Zielona kłódka, czyli bezpieczne strony internetowe

Po co mi certyfikat?

Zapewne zauwa­ży­łeś, wcho­dząc na strony banków, portali spo­łecz­no­ścio­wych albo nie­któ­rych firm, że obok adresu www wyświe­tla się zielona kłódka. Prze­glą­darka inter­ne­towa w ten sposób infor­muje swoich użyt­kow­ni­ków, że komu­ni­kuje się z ser­we­rem za pomocą bez­piecznego połą­cze­nia. W prak­tyce oznacza to, że wszyst­kie dane docie­ra­jące z serwera do kom­pu­tera oraz odwrot­nie, czyli z kom­pu­tera do serwera, na którym znaj­duje się odwie­dzana strona, są nie­moż­liwe do odczy­ta­nia przez osobę nie­po­sia­da­jącą klucza.

Zle­ca­jąc przelew lub pisząc wia­do­mość w komu­ni­ka­to­rze, prze­sy­łasz do serwera ciąg pry­wat­nych infor­ma­cji, adre­su­jąc je do kon­kret­nej osoby lub insty­tu­cji. Nie chcesz, żeby takie dane były publicz­nie dostępne. Twoje hasła do banku, numery kont lub prezent zamó­wiony w tajem­nicy przed obda­ro­wa­nym — to wszystko mieści się w sferze „ważne”, „war­to­ściowe” oraz „pry­watne”.

Firmy opie­ra­jące swoją dzia­łal­ność o masowe prze­twa­rza­nie danych wiedzą o tym dosko­nale, dlatego szy­fro­wane połą­cze­nia są w tym przy­padku czymś nor­mal­nym. Jeżeli posia­dasz swojego pry­watnego bloga lub inter­ne­tową wizy­tówkę firmy, naj­pew­niej nie zaprzą­ta­łeś sobie głowy cer­ty­fi­katami SSL, szy­fro­wa­niem i zieloną kłódką. Nawet jeżeli rozu­miesz różnicę pomię­dzy połą­cze­niem bez­piecz­nym a zwykłym, inwe­sty­cja kil­ku­dzie­się­ciu złotych rocznie w cer­ty­fi­kat SSL dla domeny wyda­wała się zbędna.

Prze­cież nie jestem bankiem, nikt nie zakłada kont na mojej stronie www, a w for­mu­la­rzu kon­tak­to­wym klienci nie podają danych pouf­nych. Po co mi cer­ty­fi­kat?

Budo­wa­nie zaufa­nia do mar­ki­

Jesz­cze do nie­dawna obec­ność zie­lo­nej kłódki obok adresu strony w wielu przy­pad­kach była jedynie pomi­jal­nym dodat­kiem. Z czasem prze­glą­darki nauczyły się infor­mo­wać swoich użyt­kow­ni­ków, że nie korzy­stają z bez­piecz­nych połą­czeń.

Przy­kła­dowo, Firefox począw­szy od wersji 52, do pól logo­wa­nia dokleja komunikat, że połą­cze­nie nie jest bez­pieczne i może skut­ko­wać wykrad­nię­ciem haseł. Być może nie pro­wa­dzisz sprze­daży inter­ne­to­wej w ramach swojej strony www i nie nara­żasz użyt­kow­ni­ków na straty wyni­ka­jące z wycieku ich danych, ale jeżeli posia­dasz system zarzą­dza­nia treścią (np. WordPress), logu­jesz się do niego, wpro­wa­dza­jąc login i hasło. Jeżeli połą­cze­nie nie jest szy­fro­wane, zarówno login, jak i hasło są prze­sy­łane do serwera w postaci zwy­kłego tekstu.

A niech się włamują, nie mam tam nic ważnego, naj­wy­żej przy­wrócę kopię zapa­sową sprzed mie­siąca.

Zasta­nów się jednak co w przy­padku, gdy z tego samego hasła korzy­stasz w swojej skrzynce pocz­towej lub mediach spo­łecz­no­ścio­wych? To bardzo powszechna prak­tyka u osób nie­ko­rzy­sta­ją­cych z mene­dże­rów haseł i jest całkiem praw­do­po­dobne, że dotyczy również Ciebie.

Google Chrome — obecnie naj­po­pu­lar­niej­sza prze­glą­darka inter­ne­towa, używana przez 60% użyt­kow­ni­ków inter­netu — począw­szy od wersji 68, po wejściu na stronę nie­po­sia­da­jącą szy­fro­wa­nia, będzie infor­mo­wać użyt­kow­ni­ków o nie­za­bez­pie­czo­nym połą­cze­niu. Na pasku adresu, w miejscu zie­lo­nej kłódki, wyświe­tli infor­ma­cję „Niezabezpieczona”.

Słowo „Nie­za­bez­pie­czona” w towa­rzy­stwie adresu strony inter­ne­to­wej nie jest dobrą reko­men­da­cją i może dawać złu­dze­nie, że wła­ści­ciel strony nie trak­tuje poważ­nie swoich odbior­ców. Szkoda pie­nię­dzy wyda­nych na świetny design strony i pro­fe­sjo­nal­nie przy­go­to­wane teksty mar­ke­tin­gowe, jeżeli odbiorca uciek­nie w poczu­ciu zagro­że­nia.

Komu­ni­kat „Nie­za­bez­pie­czona” odnosi się po prostu do braku szy­fro­wa­nia podczas trans­mi­sji danych. Jednak zało­że­nie, że czy­tel­nik ma wiedzę tech­niczną, która pozwala mu obiek­tyw­nie ocenić stopień zagro­że­nia, jest ryzy­kowne. Odnoszę wra­że­nie, że jest znacz­nie bar­dziej praw­do­po­dobne, że wiele osób zin­ter­pre­tuje ten komu­ni­kat jako „Nie­bez­pieczna”, co na pewno nie zachęci ich do pozo­sta­nia na stronie.

Jak uzyskać darmowy cer­ty­fi­kat SSL?

W rze­czy­wi­sto­ści stronę możemy zabez­pie­czyć, nie wydając zło­tówki na cer­ty­fi­kat SSL. Wystar­czy hosting, który współ­pra­cuje z plat­formą Let’s Encrypt ofe­ru­jącą darmowe cer­ty­fi­katy, gene­ro­wane i odna­wiane auto­ma­tycz­nie co trzy mie­siące. Let’s Encrypt jest peł­no­war­to­ścio­wym cer­ty­fi­katem typu Domain Vali­da­tion i w prak­tyce nie różni się od komer­cyj­nych cer­ty­fi­ka­tów tego samego poziomu (DV).

Zapytaj swój hosting czy umoż­li­wia gene­ro­wa­nie cer­ty­fi­ka­tów Let’s Encrypt dla Twojego konta i jeżeli jest taka moż­li­wość — prze­łącz swoją stronę na ruch szy­fro­wany już dziś. Przy odpo­wied­niej kon­fi­gu­ra­cji prze­kie­ro­wań z ruchu nie­szy­fro­wa­nego na szy­fro­wany, takie roz­wią­za­nie jest wolne od wad i ryzyka. Nie stra­cisz pozycji w Google (w prak­tyce zapewne znaj­dziesz się kilka miejsc wyżej), a wszyst­kie zewnętrzne serwisy połą­czone ze stroną powinny działać bez żadnych mody­fi­ka­cji (reCapt­cha, Ana­ly­tics, Face­book Pixel, etc.).

Zabez­pie­cze­nie strony z wyko­rzy­sta­niem serwisu Clo­ud­flare

Clo­ud­flare to glo­balna, roz­pro­szona sieć dostar­cza­nia treści (CDN — Content Deli­very Network). To roz­wią­za­nie, które pozwala ładować zawar­tość Twojej strony inter­ne­to­wej z serwera CDN znaj­du­ją­cego się geo­gra­ficz­nie naj­bli­żej. Serwery CDN nie ogra­ni­czają się jedynie do obrazów, ale mogą również ofe­ro­wać pamięć pod­ręczną dla więk­szo­ści ele­men­tów wystę­pu­ją­cych na stronie, dzięki czemu Twoja strona będzie otwie­rać się szybko zarówno w Austra­lii, jak i Kana­dzie.

Clo­ud­flare posiada oczy­wi­ście plany premium, ale wyróż­nia się planem dar­mo­wym, dostęp­nym prak­tycz­nie dla każdego. Od pewnego czasu, również w dar­mo­wej wersji, domeny skon­fi­gu­ro­wane w Clo­ud­flare mogą korzy­stać z pełnego szy­fro­wa­nia SSL. Jest to roz­wią­za­nie alter­na­tywne dla cer­ty­fi­ka­tów Let’s Encrypt, ofe­ru­jące dodat­kową warstwę bez­pie­czeń­stwa (np. zabez­pie­cze­nie przed atakami typu DDoS) oraz przy­spie­sza­jące łado­wa­nie się stron — szcze­gól­nie jeżeli posia­damy wiele odwie­dzin z zagra­nicy.

W prak­tyce Clo­ud­flare działa jak roz­pro­szony system DNS – aby z niego skorzy­stać, musimy prze­kie­ro­wać domenę na serwery Clo­ud­flare. Cała opty­ma­li­za­cja dostar­cza­nia treści jest auto­ma­tyczna i nie wymaga zaawan­so­wa­nej kon­fi­gu­ra­cji po naszej stronie. To bardzo ele­ganc­kie roz­wią­za­nie, szcze­gól­nie dla firm nie­po­sia­da­ją­cych budżetu na dedy­ko­wane systemy CDN.

Przy­stępny, bez­pieczny i szybki hosting zapew­nia­jący cer­ty­fi­katy Let’s Encrypt oraz inte­gra­cję z Clo­ud­flare

Liczba usłu­go­daw­ców zapew­nia­jących wspar­cie dla Let’s Encrypt powięk­sza się z mie­siąca na miesiąc. Wciąż jednak nie­wielu może zaofe­ro­wać inte­gra­cję z API Clo­ud­flare, która pozwala na zdalne czysz­cze­nie pamięci cache CDN lub auto­ma­tyczną kon­fi­gu­ra­cję sub­do­men.

Jeżeli szukasz opty­mal­nego roz­wią­za­nia dla swojej strony inter­ne­to­wej (lub wielu ser­wi­sów na raz), zapo­znaj się z ofertą firmy dho­sting, która zapew­nia:

• Jeden, ela­styczny plan hostin­gowy z moż­li­wo­ścią ska­lo­wa­nia w roz­li­cze­niu godzi­no­wym (płacisz za zasoby z pełną kon­trolą ich wyko­rzy­sta­nia);
• Pełną inte­gra­cję i auto­ma­tyczne gene­ro­wa­nie cer­ty­fi­ka­tów Let’s Encrypt;
• Inte­gra­cję z API Clo­ud­flare, czyniąc współ­pracę z CDN zupeł­nie bez­wy­sił­kową – nie musisz nawet zakła­dać konta;
• Naj­now­sze wersje inter­pre­tera skryp­tów PHP (w tym 7.2);
• Szybki serwer WWW LiteSpeed (zamiast Apache) ze wspar­ciem dla LiteSpeed Cache dla WordPress;
• Darmowe prze­nie­sie­nie ist­nie­ją­cych ser­wi­sów oraz skrzy­nek pocz­to­wych;
• Feno­me­nalne wspar­cie – admi­ni­stra­to­rzy roz­wią­zują pro­blemy zwykle do godziny od zgło­sze­nia i komu­ni­kują się języ­kiem zro­zu­mia­łym dla osób nie­zwią­za­nych z branżą IT;
• Autor­ski, czy­telny i przy­ja­zny użyt­kow­ni­kowi panel zarzą­dza­nia hostin­giem (do końca marca zosta­nie uru­cho­miony nowy, jeszcze lepszy panel);
• Kon­ku­ren­cyjne zasoby pod­sta­wowe – nawet bez uru­cho­mie­nia ela­stycz­nego ska­lo­wa­nia otrzy­masz 1 GB RAM oraz 50 GB powierzchni dys­ko­wej nie­za­leż­nie od zawar­to­ści (nie musisz dekla­ro­wać podziału na skrzynki pocz­towe oraz system plików).

Z usług dho­sting korzy­stam osobiście oraz z suk­ce­sem polecam moim klien­tom. Dla czy­tel­ni­ków bloga oferuję 15% rabat na konto hostin­gowe. Aby uzyskać rabat, sko­rzy­staj z przy­ci­sku umiesz­czo­nego poniżej lub podczas reje­stra­cji podaj kod ’szmigiel’.

Czy szy­fro­wa­nie strony inter­ne­to­wej ma wpływ na wydaj­ność?

Tak. Koniecz­ność szy­fro­wa­nia i odszy­fro­wa­nia danych wymaga czasu. W prak­tyce jest to jednak nie­zau­wa­żalne dla użyt­kow­ni­ków, a korzy­ści płynące z wdro­że­nia połą­cze­nia z wyko­rzy­sta­niem pro­to­kołu HTTPS mogą para­dok­sal­nie przy­czy­nić się do szyb­szego łado­wa­nia stron.

Uru­cho­mie­nie szy­fro­wa­nia pozwala wykorzy­stać tech­no­lo­gię HTTP/2 do prze­sy­ła­nia danych. Pro­to­kół ten wpro­wa­dza szereg opty­ma­li­za­cji do całego procesu komu­ni­ka­cji „serwer — klient” przy­czy­nia­jąc się do skró­ce­nia czasu potrzeb­nego na wyświe­tle­nie strony.

Warto również pamię­tać, że Google fawo­ry­zuje strony wyko­rzy­stu­jące ruch szy­fro­wany w wyni­kach wyszu­ki­wa­nia i jest to dodat­kowy argu­ment prze­ma­wia­jący za prze­łączeniem strony na HTTPS.

Pod­su­mo­wa­nie­

Warto roz­wa­żyć wdro­że­nie cer­ty­fi­katu SSL dla swojej strony inter­ne­to­wej. Nie jest to zadanie kosz­towne — wiele firm hostin­gowych oferuje darmowe cer­ty­fi­katy Let’s Encrypt, a w pozo­sta­łych przy­pad­kach możesz ręcznie prze­kie­ro­wać ruch za pośred­nic­twem serwisu Clo­ud­flare, zysku­jąc tym samym bez­pieczne połą­cze­nie.

W kon­tek­ście nad­cho­dzą­cych zmian w prze­glą­darkach inter­ne­to­wych brak szy­fro­wa­nia może sta­no­wić istotną barierę w pro­ce­sie budo­wa­nia zaufa­nia do marki. Słowo „Nie­za­bez­pie­czona” wystę­pu­jące w towa­rzy­stwie adresu raczej nie zachęci do zapo­zna­nia się z treścią strony.

Warto pamię­tać, że kon­se­kwen­cją upo­wszech­nie­nia się szy­fro­wa­nia jest także zwięk­sze­nie świa­do­mo­ści wśród użyt­kow­ni­ków inter­netu. Osoby, którym dotąd nie zale­żało na obec­no­ści zie­lo­nej kłódki w pasku adresu, mogą zacząć jej wymagać. W skraj­nych przy­pad­kach nie­po­sia­da­nie cer­ty­fi­katu może ozna­czać, że nasze treści w ogóle nie dotrą do użyt­kow­ni­ków — zostaną przez nich auto­ma­tycz­nie odrzu­cone w obawie przed nie­za­bez­pie­czo­nym połą­cze­niem.