Nachádzate sa tu

Block title
Block content

SSL certifikáty a pripravované novinky v prehliadačoch

Celosvetový trend v oblasti webovej bezpečnosti je jasný: celkom nahradiť bežné a nešifrované HTTP šifrovanou variantou HTTPS prípadne rovno protokolom HTTP/2.0

Ak prevádzkujete eshop, alebo jednoducho web, ktorý od používateľov zbiera osobné údaje malo by byť samozrejmosťou zabezpečiť web SSL certifikátom. Rovnaký názor majú aj v Google a nová verzia prehliadača Chrome bude upozorňovať používateľov na weby, ktoré odosielajú citlivé údaje (napr. heslá, údaje z platobnej karty a pod.) nešifrovane cez HTTP! Prvé zmeny nastanú s príchodom verzie 56 webového prehliadača Chrome začiatkom roka 2017. Ten začne návštevníkov upozorňovať na stránky, ktoré by mali byť zabezpečené SSL certifikátom no prevádzkovateľ tak doteraz neurobil.

V nasledujúcich verziách začne Chrome v režime inkognito označovať ako nezabezpečené všetky weby, ktoré nie sú načítané cez HTTPS a v blízkej budúcnosti plánujú takéto správanie prehliadača ako štandardné aj mimo inkognito režimu. (Zdroj: Moving towards a more secure web - Google Online Security Blog)

Dnešný blogpost bude preto o SSL certifikátoch. Pozrieme sa na to aké druhy SSL certifikátov môžeme na našom trhu objaviť, na čo je vlastne taký SSL certifikát dobrý a na možnosti, ktoré ponúka HostingHouse.sk svojim zákazníkom. Ale ešte predtým ako sa pustíme do SSL certifikátov, bude dobré si povedať niečo o HTTP a o jeho bezpečnej verzii HTTPS. Takže teraz keď už viete prečo, môžeme hľadať odpoveď na otázku “Ako?”.

Stručný úvod do HTTPS

Skratka HTTP (Hypertext Transfer Protocol) označuje protokol (spôsob komunikácie), ktorým komunikuje webový prehliadač s webovým serverom. Zakaždým keď do prehliadača zadáme URL adresu webstránky, ktorú chceme zobraziť vytvorí prehliadač HTTP požiadavku, ktorú odošle na webový server a ten mu zase odošle HTTP odpoveď s webovou stránkou o ktorú sme žiadali. Problémom je, že celá komunikácie je textová a ktokoľvek kto má prístup k zariadeniam a sieti, cez ktoré sú naše HTTP požiadavky a odpovede prenášané môže komunikáciu odpočúvať a čo je horšie, môže ju nepozorovane pozmeniť. Asi už tušíte, že toto je jeden zo spôsobov ako sa kradnú osobné údaje a do webstránok vkladá škodlivý kód (malware).

Tu sa dostáva ku slovu zabezpečená verzia protokolu HTTP, protokol HTTPS (Hypertext Transfer Protocol Secure). HTTPS umožňuje zabezpečiť spojenie medzi webovým prehliadačom a serverom pred sledovaním, zmenou prenášaných dát a umožňuje overiť identitu webového servera, s ktorým komunikujeme. Spojenie je šifrované protokolom TLS alebo SSL (SSL je predchodca TLS). Základnou požiadavkou pre funkčné HTTPS je SSL certifikát, ktorý slúži na identifikáciu webového servera a zabezpečenie šifrovania komunikácie.

SSL certifikáty

Základnou požiadavkou pre nasadenie HTTPS je platný a dôveryhodný SSL certifikát. SSL certifikát plní dve základné úlohy:

  1. dôveryhodne identifikuje web alebo prevádzkovateľa webu,
  2. zabezpečuje šifrovanie prenášaných informácií.

Dôveryhodný SSL certifikát ja taký, ktorý vydala dôveryhodná certifikačná autorita (nečakane :-) ako napr.: Symantec, GeoTrust, Thawte, RapidSSL, Let’s Encrypt a pod. Platnosť SSL certifikátu je obmädzená. Najčastejšie sa vydáva na 1 až 3 roky a pred dátum exspirácie je potrebné požiadať o obnovenie a nainštalovať na server nový SSL certifikát. Toto neplatí pre SSL certifikáty od Let’s Encrypt. Tie sú vydávané na kratšiu dobu (3 mesiace) a o automatické predĺženie platnosti sa postará automatizovaný softvér na webovom serveri.

Rozdelenie SSL certifikátov podľa spôsobu použitia

  • bežné SSL certifikáty, ktoré slúžia na zabezpečenie jednej domény (napr. www.hostinghouse.sk)
  • hviezdičkové SSLcertifikáty alebo tiež wildcard certifikáty sú vhodné vtedy, keď potrebujeme zabezpečiť všetky subdomény jednej hlavnej domény (napr. setup.hostinghouse.sk, podpora.hostinghouse.sk, atď)
  • multidoménové SSL certifikáty alebo tiež SAN/UC (Subject Alternative Name/Unified Communications) umožňujú zabezpečiť jedným SSL certifikátom viacero hlavných domén.

Rozdelenie SSL certifikátov podľa spôsobu overenia

  • Overenie domény (Domain Validation) – pred vydaním SSL certifikátu sa overí vlastníctvo domény ku ktorej je žiadaný certfikát. Najčastejšie potvrdením cez odkaz, ktorý je odoslaný na email patriaci pod doménu (napr. admin@domena.sk). Takéto certifikáty sú vydané v priebehu niekoľkých minút od potvrdenia emailu. (napr. na https://setup.hostinghouse.sk)

  • Overenie spoločnosti (Organization Validation) - tieto certifikáty ponúkajú výšší stupeň dôveryhodnosti pretože pred vydaním certifikátu sa neoveruje len vlastníctvo domény ale aj spoločnosť pre ktorú je certifikát vydaný a návštevník stránok ma kedykoľvek možnosť si prevádzkovaťeľa webu overiť. Certifikát je zvyčajne vydaný v priebehu niekoľkých pracovných dní. (napr. na Alza.sk)

  • Rozšírené overenie (Extended Validation) – tieto certifikáty poskytujú najvyšší stupeň dôveryhodnosti. Weby s týmto certifikátom sú v prehliadačoch označené výrazne zeleným adresným riadkom s uvedením spolčnosti pre ktorú bol certifikát vydaný. Každé doménové meno, ktoré má byť v certifikáte uvedené sa posudzuje osobitne, preto nie je možné vydať hviezdičkový (wildcard) EV certifikát. Tieto SSL certifikáty najčastejšie používajú banky.

S výberom a inštaláciou vhodného SSL certifikátu pre váš webový projekt sa môžete obrátiť na našu zákaznícku podporu podpora@hostinghouse.sk.

Let’s Encrypt

O iniciatíve Let’s Encrypt ste už možno počuli. Stojí za ňou Internet Security Research Group (ISRG) a medzi hlavných sponzorov patria spoločnosti ako Mozilla, Akamai a Cisco a ďalší. Cieľom tejto iniciatívy je poskytovať dôverihodné SSL certifikáty pre domény zdarma. Podľa nášho rozdelenia ide o certifikáty bežné s overením domény (DV). Vystavenie a obnovovanie je plne automatizované a zdarma. Vystavený SSL certifikát je okamžite nainštalovaný na webový server. Stačí už len nastaviť presmerovanie z HTTP na HTTPS. O bezplatnú aktiváciu HTTPS s SSL certifikátom od Let’s Encrypt môžete požiadať cez zákaznícku podporu HostingHouse.

Záver

Webová bezpečnosť je aktuálne témou číslo 1. a avizované zmeny vo webových prehliadačoch to len potvrdzujú. Použitie HTTPS je jedným zo základných požiadaviek na “bezpečný” web. Splnením tejto požiadavky dáte svojím návštevníkom jesne najavo, že ich súkromie je pre vás dôležité a neberiete to na ľahkú váhu. Inštaláciou SSL certifikútu nezískate len zelené https:// pred adresou vášho webu v priahliadači. Najväčší vyhľadávač Google už dávnejšie avizoval, že použitie HTTPS je jedným z faktorov, ktoré sa posudzujú pri určovaní poradia vo výsledkoch vyhľadávania (Zdroj: Official Google Webmaster Central Blog: HTTPS as a ranking signal). V spojení s nulovými nákladmi pri použití SSL certfikátu od Let’s Encrypt to znie viac než lákavo.

Komentáre