Przed czym zabezpiecza certyfikat SSL?


Czym jest certyfikat SSL?

Certyfikat SSL (ang. Secure Socket Layer) jest to protokół zabezpieczający m.in. strony WWW, API zapewniający im poufność i integralność transmisji danych. Często można zauważyć, że przed adresem strony internetowej znajduje się kłódka lub wyświetla się on na zielono. Dzieje się tak, ponieważ właściciel danej domeny zabezpieczył ją właśnie takim certyfikatem. Wyróżniamy trzy poziomy walidacji określające bezpieczeństwo danej strony:

  • Certyfikaty DV (Domain Validation) są to najtańsze, a zarazem najszybsze do uzyskania warianty certyfikatu. Weryfikują one jedynie własność domeny, a dokładniej informacje, które są zawarte w serwerach DNS. Użytkownik nie ma wglądu w informacje dotyczące podmiotu posiadającego ten certyfikat.
  • Certyfikaty OV (Full Organization Validation) – w tym wariancie wystawca certyfikatu sprawdza tożsamość podmiotu ubiegającego się o wystawienie certyfikatu oraz sprawdza, czy jest on właścicielem domeny. Użytkownik ma wgląd w informacje o właścicielu domeny. Z powodu dłuższej walidacji ten wariant jest droższy od certyfikatu DV.
  • Certyfikaty EV (Extended Validation) są to najdroższy z certyfikatów, na których wystawienie użytkownik może czekać aż 10 dni. Ten wariant posiada najbardziej rozbudowaną weryfikację, gdyż wymaga potwierdzenia tożsamości podmiotu starającego się o dany certyfikat. Odbywa się ona drogą telefoniczną, a w przypadku, gdy firma działa mniej niż 3 lata, konieczna jest weryfikacja rachunków bankowych. Te certyfikaty posiadają nie tylko kłódkę przed adresem domeny, ale również zielony pasek adresu.

Przed czym chroni certyfikat SSL?

Ataki phishingowe

Ataki typu phishing mają na celu wyłudzenie od ofiary potrzebnych atakującemu danych, takich jak numery kart kredytowych, kont bankowych, haseł oraz innych wrażliwych informacji. Atakujący podszywa się wówczas pod inną osobę. Ataki mogą przybrać na przykład formę wiadomości e-mail, w której zostaniesz poproszony o zalogowanie się do swojego banku. Musisz więc uważać, czy link w wiadomości jest faktycznie linkiem do Twojego banku. Tego typu instytucje w znacznej większości przypadków zabezpieczają swoje strony certyfikatem SSL. Sprawdź wówczas, czy:

  • adres strony, którą odwiedzasz, jest poprawny — często zdarza się, że zmieniona jest kolejność liter lub końcówka domeny jest inna, niż w prawdziwym adresie, a wygląd strony pozostaje niezmieniony
  • stronę zabezpiecza protokół HTTPS — adres powinien zaczynać się od https, nie od http
  • zielona kłódka przy adresie — po kliknięciu tej kłódki, możesz sprawdzić, kto dany certyfikat wystawił:
SSL-kłódka przy adresie
Przykładowo, taka kłódka znajduje się przy adresie naszego bloga
Certyfikat SSL na blogu AZ.pl
Podczas wyświetlania certyfikatu możemy m.in. sprawdzić, kto go wystawił
Witryna zabezpieczona certyfikatem SSL
Po wybraniu kłódki wyświetla się następujące okienko

Podsłuchiwanie i sniffing

Co się dzieje w momencie otwarcia strony WWW? Gdy klikamy w dany link, przeglądarka wysyła do serwera pewne zapytanie. W rezultacie, z serwera do przeglądarki wysyłane są wszystkie pliki potrzebne do otwarcia danej strony: kod HTML, JavaScript oraz pliki CSS. Gdy używamy do danego połączenia certyfikatu SSL, dane te w czasie przesyłania są szyfrowane. Bez takiego zabezpieczenia, atakujący na różne sposoby mogą te dane modyfikować lub przechwycić. Czym różni się podsłuchiwanie od sniffingu? Sniffing polega na odczytywaniu lub monitorowaniu całych pakietów danych, podczas gdy podsłuchiwanie jest to znajdowanie fragmentarycznych pakietów zamiast tych kompletnych. Istnieje wiele darmowych aplikacji służących do tego typu czynności (np. Wireshark). W ten sposób atakujący mogą wykraść m.in. loginy, hasła, numery kont i kart bankowych, CVV itp.

Wykorzystywanie wrażliwych danych

Istnieje wiele metod na wykorzystanie pozyskanych danych. Wszystko zależy od tego, jakie informacje pozyskał atakujący. Stosunkowo małą szkodliwość ma pozyskanie hasła np. do portalu społecznościowego (o ile nie widnieją tam prywatne dane jak np. numer telefonu, e-mail czy adres zamieszkania). Znacznie większe szkody może przynieść włamanie do konta bankowego. Wówczas atakujący może ukraść nasze pieniądze, jak również wyżej wymienione dane. Jeżeli posiadasz firmę, atakujący mogą wykraść dane Twoich klientów. W takiej sytuacji może on zażądać od Ciebie pieniędzy w zamian za ich niepublikowanie. Pamiętaj, że każdy wyciek danych wiąże się z koniecznością poinformowania o nim w ciągu 72 godzin od wykrycia nie tylko Twoich klientów, ale również odpowiedniego organu nadzorczego. Jeżeli tego nie zrobisz, może na Ciebie zostać nałożona kawa nawet 20 milionów euro, a klienci mogą domagać się odszkodowań!

SSL — nie tylko zabezpieczenie

SSL to nie tylko zielona kłódka i protokół https. Najpopularniejsza na świecie przeglądarka Google wyżej wyświetla strony zabezpieczone tym certyfikatem niż jakiekolwiek inne. Z czym się to wiąże? Oczywiście z większym zainteresowaniem Twoją stroną. Nie jest żadną tajemnicą, że użytkownicy klikają w najwyższe linki w wyszukiwarkach. Zastanów się, jak często zdarza Ci się szukać jakiejś informacji dalej niż na pierwszej stronie w wyszukiwarce. A teraz pomyśl, z jaką frustracją wiąże się niemożność odnalezienie potrzebnej informacji od razu. Z tych informacji wniosek nasuwa się sam — im wyżej strona się wyświetla, tym lepiej. Oczywiście certyfikat nie jest jedynym czynnikiem, który na to wpływa — mimo to jest bardzo ważny.

Certyfikat SSL daje zarówno zabezpieczenie Twoich domen, jak i lepsze pozycjonowanie. Pamiętaj, że znacznie prościej jest zapobiegać atakom niż łagodzić ich skutki. Bezpieczeństwo jest zawsze w cenie.