HTTPS na blogu
Jak ostatnio mogliście zauważyć pojawiła się zielona kłódka obok mojego adresu bloga. Spowodowane jest to tym, że postanowiłem skorzystać z oferty StartSSL i zainstalować darmowy certyfikat. Co prawda nie jest to tak profesjonalne rozwiązanie jak instalacja płatnego certyfikatu, jednak zapewnia minimalny poziom bezpieczeństwa na stronie. Protokołu HTTPS używa się po to, żeby szyfrować ruch na stronie internetowej, tak aby osoby, które mogą przechwycić nasz ruch sieciowy nie mogły podejrzeć co przesyłamy na konkretną stronę. Jest to rozwiązanie stosowane przez większość sklepów internetowych, wielkie firmy czy banki. Certyfikaty zapewniają nas, że strona, na którą wchodzimy zabezpiecza nas przed najprostszymi atakami. Ruch sieciowy podejrzeć jest bardzo łatwo. Są za darmo dostępne narzędzia, który taki ruch mogą podglądać. Między innymi takie narzędzia zapewnia Kali Linux. Jest to system przeznaczony do wykonywania testów penetracyjnych. Niektórzy jednak te narzędzia mogą używać do ataków, które są niedozwolone prawnie. Ale to jest tylko narzędzie.
Jakie są zalety posiadania certyfikatu SSL?
Jedną z najważniejszych zalet jest to, że strona z certyfikatem zabezpiecza nas szyfrując dane, które wysyłamy i dostajemy. Ostatnio robi się również głośno, ponieważ Google zaczął traktować strony z certyfikatem za bardziej zaufane i stawia je wyżej w wynikach wyszukiwania. Gdy osoba wchodząca na stronę internetową widzi kłódkę to bardziej ufa stronie internetowej. Wadą tego rozwiązania może być to, że strony po https mogą być wolniejsze od standardowych stron. Ale mimo to myślę, że bezpieczeństwo powinno przeważać nad prędkością ładowania.
Oczywiście darmowy certyfikat nie zapewnia takiego bezpieczeństwa jak inne certyfikaty, które możemy kupić. W zależności od klasy certyfikatu oprócz domeny mogą być sprawdzane dane organizacji, która ubiega się o certyfikat (Organization Validation) o której informacje można podejrzeć przy informacjach o certyfikacie. Klasa certyfikatu Extended Validation zapewnia jeszcze większy poziom zabezpieczenia. Oprócz standardowej kłódki można zauważyć zielony pasek adresu. Najczęściej tego certyfikatu używają banki lub wielkie korporacje.
Darmowe certyfikaty
Oprócz płatnych certyfikatów można spróbować pobawić się darmowymi certyfikatami od COMODO, które zapewniają podstawowy poziom zabezpieczeń. Certyfikaty można uzyskać na stronie StartSSL. Ostatnio spotkałem się również z projektem Let’s Encrypt, która jest w fazie beta. Jednak nie miałem czasu ani możliwości zapewnić się na jakiej zasadzie u nich te certyfikaty działają. Wiem tylko, że instalacja certyfikatu działa trochę na innej zasadzie niż ze standardowymi.
Czy warto instalować certyfikaty na statycznych stronach internetowych? Według mnie to trochę przerost nad treścią. W każdym bądź razie może to być mały szczegół budujący zaufanie do firmy. Na pewno certyfikat powinien być na stronach gdzie podawane są dane osobowe.
