Co to jest SSL (ang. Secure Socket Layer)

Nie będziemy skupiać się na tym, czym dokładnie jest certyfikat SSL, jak działa i jakie mamy jego rodzaje, bo nie to jest przedmiotem tego artykułu. Skupimy się na korzyściach wynikających z posiadania takiego rozwiązania. Nie mniej jednak, aby mieć ogólną świadomość co to jest, to pisząc podręcznikowo i najbardziej zwięźle: to protokół umożliwiający bezpieczną transmisję danych pomiędzy naszym komputerem a serwerem z którym się łączymy. W praktyce serwer to najczęściej strona internetowa lub poczta. Stronę internetową możemy poznać po adresie, który zaczyna się prefiksem https:// a nie jak w przypadku zwykłej strony rozpoczynającej się  od http://
Bezpieczna strona

Jakie korzyści płyną z posiadania certyfikatu?

Przede wszystkim bezpieczeństwo. Strony internetowe i skrzynki pocztowe posiadające tego typu rozwiązanie w znacznym stopniu zmniejszają ryzyko kradzieży hasła i tym samym poufnych danych. Jak w praktyce wygląda taka kradzież? Logując się na swoją skrzynkę pocztową przez przeglądarkę lub poprzez program pocztowy (np. Outlook, Thunderbird), czy  logując się do panelu administracyjnego strony internetowej zawsze następuje transmisja danych – w tym wszystkich danych poufnych: loginów, haseł, numerów kart kredytowych itp. To jeden z momentów, w którym nasze poufne informacje mogą zostać przejęte. Jak? W rozwiązaniach nieposiadających certyfikatu SSL w momencie  logowania dane są przesyłane otwartym tekstem. Nie są szyfrowane. W związku z tym programy szpiegujące, czy chociażby teoretycznie administratorzy lokalnych dostawców internetu bez problemu mogą podejrzeć nasz login i hasło.

Zobacz, jak wygląda to w praktyce

W przypadku użycia certyfikatów dane są widoczne w zaszyfrowanej formie.  Dla celów tego artykułu zostały przygotowane screeny, w których w praktyce widać w jaki sposób to działa. Tutaj posłużyliśmy się przykładowymi danymi, gdzie loginem  jest test@test.pl a hasłem słowo: haslo. Na poniższych screenach widać jak w praktyce wygląda moment logowania na zaplecze zwykłej strony internetowej oraz strony posiadającej certyfikat. Na pierwszej prezentacji zaznaczony został fragment kodu w którym widać nasze dane logowania. W przypadku strony posiadającej SSL te informacje są zaszyfrowane:

Certyfikat SSL

Certyfikat nie daje oczywiście 100% pewności, nie mniej jednak zwiększa to bardzo mocno bezpieczeństwo. Nie bez powodu wiele portali internetowych typu Onet, Interia oferujących usługę skrzynek pocztowych, czy wszystkie serwisy, w których jest możliwość logowania np. Google, Facebook od dawna, lub od zawsze swego istnienia mają zainstalowany taki certyfikat.

Kradzież danych. Jakie są tego konsekwencje?

Zdecydowana większość kradzieży loginów i haseł wykorzystujących brak certyfikatu dokonuje się przez różnego rodzaju wirusy i programy szpiegujące znajdujące się na komputerze. Personalne ataki są tu w zdecydowanej mniejszości. Przejęcie dostępu do skrzynek pocztowych najczęściej jest wykorzystywana do wysyłania spamu przez nasz adres e-mail. W konsekwencji nasza skrzynka jest blokowana, a nasz adres e-mail traktowany jest jak adres spamowy, w związku z tym jeszcze przez dłuższy czas nasze wysyłane wiadomości będą blokowane przez systemy antyspamowe i nie będą docierać do adresata.

W przypadku kradzieży danych umożliwiających logowanie do zaplecza strony internetowej najczęstszym skutkiem jest kradzież adresów e-mail naszych Klientów (np. w celu wysyłania różnego rodzaju spamu). Przejęcie tych informacji umożliwia często również wysyłanie spamu poprzez samą stronę internetową.  Tutaj skutków może być znacznie więcej: strona może przestać działać, a w skrajnych wypadkach umożliwia podłożenie innej witryny np. spreparowanej strony banku celem wyłudzenia danych dostępowych do konta bankowego.

Pomijajmy tutaj cały aspekt konsekwencji prawnych w przypadku wycieku wrażliwych danych np. danych osobowych z naszego sklepu internetowego, numerów kart kredytowych itp.

Ochrona Danych osobowych. Nowe przepisy RODO

Każda strona internetowa, która zawiera dane osobowe podlega Generalnemu Inspektorowi Ochrony Danych Osobowych. W praktyce jest to każdy sklep internetowy i część stron www zawierających panel administracyjny. GIODO nie narzuca użycia protokołu SSL ale go zaleca. W maju br. w życie wchodzą nowe rozporządzenia unijne, które zmieniają zasady postępowania z danymi osobowymi. Nowe przepisy mają wymóc na przedsiębiorcach i instytucjach w Unii Europejskiej wyższy poziom bezpieczeństwa. Na dzień dzisiejszy nic nie wskazuje, aby nowe przepisy wymagały użycia takiego certyfikatu.

Google premiuje strony zawierające certyfikat SSL

Ostatnim argumentem dla firm posiadających strony internetowe to fakt, że Google premiuje strony z certyfikatem. Google wiedząc, jak ważną rolę odgrywa SSL już w 2011 roku wprowadził algorytm wyszukiwania, w którym strony z certyfikatem były „traktowane nieco lepiej”, co mogło przełożyć się na wyższą pozycję strony internetowej.  Oczywiście na pozycjonowanie  wpływa szereg innych ważniejszych elementów, nie mniej jednak, jeżeli światowy potentat zwraca na to uwagę, to nie bez powodu. Od tamtego czasu Google dokonał szereg zmian i wszystko wskazuje na to, że posiadanie certyfikatu ma i będzie miało coraz większy wpływ na postrzeganie naszych stron www przez giganta z Krzemowej Doliny.