W niniejszym artykule znajdziesz podstawowe informacje dotyczące HTTPS oraz zagadnień z tym powiązanych. Celem nie jest dostarczenie zupełnie wszystkich informacji i nauczenie laików tej technologii, ale przedstawienie ogólnego zarysu tego zagadnienia.
Aby ustawić HTTPS na webhostingu, zapoznaj się z artykułem HTTPS na webhostingu.
Szyfrowanie i wiarygodność
Komunikacja szyfrowana oznacza, że wszystkie dane przenoszone pomiędzy serwerem i klientem (naszym serwerem i Twoją przeglądarką WWW) są szyfrowane, komunikacja może być po drodze podsłuchana, ale nie zostanie rozszyfrowana, nikt nie dowie się jakie strony przeglądasz i jakie dane przesyłasz w formularzu. W przypadku komunikacji niezaszyfrowanej nie zaleca się przesyłania danych osobowych przez formularze WWW, istnieje ryzyko, że zostaną one przechwycone i nadużyte przez osobę trzecią (przede wszystkim hasła, numery kart kredytowych itp.).
Wiarygodna komunikacja oznacza, że klient zweryfikuje tożsamość serwera, dzięki czemu będzie miał pewność, że strony WWW pobiera z właściwego serwera, a atakujący nie skierował go na fałszywe strony.
Szyfrowanie nie gwarantuje wiarygodności, są to dwa różne aspekty, nie mniej jednak SSL może zapewnić jedno i drugie.
Czym jest SSL i HTTPS
SSL (Secure Socket Layer) jest technologią, wykorzystywaną w sieciach komputerowych do szyfrowanej i wiarygodnej komunikacji. Może być używana z dowolnym protokołem aplikacji – dla POP3 (POP3 + SSL = POP3S), dla SMTP (SMTP + SSL = SMTPS) itp.
Aby korzystać z SSL niezbędne będą 2 rzeczy:
- Klucz prywatny – jest to klucz do szyfrowania / deszyfrowania, który właściciel przechowuje w ukryciu, ewentualnie umieszcza go na serwerze WWW.
- Certyfikat – klucz publiczny do szyfrowania / deszyfrowania, który zawiera informacje o tożsamości jego właściciela (jego serwerze) i jest podpisany przez jakiś urząd certyfikacji.
Certyfikat jest zawsze (w przypadku stron WWW) powiązany z nazwą domeny (ewentualnie może być przeznaczony dla większej liczby domen).
Powszechne certyfikaty są wystawiane tylko dla jednej konkretnej nazwy (np. www.example.cz) – jeśli certyfikat zostanie użyty na stronach WWW, gdzie domena strony jest identyczna jak nazwa w certyfikacie, komunikacja będzie wiarygodna. W przypadku niezgodności nazw komunikacja będzie niewiarygodna.
Certyfikaty typu Wildcard mają postać *.example.cz, mogą więc być użyte dla stron WWW na dowolnej subdomenie, tj. np. www.example.cz, eshop.example.com itp. We wszystkich przypadkach komunikacja będzie wiarygodna. Nie dotyczy to jednak domen 4. poziomu (np. moj.eshop.example.cz).
Aby uzyskać dostęp do strony WWW przez SSL, wykorzystuje się adresy URL s https na początku, tj. np. https://www.example.cz/. W przypadku nieszyfrowanego połączenia na początku adresu znajduje się jedynie http, np. http://www.example.cz/.
Jeśli nazwa certyfikatu jest identyczna jak domena strony WWW, komunikacja będzie wiarygodna. Jeśli nazwy będą różne, komunikacja będzie niewiarygodna, a przeglądarka wyświetli ostrzeżenie o możliwym niebezpieczeństwie podczas uzyskiwania dostępu do danej strony przez HTTPS (nie będzie w stanie zagwarantować, że nie dochodzi do połączenia z serwerem podsuniętym przez atakującego).
Gdzie zyskam certyfikat i klucz prywatny?
Jeśli chcesz zapewnić szyfrowany i wiarogodny dostęp do swojej strony WWW (tj. nie chcesz, aby Twoim klientom wyświetlał się komunikat o niebezpieczeństwie, ale chcesz, aby mieli pewność, że komunikacja jest wiarygodna), będziesz potrzebował własnego certyfikatu dla Twojej domeny lub możesz użyć certyfikatu Let’s Encrypt.
Certyfikaty są wystawiane przez tzw. urzędy certyfikacji, tj. organizacje, które są powszechnie uznawane za wiarygodne, i którym ufają twórcy systemów operacyjnych i przeglądarek WWW. Urzędy certyfikacji wystawiają certyfikaty na podstawie weryfikacji Twojej „tożsamości”, co w przypadku stron internetowych oznacza, że w jakiś sposób zweryfikują, czy rzeczywiście jesteś Abonentem domeny, dla której wnioskujesz o certyfikat. Certyfikat nie zostanie wystawiony obcej osobie, która nie ma z domeną nic wspólnego.
Wystawienie certyfikatu jest odpłatne. Wysokość opłaty jest różna i zawiera się w przedziale od kilkuset do kilku tysięcy CZK, ważność certyfikatu to okres od 1 roku do kilku lat, nigdy jednak certyfikat nie ma ważności bezterminowej. Przed wygaśnięciem, należy go wymienić za nowy.
Sposób uwierzytelniania zależy od każdego urzędu certyfikacji. Najłatwiejszym sposobem jest wysłanie hasła na e-mail Abonenta domeny – jest to najbardziej podstawowy poziom weryfikacji. Jeśli chcesz dysponować bardziej wiarygodnym certyfikatem, być może konieczne będzie osobiste stawienie się z dokumentem potwierdzającym tożsamość, wypisem z rejestru handlowego, ewentualnie wysłanie skanów swoich dokumentów itp. Certyfikaty zawierają nie tylko nazwę domeny, ale również tożsamość osoby / firmy, dla której certyfikat został wydany.
Nasza firma nie oferuje ani nie pośredniczy w wydawaniu certyfikatów (z wyjątkiem certyfikatu Let’s Encrypt). Jeśli potrzebujesz certyfikatu innego niż Let’s Encrypt, musisz skontaktować się z jednym z urzędów certyfikacji, a następnie udostępnić nam wystawiony certyfikat oraz klucz prywatny.
Niestety czeskie urzędy certyfikacji nie zawsze są wiarygodne dla przeglądarek internetowych, ale są raczej używane do certyfikatów podpisów elektronicznych wykorzystywanych do komunikacji z instytucjami i urzędami. W przypadku stron WWW dobrze jest skorzystać z jednego z zagranicznych urzędów certyfikacji, np.:
Istnieje wielu czeskich pośredników, którzy pomogą Ci z uzyskaniem certyfikatu. Nie zawsze jest to prosta i łatwa do zrozumienia sprawa.