SSL/TLS - Bezpieczna komunikacja

Każdemu, kto tworzy stronę WWW i umieszcza ją w sieci zależy zarówno na jej wyglądzie, funkcjonalności jak i bezpieczeństwie. Zarówno strony komercyjne oraz prywatne coraz częściej w celu ochrony komunikacji pomiędzy użytkownikiem, a serwerem wykorzystują protokół SSL.

Popularne protokoły wykorzystywane do komunikacji w sieci Internet (np. HTTP, FTP, POP3, SMTP, IMAP) nie oferują w standardzie jakichkolwiek zabezpieczeń związanych z poufnością przesyłanych danych. Użytkownik logując się do swojej poczty lub odwiedzając dowolną stronę domyślnie wysyła i odbiera dane w formie “czystego” tekstu. Dane te pokonują ogromne odległości za pośrednictwem bardziej i mniej zaufanych sieci, gdzie są narażone na ich podsłuchanie lub nawet modyfikację. Podsłuchanie hasła do naszej skrzynki pocztowej, konta bankowego lub podmiana numeru konta bankowego, gdy robimy przelew jest chyba najmniej pożądanym przez wszystkich zdarzeniem.

Aby uniknąć tego typu sytuacji powstał właśnie SSL. Sam protokół SSL (ang. Secure Socket Layer) został stworzony i ustandaryzowany w połowie lat dziewięćdziesiątych ubiegłego stulecia. Od tego czasu przeszedł małą ewolucję przez kolejne wersje, aż do jego następcy w postaci TLS (ang. Transport Layer Security).

Szyfrowanie komunikacji odbywa się zwykle w sposób asymetryczny, czyli za pomocą dwóch kluczy - prywatnego i publicznego. Klucz publiczny jest przekazywany nadawcy w sposób jawny i pozwala on wyłącznie na zaszyfrowanie komunikatu. Tak zabezpieczoną wiadomość może odczytać dopiero odbiorca, który posiada klucz prywatny.

Mimo iż po zagłębieniu się w pełną specyfikację protokołu SSL może się wydać on dosyć skomplikowany, to sama procedura zabezpieczenia strony już taka nie jest.
W celu otrzymania certyfikatu SSL w pierwszej kolejności należy wygenerować plik CSR (ang. Certificate Signing Request). Plik ten stanowi żądanie o wygenerowanie klucza prywatnego i zawiera takie informacje jak na przykład nazwę domeny strony WWW jaka ma być chroniona przez certyfikat. Taki plik przekazujemy do CA (ang. Certificate Authority), czyli zaufanego Centrum Certyfikacji, które jest upoważnione do wystawiania i podpisywania klucza prywatnego.
Dzięki tej procedurze wygenerowany w ten sposób certyfikat SSL będzie dodatkowo poświadczał wiarygodność naszej strony, a wejście na naszą stronę nie zakończy się komunikatem iż połączenie jest niezaufane.
Po poprawnym zainstalowaniu certyfikatu na serwerze i wejściu na chronioną stronę w pasku adresu przeglądarki powinna się pojawić zielona kłódka informująca iż komunikacja ze stroną jest szyfrowana.

greenssl.png


Do tej pory uzyskanie certyfikatu SSL wiązało się zwykle ze sporymi kosztami, jednak od pewnego czasu działa projekt Let’s Encrypt, którego głównym celem jest umożliwienie każdemu całkowicie za darmo i automatycznie wygenerować zaufany certyfikat SSL.

Szyfrowanie komunikacji posiada jednak pewne minusy. Proces ten wymaga od serwera na wykorzystanie dodatkowej mocy obliczeniowej, co często staje się celem ataków DDoS mających na celu przeciążyć i zablokować dostęp do usługi. Aby uniknąć takich sytuacji warto skorzystać z profesjonalnych usług chroniących przed atakami i dodatkowo akcelerujących proces szyfrowania. Taka funkcjonalność jest dostępna w pakietach ochrony świadczonej przez GreyWizard.

Dodatkową zaletą posiadania certyfikatu SSL i odpowiedniej konfiguracji serwera jest lepsza pozycja strony WWW w wyszukiwarkach internetowych. Już w 2014 roku Google poinformowało, że strony umożliwiające na bezpieczne połączenia będą uzyskiwały lepszą rangę w wynikach wyszukiwania niż pozostałe.

Jeśli komuś zależy na budowaniu wiarygodności swojej strony, zaufaniu klientów i bezpieczeństwie przesyłanych danych warto by skorzystał możliwości jakie daje projekt Let’s Encrypt, a w celu zabezpieczenia strony oraz usług świadczonych przez GreyWizard w celu zabezpieczenia serwera przed atakami.



Brak komentarzy :

Prześlij komentarz