Sloj varnih vtičnic, ki ga običajno imenujemo SSL, je varnostni standard za šifriranje komunikacije med spletnim strežnikom in odjemalčevim spletnim brskalnikom. Čeprav se izraz še vedno uporablja v običajnem jeziku, je bil protokol SSL dejansko nadomeščen s protokolom TLS, ki pomeni Transport Layer Security.
Vsako spletno mesto s spletnim naslovom HTTPS uporablja protokol SSL / TLS. Kadar spletni brskalnik zagleda veljavno potrdilo SSL, zraven naslova prikaže zeleno ikono ključavnice. To namiguje namiznega uporabnika, da vsa komunikacija med njegovim brskalnikom in spletnim strežnikom poteka po šifriranem kanalu.
Zakaj uporabljati SSL potrdila?
Vse informacije, ki se pošljejo prek interneta, preidejo skozi različne posredniške računalnike, preden dosežejo ciljni spletni strežnik. To pomeni, da lahko kateri koli od teh posredniških računalnikov dostopa do prenesenih podatkov, ki lahko vključujejo informacije, kot so uporabniška imena in gesla, ter druge občutljive podatke. Potrdila SSL to tveganje ublažijo tako, da zagotavljajo, da so vse informacije, poslane prek interneta, šifrirane tako, da lahko do njih dostopa samo predvideni prejemnik.
Pravzaprav morajo nekatera spletna mesta, kot so bančni in plačilni portali, sprejeti določene korake, preden lahko od uporabnikov zahtevajo občutljive podatke. Ena od teh zahtev je uporaba pravilno potrjenih potrdil SSL.
Tudi če od uporabnikov ne zahtevate občutljivih podatkov, se splača uporabiti potrdilo SSL. Leta 2014 je Google objavil, da je iskalnik v svoji ponudbi za varnejši splet začel uporabljati HTTPS kot signal za uvrstitev. To pomeni, da se spletna mesta, ki uporabljajo veljavno potrdilo SSL, štejejo za boljša in se med rezultati iskanja uvrstijo višje, zaradi česar je potrdilo SSL dejansko osnovno, a nujno orodje SEO.
Kaj vsebuje potrdilo SSL?
Tehnično gledano je potrdilo SSL podatkovna datoteka na spletnem strežniku, ki vsebuje več informacij. Najpomembnejši vidik potrdila je javni ključ spletnega mesta.
Temu je priloženo ime domene, za katero je bilo potrdilo izdano, in podrobnosti o posamezniku ali organizaciji, ki ji je bilo izdano. Potrdilo vsebuje tudi podrobnosti o organu, ki ga je izdal, skupaj z digitalnim podpisom. Druge pomembne podrobnosti vključujejo datum izdaje certifikata, trajanje njegove veljavnosti in datum poteka veljavnosti certifikata.
Javni ključ (in njegov ustrezni zasebni ključ) so v bistvu dolgi nizi znakov, ki pomagajo šifrirati in dešifrirati podatke, ki se prenašajo. Pomembno je omeniti, da je mogoče podatke, šifrirane z javnim ključem, dešifrirati samo z zasebnim ključem.
Ko spletni brskalnik poskuša komunicirati s strežnikom, bo poklical potrdilo, da preveri identiteto strežnika in nato pridobi njegov javni ključ. Nato ga uporabi za ustvarjanje šifriranega kanala med seboj in spletnim strežnikom. Vse podatke, ki se prenašajo po tem kanalu, lahko dešifrira samo spletni strežnik z zasebnim ključem.
Kdo izdaja SSL-je?
Potrdila SSL izda zaupanja vreden overitelj potrdil (CA). Spletni brskalniki, operacijski sistemi in danes celo mobilne naprave vzdržujejo seznam zaupanja vrednih korenskih potrdil CA.
Korensko potrdilo je zelo dragoceno, saj bodo brskalniki samodejno zaupali vsakemu potrdilu SSL, podpisanemu z zasebnim ključem. Nasprotno, če CA ne zaupa, bo brskalnik končnemu uporabniku prikazal nezaupljiva sporočila o napakah.
Podjetja, kot so DigiCert, IdenTrust, GlobalSign in Let’s Encrypt, so znana kot overjeni overitelji. Spletni brskalniki in razvijalci operacijskih sistemov, kot so Microsoft, Mozilla, Google, Opera in drugi, zaupajo tem overiteljem overitve in s tem podaljšajo katero koli potrdilo SSL, podpisano z njihovimi zasebnimi ključi.
Vrste potrdil SSL
Obstaja nekaj različnih vrst potrdil SSL, ki jih lahko na splošno razvrstimo v tri kategorije.
Potrdila domene (DV) so potrdila vstopne ravni, ki zajemajo osnovno šifriranje in preverjanje lastništva evidenc registracije domenskih imen. Ta vrsta potrdila je najcenejša in se lahko izda v nekaj minutah.
Sledijo potrdila, potrjena s strani organizacije (OV), ki poleg osnovnega šifriranja in preverjanja potrjujejo tudi podatke o lastniku, na primer njihovo ime in naslov. Glede na to, da gre za ročno preverjanje, bo potrditev OV trajalo od nekaj ur do nekaj dni.
Na koncu obstajajo potrdila o razširjeni validaciji (EV), ki so najbolj zaupanja vredna, saj potrjujejo tudi fizični in operativni obstoj lastnika spletnega mesta. Upoštevajo stroge smernice za postopek preverjanja, ki lahko traja več tednov.
Poleg tega imajo vse vrste potrdil SSL tudi dve različici. Obstaja eno potrdilo domene, ki varuje eno popolnoma kvalificirano ime domene. Je cenejši kot nadomestni certifikat, ki ščiti več poddomen.
Kaj je samopodpisano potrdilo SSL?
Spet tehnično gledano lahko vsak ustvari lastno potrdilo SSL z ustvarjanjem seznanitve javno-zasebnih ključev. Ta potrdila se imenujejo samopodpisana potrdila, ker uporabljeni digitalni podpis ni od neodvisnega overitelja potrdil, temveč iz zasebnega ključa spletnega mesta.
Čeprav so najprimernejši in jih je mogoče ustvariti takoj, saj ni nobenega spletnega brskalnika za preverjanje, ki se samopodpisanih potrdil ne šteje za zaupanja vrednega. Zato je kljub temu, da je komunikacija šifrirana, spletni brskalniki spletno mesto še vedno označili kot »nezaščiteno«. Večina spletnih brskalnikov bo vsaj pred prikazom vsebine spletnega mesta zagotovila, da razumete, da spletno mesto uporablja samopodpisano potrdilo.
Kako do SSL certifikatov?
Zahvaljujoč njihovi vlogi pri razvrščanju iskalnikov je dobro, da si vsi priskrbijo SSL certifikat.
Prvi korak je določiti, katero vrsto potrdila potrebujete, predvsem v odvisnosti od števila domen in poddomen, ki jih morate zavarovati. Postopek je veliko bolj pomemben za podjetja v reguliranih panogah, kot je bančništvo, ki se morajo prepričati, da njihov certifikat SSL ustreza določenim zahtevam.
Ponudnikov potrdil SSL je več in glede na vrsto potrdila ter ugled in zaupanje izdajatelja potrdil lahko stroški potrdil SSL znašajo od nekaj do nekaj sto dolarjev na leto.
Danes pa ga lahko dobite tudi brezplačno, zahvaljujoč Let’s Encrypt CA. Ustanovili so ga EFF, Mozilla in Univerza v Michiganu, sponzorja pa sta bila ustanovitelja Cisco in Akamai.
Let's Encrypt je neprofitna služba za potrjevanje, ki potrdila SSL brezplačno deli od aprila 2016. Njegova potrdila veljajo 90 dni in jih je mogoče kadar koli podaljšati v tem obdobju veljavnosti. Glede na lastno raziskavo Let's Encrypt so potrdila večinoma prevzeli stroškovno ozaveščeni uporabniki, ki vključujejo manjša spletna mesta, kot so osebni blogi, in mala podjetja.
- Do varnega dostopa do interneta z najboljšo VPN.
