[FAQ] Certyfikat SSL - co to jest? Jak działa?

  • 1 Odpowiedzi
  • 1862 Wyświetleń

0 użytkowników i 1 Gość przegląda ten wątek.

*

Offline CrimeS

  • *****
  • 1995
  • 273
  • Płeć: Mężczyzna
    • jellyio.com
[FAQ] Certyfikat SSL - co to jest? Jak działa?
« dnia: 6 Luty 2017, 01:22 »
Co to certyfikat SSL?
Certyfikat SSL informuje użytkownika odwiedzającego stronę internetową, o tym że jego dane są zaszyfrowane i potwierdza ich bezpieczeństwo. Otwierając stronę komunikujemy się z serwerem, gdzie certyfikat zabezpiecza dane które wysyłamy i przyjmujemy. Używany jest do tego certyfikat w formie klucza o określonej długości, im dłuższy klucz tym trudniej rozszyfrować dane.

Dlaczego w 2017 jest taki ważny?
Google postanowiło bardziej faworyzować strony w swojej wyszukiwarce, które posiadają taki certyfikat.


Jak to działa w praktyce?
Załóżmy że użytkownik Janek który, jest podłączony do publicznej sieci i surfuje sobie po internecie. Przychodzi osoba trzecia o imieniu Edward, która posiada program wireshark, który służy do monitorowania danych przesyłanych z i do sieci w której jest podłączony.
Nie mając certyfikatu SSL, przy każdym załadowaniu strony przez Janka, nasz szkodliwy Edward może ją zobaczyć, wystarczy że wybierze właściwy pakiet i w jego przeglądarce pokaże mu się wcześniej załadowana strona przez Janka.
Teraz Janek wchodzi na stronę, która posiada owy certyfikat SSL. Nasz zły bohater Edward dostaje informacje o tym, że Janek załadował stronę, jednakże nie jest w stanie zobaczyć jej, ponieważ wszystkie dane zostały zaszyfrowane używając klucza, którego Edward nie posiada.

Skąd wiem, że strona posiada certyfikat SSL?
Na przykładzie przeglądarki Chrome, w najnowszej dostępnej wersji podczas pisania artykułu pojawi się zielona kłódka.


Mamy 3 scenariusze:
  • Bezpieczny HTTPS – strona posiada ważny certyfikat SSL i działa poprawnie
  • HTTP – strona nie posiada certyfikatu. Taka informacja też widnieje, gdy posiadamy certyfikat jednakże wystąpiły jakieś problemy. Na przykład, używamy obrazków z innych stron które nie używają HTTPS.
  • Zepsuty HTTPS – certyfikat SSL nie działa. Pokaże nam się strona informacyjna, że połączenie nie jest prywatne. Taka informacja i zepsuta kłódka pokaże się jeżeli spróbujemy wejść na stronę poprzez HTTPS, która nie posiada certyfikatu SSL.

http://img.liczniki.org/20170206/chrome-1486339979.png
[FAQ] Certyfikat SSL - co to jest? Jak działa?

Koniec teorii, czy muszę płacić za certyfikat?
Za certyfikat nie trzeba płacić, można wygenerować go przy użyciu Let's Encrypt, które jest organizacją non-profit i próbuje rozpowszechnić prywatność danych w internecie i nakłonić administratorów na używanie SSL.
Większość stron, które oferują rejestrację domen, mają już w swojej ofercie różnorodne certyfikaty SSL.

Jaki jest minus Let’s Encrypt?
Certyfikat trzeba generować co 90 dni, co ma na celu zmniejszyć niebezpieczeństwo złamania kluczy. Aby zainstalować certyfikat trzeba mieć trochę generalnej wiedzy, gdyż albo trzeba zainstalować na serwerze program Let’s Encrypt albo wygenerować go ze swojego komputera.
Generowane są klucze dla jednej domeny (bez www jak i z www), subdomeny nie będą działać. Są to tak zwane Domain Validation.

Aktualizacja: 22/12/2018
W roku 2018 nie jest to już taki minus, ponieważ coraz więcej hostingów oferuje automatyczne generowanie certyfikatów SSL z panelu administracyjnego hostingu. Oznacza to, że administrator musi zaznaczyć "chęć" używania certfyfikatu SSL przez Let's Encrypt, a hosting sam się zajmie generowaniem i przedłużaniem certyfikatu.

Jakie są typy certyfikatów?
Istnieje wiele, od różnych organizacji więc nie będę tutaj wypisywać ofert.

Instalacja
Istnieje wiele różnych panelów, przez co musimy znaleźć konkretne poradniki. Wystarczy wpisać w wyszukiwarkę „Instalacja certyfikatu SSL w XXXXX”, gdzie XXXXX to nazwa panelu administracyjnego (na przykład cPanel, DirectAdmin).


Mam działający certyfikat SSL, co teraz?
Teraz musimy włączyć przekierowanie na wersję strony z https. Według różnych artykułów, Google traktuje strony z http i https jako dwie oddzielne strony. Można więc założyć, że zasada będzie taka sama jak przy rebrandingu lub zmianie domeny. W tym wypadku musimy zrobić przekierowanie o numerze 301, które poinformuje wyszukiwarkę o permanentnym przeniesieniu strony i przeniesie nasze pozycjonowanie seo na stronę z linkiem https.

Aby zrobić powyższe przekierowanie, tworzymy plik .htaccess w głównym katalogu naszej strony i wklejamy do niego:
RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R=301,L]


* Informacje zawarte tutaj są bazowane na własnym doświadczeniu, jeżeli któraś z informacji się nie zgadza, lub wprowadzam czymś w błąd, proszę o kontakt.
** Wpis będzie aktualizowany. Ostatnia aktualizacja: 22/12/2018
« Ostatnia zmiana: 22 Grudzień 2018, 12:29 wysłana przez CrimeS »

*

Offline js

  • *
  • 414
  • 22
  • Płeć: Mężczyzna
  • Wersja SMF: 2.0.15
Odp: [FAQ] Certyfikat SSL - co to jest? Jak działa?
« Odpowiedź #1 dnia: 5 Lipiec 2019, 12:06 »