Certyfikaty SSL DV

Protokół (ang. Secure Socket Layer lub Transport Layer Security) to technologia, która pozwala prowadzić bezpieczną wymianę danych przesyłanych pomiędzy przeglądarką internetową a stroną www. Wysyłane w ten sposób dane są szyfrowane, a więc bezpieczne. TLS, który jest plikiem komputerowym lub fragment kodu, spełnia trzy podstawowe funkcje:

1. Autoryzacja i weryfikacja
W Certyfikacie SSL zawiere są informacje o autentyczności niektórych szczegółów dotyczących firmy lub witryny internetowej, które będą wyświetlane odwiedzającym w witrynie po kliknięciu symbolu kłódki przeglądarki. Kryteria weryfikacji stosowane przez urzędy certyfikacji w celu ustalenia czy certyfikat powinien zostać wydany, są najbardziej rygorystyczne dla certyfikatów Extended Validation, co czyni EV najbardziej zaufanymi certyfikatami.

2. Zabezpieczanie danych
SSL certyfikaty szyfrują przesyłane dane poprzez stronę internetową w taki sposób, aby jedynie odbiorcy informacji mieli do nich dostęp.

3. Marketing
SSL certyfikaty od lat wykorzystywane są przez firmy do budowy wizerunku, wiarygodności i zaufania. Protokół SSL wspiera decyzje zakupowe w e-sklepach, wpływając na poczucie bezpieczeństwa klientów i ich zamówienia. Wielu specjalistów SEO wykazuje też wpływ szyfrowania na pozycjonowanie strony w wyszukiwarkach.

Podobnie jak możesz zamknąć i otworzyć kluczem drzwi do sejfu, tak samo TLS zamyka i otwiera kluczem dostęp do Twoich informacji. Jedynie odpowiedni klucz umożliwia otwarcie dostępu do danych.

Każda sesja TLS korzysta z dwóch kluczy: - Klucza publicznego - używany do szyfrowania informacji; - Klucz prywatny - używany do odszyfrowania informacji i przywrócenia ich do pierwotnej formy, tak aby można je było odczytać.

Proces

1. Każdy cert wydany dla stron www przez CA jest przypisany do określonego serwera i domeny internetowej (adres strony internetowej).

2. Kiedy używasz przeglądarki internetowej, aby przejść do strony www z protokołem SSL, następuje uzgadnianie bezpiecznego połączenia pomiędzy przeglądarką a serwerem.

3. Wysyłane jest żądanie do serwera, które jest widoczne dla internauty w jego oknie przeglądarki. Pojawia się zmiana w wyglądzie paska adresu www (zielony pasek, kłódka), która wskazuje, że nastąpiło połączenie z zaufaną witryną.

4. Wszystko to oznacza, że ustanowione zostało bezpieczne połączenie dla tej sesji przeglądania strony internetowej z unikalnym kluczem. Teraz może się rozpocząć bezpieczna transmisja danych.

Sposób walidacji zależy od rodzaju certyfikatu.

Produkt autoryzujący nazwę domenową to DV Domain Validation. Jest wydawany dość szybko w oparciu o potwierdzenie własności domeny. Jest to najczęściej wybierany typ walidacji, najniższy akceptowalny przez Chrome.

Kolejny, wyższym poziomem zabezpieczeń jest OV (Organization Validation). W tym przypadku jest on przyznawany na podstawie weryfikacji właściciela domeny oraz organizacji wnioskującej o zabezpieczenie.

Certyfikat EV (Extended Validation) oferuje największy standard uwierzytelniania, aby zapewnić najwyższy poziom zaufania klientów. Kiedy konsumenci odwiedzają stronę internetową zabezpieczoną przez ten rodzaj certyfikatu pasek adresu zaświeci się na zielono (w przeglądarkach o wysokim poziomie bezpieczeństwa) oraz pojawi się specjalny obszar z nazwą prawnego właściciela strony internetowej (nazwa firmy) wraz z informacją o CA, który wystawił certyfikat EV. Te wizualne znaki mają przyczynić się do zwiększenia zaufania konsumentów do sprzedaży i płatności online. Ten typ walidacji jest wybierany przez niemal wszystkie banki, instytucje finansowe i inne organizacje, którym zależy na budowaniu zaufania.

Google wymaga od właścicieli stron stosowania certyfikatu SSL, czyli szyfrowania danych i transmisji danych za pomocą protokołu HTTPS. Swój cel postanowił osiągnąć za pomocą paska adresu przeglądarki Chrome – najpopularniejszej przeglądarki internetowej na świecie, której jest właścicielem. Od 2016 r. trwa proces zaostrzania wymogu dotyczącego szyfrowania certyfikatami ssl. Wtedy przeglądarka Chrome 56 zaczęła ostrzegać użytkowników w pasku adresu przed brakiem certyfikatu dodając szare oznaczenie „Niezabezpieczona” przed domeną, w wypadku gdy użytkownik rozpoczynał podawanie danych osobowych przez stronę bez usługi TLS. Następnie w 2018 r. wraz z Chrome 68 zaczął oznaczać w pasku adresu wszystkie strony bez szyfrowanego połączenia jako „Niezabezpieczone”, by pod koniec roku, wraz Chrome 70, zmieniać kolor tego oznaczenia na czerwony.

Dlaczego Google tak zależy na stosowaniu przez strony www szyfrowania? Wielu szukało drugiego dna, ale w tym przypadku powodem jest troska o bezpieczeństwo. I Chrome nie jest w tej walce odosobniony. Za jego działaniami podążają pozostałe popularne przeglądarki typu FireFox i Safari. Google nie stoi też za żadnym wystawcą i wskazuje na istnienie darmowej możliwości, jaką jest Let s Encrypt. W związku z tym, że Let s Encrypt to usługa słynąca z częstych problemów zaleca się jednak komercyjne rozwiązania.

Rozporządzenie o Ochronie Danych Osobowych (RODO) to Ustawa, której celem jest lepsza ochrona prywatnych danych obywateli Unii Europejskiej w systemach informatycznych. Ustawa nie formułuje obowiązku korzystania z certyfikatu SSL wprost, przedstawia jednak jasne wymagania, które można spełnić jedynie za pomocą certyfikatów. Artykuł 32 – Bezpieczeństwo przetwarzania mówi:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;[...]

Certyfikat HTTPS to najprostszy, najbardziej dostępny i przystępny cenowo sposób na zapewnienie tego właśnie wymogu.