Czym są certyfikaty SSL i dlaczego ich prawidłowe wykorzystanie jest z punktu widzenia prowadzącego stronę www tak istotne? Aby odpowiedzieć sobie na to pytanie, musimy najpierw sięgnąć do historii informatyki i Internetu. Protokół komunikacji SSL (ang. Secure Socket Layer) oraz jego współczesny następca, TSL (Transport Layer Security), zostały zaprojektowane (pierwotnie przez firmę Netscape Communications) celem zapewnienia poufności i integralność transmisji danych. W praktyce polega to przede wszystkim na uwierzytelnianiu serwera w oparciu o szyfrowanie danych i certyfikaty cyfrowe.
Jak to działa?
Certyfikaty stosowane w protokole SSL to specjalne pliki zawierające nazwę domeny, dla której dany certyfikat jest wystawiony. Weryfikacją prawa danej osoby lub instytucji do posługiwania się domeną zajmują się specjalne Urzędy Certyfikacji (CA). W praktyce najczęściej osoba uprawniona wysyła do urzędu swój klucz publiczny (specjalnie wygenerowany, niepowtarzalny i niemożliwy do odgadnięcia ciąg znaków), nazwę domeny, oraz wszelkie dodatkowe dane potrzebne do wygenerowania certyfikatu w postaci żądania podpisania certyfikatu. Po przejściu przez taką weryfikację certyfikat jest podpisywany i uznany przez przeglądarkę za bezpieczny. Jeżeli jednak z kolei jakiś serwer przedstawi nam certyfikat nieznany, niezaufany, czyli niepodpisany przez CA, w większości przeglądarek lub klientów poczty i innych programów w czasie próby nawiązania połączenia szyfrowanego użytkownik zobaczy ostrzeżenie.
Dlaczego warto?
SSL jest protokołem sieciowym używanym do bezpiecznych połączeń internetowych. Został opracowany przez firmę Netscape i powszechnie go przyjęto jako standard szyfrowania na WWW. Zwykłe, niezabezpieczone strony i formularze www są przesyłane w Internecie bez żadnego zabezpieczenia, tzw. otwartym tekstem. Może on być dość łatwo przechwycony przez osoby trzecie. Jeśli jednak nasz serwer ma zainstalowany protokół SSL do komunikacji z przeglądarką, informacje te są przesyłane w sieci w postaci zaszyfrowanej. W momencie nawiązania połączenia ze stosującą certyfikaty SSL stroną następuje ustalenie algorytmów oraz kluczy szyfrujących, stosowanych następnie przy przekazywaniu danych między przeglądarką a serwerem.
Generalnie więc istnieją trzy rodzaje stron internetowych: strony bez żadnych certyfikatów, czyli wszystkie witryny amatorskie oraz strony nie wymagające interakcji z użytkownikiem i przesyłania danych, strony posiadające własne certyfikaty nie zarejestrowane w CA (czyli z naszego punktu widzenia niezaufane), oraz strony certyfikowane oficjalnie, zarejestrowane w CA – rejestracja taka kosztuje i dlatego nie każdy certyfikat zostaje zarejestrowany. Dla nas jako użytkowników sklepów internetowych i innych witryn wymagających podawanie danych poufnych najbezpieczniejsze są oczywiście te ostatnie. Z kolei właścicielom stron i sklepów certyfikaty bezpieczeństwa SSL gwarantują bezpieczeństwo wszelkich danych przesyłanych drogą elektroniczną oraz dodatkowo potwierdzają wiarygodność odwiedzanych stron internetowych. Jeśli certyfikat jest ponadto zainstalowany po stronie klienta, może on uwiarygodniać komputer/adres kontrahenta, który loguje się do np. na stronę sklepu. Stosowanie certyfikatów jest obecnie zalecane przez GIODO (Generalnego Inspektora Ochrony Danych Osobowych) i stanowi wypełnienie obowiązku ochrony transmisji danych osobowych, jaki na administratorach i właścicielach serwerów stron WWW nakłada Ustawa o ochronie danych osobowych.