Zielona kłódka nie zawsze oznacza, że połączenie jest bezpiecznie

Szyfrowanie – jeszcze parę lat temu, większość z nas wiązała to hasło głównie z Enigmą, lub innymi historycznymi metodami zabezpieczania treści, które zazwyczaj były wykorzystywane w czasie okresów, mówiąc delikatnie, burzliwych.

Pierwsze, bardzo toporne maszyny szyfrujące informacje, zaczęły pojawiać się już w XV wieku, były jednak skierowane głównie do wojska lub instytucji państwowych. Parę wieków później, wraz z popularyzacją internetu i intensyfikacją globalnego obiegu informacji, przybyło zarówno potrzebujących ochrony urządzeń, jak i ich użytkowników. W odpowiedzi na te potrzeby zaczęto wprowadzać kolejne standaryzowane metody zabezpieczeń. Dziś szyfrowanie to termin, który na dobre zadomowił się w naszej świadomości i coraz częściej szukamy informacji dotyczących tego w jaki sposób mogą chronić swoją prywatność w internecie. Jedną z odpowiedzi jest protokół https.

Czym jest https?

https:// – od tego przedrostka zaczynają się dziś adresy około ⅓ wszystkich aktywnych domen. Hyper Text Transfer Protocol Secure to nic innego, jak zabezpieczona wersja znanego nam od dawna protokołu HTTP. Połączenie serwer-użytkownik, realizowane przez protokół HTTP, jest narażone na różnego rodzaju ingerencje osób trzecich (np. ataki typu man-in-the middle czy eavesdropping), które mogą prowadzić do wypływu danych lub wprowadzenia złośliwego/spamowego oprogramowania.

W odpowiedzi na rosnące zapotrzebowanie na ochronę danych, firma Netscape w 1994 roku zaprezentowała światu protokół HTTPS. Podczas jego tworzenia, projektantom przyświecała idea stworzenia uniwersalnego protokołu, którego można byłoby używać do szyfrowania połączenia zarówno ze stroną WWW, jak i pocztą e-mail czy serwerem. Dzięki temu protokoły aplikacyjne takie jak DNS, SMTP, POP, FTP zyskały ustandaryzowany sposób szyfrowania danych.

Jak działa https?

U podstaw zasad działania certyfikatu SSL, leży wynaleziona jeszcze w 1965 kryptografia klucza publicznego. Technika nazywana również kryptografią asymetryczną, została odkryta przez Jamesa Ellisa, pracującego dla brytyjskiej służby wywiadu elektronicznego GCHQ i wyróżnia się wyjątkową funkcjonalnością. Do komunikacji przy jej wykorzystaniu używane są dwa klucze, publiczny i prywatny. Klucz publiczny służy do zaszyfrowania wiadomości, która następnie może zostać odszyfrowana jedynie na podstawie klucza prywatnego, natomiast sam klucz prywatny jest całkowicie niezależny od publicznego i nie można go na jego podstawie zrekonstruować. Co za tym idzie, daje nam to możliwość upublicznienia klucza, według którego można zaszyfrować wiadomość, jednak tylko my, posiadając klucz prywatny, będziemy ją w stanie odczytać.

Połączenie przy użyciu protokołu https krok po kroku

Krok 1

Użytkownik wpisując (bądź będąc na niego przekierowanym) adres poprzedzony https://, wymusza na serwerze bezpieczne połączenie z użyciem certyfikatu SSL.

Krok 2

Serwer z którym próbujemy się połączyć, wysyła swój klucz publiczny wraz z certyfikatem SSL.

Krok 3

Przeglądarka użytkownika weryfikuje certyfikat SSL u jego wydawcy, sprawdzając przy tym jego podpis cyfrowy.

Krok 4

Po udanej weryfikacji przeglądarka tworzy klucz symetryczny ( który będzie taki sam dla obu stron ) i wysyła go do serwera. Aby nie został przechwycony po drodze, przed wysyłką jest on utajniany przy użyciu klucza publicznego, wysłanego wcześniej przez serwer.

Krok 5

Gdy serwer otrzymuje utajniony klucz symetryczny, odszyfrowuje go przy użyciu swojego klucza prywatnego.

Krok 6

W tym momencie, obie strony dzielą ten sam klucz symetryczny i przy jego pomocy szyfrują wymieniane pomiędzy sobą dane.

Rodzaje certyfikatów SSL

Do tej pory powstało kilka rodzajów certyfikatów SSL. Pomiędzy nimi wyróżniamy:

• Certyfikat DV SSL (Domain Validation) – pozwala jedynie na szyfrowanie połączenia, jego otrzymanie nie powinno zająć dłużej niż jeden dzień;
• Certyfikat OV SSL (Organization Validation) – pozwala na szyfrowanie połączenia, ale służy również uwierzytelnieniu tego czy dana strona faktycznie przynależy do instytucji z którą się utożsamia. Po kliknięciu kłódki znajdującej się przy adresie, zobaczymy między innymi informacje o nazwie firmy;
• Certyfikat EV SSL (Extended Validation) – pozwala na szyfrowanie połączenia, ale służy również daleko idącemu uwierzytelnieniu. Przy jego wydawaniu sprawdza się, czy właściciel ma prawo do posługiwania się daną domeną oraz następuje weryfikacja firmy i danych urzędowych. Na taki certyfikat przyjdzie nam czekać nawet 2 tygodnie. Dodatkowo przy tym poziomie zabezpieczenia, przy adresie URL naszej domeny, wyświetlać się będzie nazwa naszej firmy.

Dlaczego warto korzystać z certyfikatu SSL?

Od 2017 roku, głównie za sprawą polityki Google, certyfikaty SSL coraz bardziej zyskują na popularności. Przykłada się do tego również rosnąca świadomość użytkowników oraz właścicieli stron internetowych, którzy zdają sobie sprawę z tego, że w wielu przypadkach na ich stronach pojawia się coraz więcej poufnych danych. Właściwie każda strona pobiera dziś od swoich użytkowników jakiegoś rodzaju informacje, nawet jeśli jest to jedynie adres e-mail podany w formularzu kontaktowym, to i tak jest on powiązany z adresem IP, często imieniem lub adresem oraz informacją zawartą w samym formularzu. Jeszcze więcej informacji pojawia się w momencie, gdy użytkownik zakłada konto w danym serwisie. Właśnie dlatego wszystkie strony internetowe powinny być zabezpieczane przy użyciu certyfikatu SSL. Szczególnie powinny zwrócić na to uwagę:

• sklepy internetowe,
• banki internetowe,
• strony rządowe (.gov),
• fora internetowe,
• blogi lub portale pobierające jakiekolwiek dane od użytkowników.

Lipiec 2018 roku przyniósł zmianę, która jeszcze dobitniej podkreśliła wagę tego problemu. Długo zapowiadane przez Google zmiany, weszły w życie wraz z 68 wersją Chrome. Od tej pory najpopularniejsza przeglądarka internetowa, zaczęła wyraźnie komunikować użytkownikom brak certyfikatu SSL na przeglądanych stronach:

Wszystkie adresy URL stron, z którymi połączenie jest wykonywane przy użyciu protokołu http, są poprzedzone informacją “Niezabezpieczona”. Biorąc pod uwagę, że z Google Chrome korzysta 60% użytkowników przeglądarek, powyższy komunikat dociera do sporej rzeszy osób, co już samo w sobie skutecznie motywuje do wdrożenia certyfikatu SSL.

Dlaczego jeszcze warto zainwestować we wdrożenie SSL na swojej stronie?

1. Jest czynnikiem wpływającym na pozycjonowanie

Google potwierdziło, że obecność certyfikatu SSL jest jednym z czynników rankingowych wpływających na proces pozycjonowania stron.

2. Minimalizuje ryzyko otrzymania filtrów

Google w celu utrzymania jakości pokazywanych wyników stosuje tzw. filtry. Są to kary nakładane na strony, które w opinii Google są mylące lub manipulujące. Skutkiem takiego działania może być obniżenie pozycji i spadek widoczności. Dzięki wdrożeniu certyfikatu SSL, można uniknąć niepożądanych ataków na stronę (np. phishingu), w wyniku których jest się narażonym na filtr.

3. Bezpieczeństwo użytkowników

Na stronach internetowych popularyzuje się coraz większa wymiana danych. Wielu użytkowników nie zdaje sobie sprawy z tego na co są narażeni, publikując informacje w internecie. Dlatego warto jest wyjść naprzeciw ich potrzebom, wdrażając certyfikat SSL, dzięki któremu zabezpieczymy przesył danych w obrębie naszej domeny.

4. Zielona kłódka przy adresie URL

Zielona kłódka, czy jak w przypadku certyfikatu Extended Validation SSL, cała nazwa firmy znajdująca się obok adresu URL w przeglądarce, to bardzo silnie działający bodziec. Użytkownik, który widzi taki obraz zamiast mało zachęcającego napisu Niezabezpieczona, jest bardziej skłonny do zaufania danej stronie i skorzystania z usług, jakie są na niej oferowane. Obecność podświetlonej na zielono nazwy firmy wpływa również na wiarygodność i prestiż brandu, co stanowi ważny czynnik sprzedażowy.

5. Mniejszy współczynnik odrzuceń

Udowodniono, że dzięki wyższej wiarygodności, strony korzystające z certyfikatu SSL osiągają niższe współczynniki odrzuceń. Kiedy potencjalny użytkownik widzi przy adresie URL zieloną kłódkę, jest spokojniejszy i bardziej skłonny do zapoznania się z treścią strony. To ważne zwłaszcza w czasach gdy mamy do czynienia z powoli wzrastającą świadomością użytkowników internetu.

6. RODO

W związku z wejściem w życie nowych zasad dotyczących ochrony danych osobowych, w świetle przepisów każdy właściciel strony internetowej jest zobowiązany do zabezpieczenia wrażliwych danych jej użytkowników. Wdrożenie certyfikatu SSL jest w tym przypadku podstawą do zapewnienia bezpieczeństwa, za które odpowiadamy.

Jak wdrożyć certyfikat SSL?

W większości przypadków zalecamy naszym klientom skorzystanie z certyfikatu, który oferuje aktualny hostingodawca. Cały proces jest wówczas wyjątkowo prosty i szybki do przeprowadzenia. Najczęściej wystarczy wejść na stronę hostingodawcy, zamówić odpowiadający nam pakiet, wybrać domenę, którą chcemy zabezpieczyć i potwierdzić mailowo przynależność witryny. Na koniec pozostaje nam ewentualna aktywacja certyfikatu w panelu klienta.

Migracja z HTTP na HTTPS

Przenosząc witrynę z HTTP na HTTPS należy pamiętać o kilku ważnych działaniach, których wykonanie będzie konieczne do poprawnej implementacji certyfikatu:

• Przekierowanie 301 – Przekierowanie bezwarunkowe 301 komunikuje wyszukiwarce, że już nie zamierzamy korzystać ze strony która jest przekierowywana. Takie działanie pozwoli nam zabezpieczyć się przed obecnością dwóch takich samych podstron funkcjonujących pod tym samym adresem jednak z różnym członem znajdującym się przed www. Należy pamiętać że: http://example.com i https://example.com stanowią dla Google dwa różne adresy i ich jednoczesna obecność będzie powodować duplikację treści, a w konsekwencji niższe pozycje oraz problemy z pozycjonowaniem;
• Google Search Console / Analytics – pomimo przekierowań, dane z adresów poprzedzonych https, nie będą zbierane w usłudze Search Console pod którą mamy podpięte stare adresy, dlatego należy ręcznie dodać nowe adresy. W przypadku usługi Analytics należy zwrócić uwagę na to, czy kod GA nie wymaga aktualizacji;
• xml – tutaj także potrzebna będzie aktualizacja adresów na nowe, poprzedzone https;
• indeksacja – należy zweryfikować czy nowe podstrony są poprawnie indeksowane w Google i czy nie są zablokowane
  (np przez robots.txt);
• weryfikacja grafik, plików oraz linków w domenie – wszystkie znajdujące się na stronie adresy dotyczące grafik, PDF czy po prostu odnośników do innych stron należy przejrzeć w poszukiwaniu takich które wciąż zaczynają się od http://.

Czy dla Ciebie jako użytkownika, obecność zielonej kłódki oznacza,  że strona jest w 100% bezpieczna?

Na koniec pozwoliłem sobie zostawić dosyć ważne pytanie. Czy w świetle wszystkiego, co zostało powiedziane o certyfikacie SSL, sama jego obecność gwarantuje nam brak zagrożenia z danej strony?

Otóż nie. Obecność samej kłódki informuje nas jedynie o tym, że dla danej strony zostały wygenerowane klucze kryptograficzne i są one w użyciu. Jednak bez rozszerzonej walidacji (EV SSL), nie otrzymujemy żadnych informacji dotyczących tego, czy strona jest tym, za co się podaje. Według statystyk około ¼ wszystkich ataków phishingowych jest przeprowadzana za pośrednictwem stron zabezpieczonych podstawowym certyfikatem SSL. Dlatego też w przypadku korzystania ze strony banku, zawsze powinniśmy szukać w oknie adresowym informacji na temat firmy: