeństwo jest efektem zastosowania szyfrowania komunikacji pomiędzy komputerami. Certyfikaty SSL rejestrowane są na określoną nazwę domeny, zawierają informacje o właścicielu domeny, jego adresie itp. Dane te są zabezpieczone kryptograficznie i nie można ich samodzielnie zmienić.
Historia certyfikatów SSL sięga roku 1994, kiedy to firma Netscape stworzyła protokół Secure Socket Layer, służący do bezpiecznej transmisji zaszyfrowanego strumienia danych. Dzięki swojej skuteczności oraz prostej obsłudze i instalacji bardzo szybko znalazł on zastosowanie zwłaszcza przy zabezpieczaniu transakcji realizowanych w bankowości elektronicznej, podczas aukcji internetowych oraz w systemach płatności online.
Certyfikaty SSL są niezbędne dla wszystkich podmiotów udostępniających swoje usługi za pośrednictwem internetu lub sieci lokalnych w celu zapewnienia:
- bezpieczeństwa – szyfrowanie połączeń, bezpieczne przekazywanie danych osobowych,
- wiarygodności – potwierdzenie tożsamości strony WWW lub serwera w internecie,
- zaufania – świadczenie usług zgodnie ze światowymi standardami.
W roku 2008 na świecie ponad 3.000.000 serwerów i stron WWW posługiwało się certyfikatami SSL, jednak zgodnie z badaniami przeprowadzonymi przez firmę NetCraft (www.netcraft.com) tylko około 1/3 z nich uznano za bezpieczne i wiarygodne. Pozostałe certyfikaty SSL nie posiadały odpowiedniego poziomu zabezpieczeń kryptograficznych lub pochodziły od niezidentyfikowanych wydawców.
Zbiorem „dobrych praktyk” w zakresie działalności związanej z bezpieczeństwem informacji oraz świadczeniem usług certyfikacyjnych jest uznany globalnie standard WebTrust. Zapewnia on uzyskanie zaufania wśród najpopularniejszych na świecie przeglądarek, oprogramowania serwerowego i systemów operacyjnych. W przypadku zaufanych certyfikatów SSL połączenie szyfrowane nawiązywane jest automatycznie. Natomiast, gdy certyfikat wydany jest przez nieznane centrum certyfikacji przed połączeniem pojawia się komunikat z ostrzeżeniem o braku zaufania i pytaniem czy mimo to użytkownik chce nawiązać to połączenie.
Certyfikaty SSL wydawane zgodnie ze standardem WebTrust uwiarygodniają zabezpieczone serwery i witryny WWW, zapewniają bezpieczną wymianę danych a dzięki globalnemu zaufaniu wpływają na budowanie pozytywnego wizerunku stosujących je firm lub instytucji wśród potencjalnych klientów na całym świecie.
Komunikacja w Internecie
Tylko niewielki odsetek użytkowników Internetu ma świadomość, w jaki sposób komunikują się i wymieniają ze sobą dane komputery będące on-line. Upraszczając w dużym stopniu – cała procedura odbywa się za pomocą protokołów, czyli swego rodzaju „języka”. Zasada jego działania pozostaje w dużej mierze poza gestią każdego użytkownika Internetu. O ile jest to sytuacja wygodna, o tyle rodzi szereg zasadniczych pytań o naturę bezpiecznego korzystania z zasobów sieci.
Zwykły protokół a bezpieczny protokół SSL/TLS
Jednym z najpowszechniejszych sposobów zabezpieczenia transmisji danych w internecie jest protokół SSL/TLS. Zastosowanie technologii kryptograficznych oraz certyfikatów klucza publicznego, nazywanych w tym przypadku certyfikatami SSL, umożliwia nawiązanie szyfrowanego połączenia pomiędzy serwerem a łączącym się z nim komputerem użytkownika. Protokół SSL/TLS gwarantuje bezpieczeństwo przez wykorzystanie technologii Infrastruktury Klucza Publicznego (PKI). W trakcie nawiązywania połączenia tworzony jest klucz symetryczny, który będzie wykorzystany do zabezpieczenia wymiany danych pomiędzy stronami w ramach utworzonej sesji.
Dla porównania zwykłego protokołu z protokołem SSL/TLS wyobraźmy sobie sytuację, w której płacąc kartą kredytową w sklepie internetowym, informujemy wszystkich innych kupujących jaki jest nasz numer karty, data ważności oraz kod CVS, pozwalając tym samym dowolnie korzystać z naszych środków. W przypadku zastosowania połączeń szyfrowanych nikt nie ma możliwości pozyskania tak ważnych danych.
Dla kogo przeznaczony jest certyfikat SSL?
Jak wspomniano, certyfikat SSL gwarantuje bezpieczeństwo transmisji oraz zachowanie poufności. Certyfikat SSL to rozwiązanie dla Twojego serwera, jeśli:
- pobierasz i przetwarzasz dane osobowe,
- prowadzisz sprzedaż w Internecie,
- publikujesz informacje wymagające uwiarygodnienia,
- prowadzisz aktywną działalność w Internecie,
- przekazujesz swoim współpracownikom i partnerom poufne informacje za pośrednictwem Internetu.
Certyfikat SSL ma zastosowanie dla:
- banków i instytucji finansowych,
- sklepów internetowych (e-commerce),
- serwisów aukcyjnych,
- stron internetowych administracji publicznej (BIP, elektroniczne skrzynki podawcze, systemy obsługi interesantów),
- e-zdrowia – serwisów internetowych przetwarzających i udostępniających dane na temat zdrowia pacjentów,
- biznesowych serwisów internetowych i portali korporacyjnych,
- serwisów internetowych szkół i uczelni,
- serwerów pocztowych i serwerów baz danych,
- aplikacji typu klient-serwer,
- komunikacji w ramach sieci intranet i ekstranet,
- zabezpieczenia serwerów udostępniających pliki (SFTP).
#ssl