Zielona kłódka, czyli bezpieczne strony internetowe
Po co mi certyfikat?
Zapewne zauważyłeś, wchodząc na strony banków, portali społecznościowych albo niektórych firm, że obok adresu www wyświetla się zielona kłódka. Przeglądarka internetowa w ten sposób informuje swoich użytkowników, że komunikuje się z serwerem za pomocą bezpiecznego połączenia. W praktyce oznacza to, że wszystkie dane docierające z serwera do komputera oraz odwrotnie, czyli z komputera do serwera, na którym znajduje się odwiedzana strona, są niemożliwe do odczytania przez osobę nieposiadającą klucza.
Zlecając przelew lub pisząc wiadomość w komunikatorze, przesyłasz do serwera ciąg prywatnych informacji, adresując je do konkretnej osoby lub instytucji. Nie chcesz, żeby takie dane były publicznie dostępne. Twoje hasła do banku, numery kont lub prezent zamówiony w tajemnicy przed obdarowanym — to wszystko mieści się w sferze „ważne”, „wartościowe” oraz „prywatne”.
Firmy opierające swoją działalność o masowe przetwarzanie danych wiedzą o tym doskonale, dlatego szyfrowane połączenia są w tym przypadku czymś normalnym. Jeżeli posiadasz swojego prywatnego bloga lub internetową wizytówkę firmy, najpewniej nie zaprzątałeś sobie głowy certyfikatami SSL, szyfrowaniem i zieloną kłódką. Nawet jeżeli rozumiesz różnicę pomiędzy połączeniem bezpiecznym a zwykłym, inwestycja kilkudziesięciu złotych rocznie w certyfikat SSL dla domeny wydawała się zbędna.
Przecież nie jestem bankiem, nikt nie zakłada kont na mojej stronie www, a w formularzu kontaktowym klienci nie podają danych poufnych. Po co mi certyfikat?
Budowanie zaufania do marki
Jeszcze do niedawna obecność zielonej kłódki obok adresu strony w wielu przypadkach była jedynie pomijalnym dodatkiem. Z czasem przeglądarki nauczyły się informować swoich użytkowników, że nie korzystają z bezpiecznych połączeń.
Przykładowo, Firefox począwszy od wersji 52, do pól logowania dokleja komunikat, że połączenie nie jest bezpieczne i może skutkować wykradnięciem haseł. Być może nie prowadzisz sprzedaży internetowej w ramach swojej strony www i nie narażasz użytkowników na straty wynikające z wycieku ich danych, ale jeżeli posiadasz system zarządzania treścią (np. WordPress), logujesz się do niego, wprowadzając login i hasło. Jeżeli połączenie nie jest szyfrowane, zarówno login, jak i hasło są przesyłane do serwera w postaci zwykłego tekstu.
A niech się włamują, nie mam tam nic ważnego, najwyżej przywrócę kopię zapasową sprzed miesiąca.
Zastanów się jednak co w przypadku, gdy z tego samego hasła korzystasz w swojej skrzynce pocztowej lub mediach społecznościowych? To bardzo powszechna praktyka u osób niekorzystających z menedżerów haseł i jest całkiem prawdopodobne, że dotyczy również Ciebie.
Google Chrome — obecnie najpopularniejsza przeglądarka internetowa, używana przez 60% użytkowników internetu — począwszy od wersji 68, po wejściu na stronę nieposiadającą szyfrowania, będzie informować użytkowników o niezabezpieczonym połączeniu. Na pasku adresu, w miejscu zielonej kłódki, wyświetli informację „Niezabezpieczona”.
Słowo „Niezabezpieczona” w towarzystwie adresu strony internetowej nie jest dobrą rekomendacją i może dawać złudzenie, że właściciel strony nie traktuje poważnie swoich odbiorców. Szkoda pieniędzy wydanych na świetny design strony i profesjonalnie przygotowane teksty marketingowe, jeżeli odbiorca ucieknie w poczuciu zagrożenia.
Komunikat „Niezabezpieczona” odnosi się po prostu do braku szyfrowania podczas transmisji danych. Jednak założenie, że czytelnik ma wiedzę techniczną, która pozwala mu obiektywnie ocenić stopień zagrożenia, jest ryzykowne. Odnoszę wrażenie, że jest znacznie bardziej prawdopodobne, że wiele osób zinterpretuje ten komunikat jako „Niebezpieczna”, co na pewno nie zachęci ich do pozostania na stronie.
Jak uzyskać darmowy certyfikat SSL?
W rzeczywistości stronę możemy zabezpieczyć, nie wydając złotówki na certyfikat SSL. Wystarczy hosting, który współpracuje z platformą Let’s Encrypt oferującą darmowe certyfikaty, generowane i odnawiane automatycznie co trzy miesiące. Let’s Encrypt jest pełnowartościowym certyfikatem typu Domain Validation i w praktyce nie różni się od komercyjnych certyfikatów tego samego poziomu (DV).
Zapytaj swój hosting czy umożliwia generowanie certyfikatów Let’s Encrypt dla Twojego konta i jeżeli jest taka możliwość — przełącz swoją stronę na ruch szyfrowany już dziś. Przy odpowiedniej konfiguracji przekierowań z ruchu nieszyfrowanego na szyfrowany, takie rozwiązanie jest wolne od wad i ryzyka. Nie stracisz pozycji w Google (w praktyce zapewne znajdziesz się kilka miejsc wyżej), a wszystkie zewnętrzne serwisy połączone ze stroną powinny działać bez żadnych modyfikacji (reCaptcha, Analytics, Facebook Pixel, etc.).
Zabezpieczenie strony z wykorzystaniem serwisu Cloudflare
Cloudflare to globalna, rozproszona sieć dostarczania treści (CDN — Content Delivery Network). To rozwiązanie, które pozwala ładować zawartość Twojej strony internetowej z serwera CDN znajdującego się geograficznie najbliżej. Serwery CDN nie ograniczają się jedynie do obrazów, ale mogą również oferować pamięć podręczną dla większości elementów występujących na stronie, dzięki czemu Twoja strona będzie otwierać się szybko zarówno w Australii, jak i Kanadzie.
Cloudflare posiada oczywiście plany premium, ale wyróżnia się planem darmowym, dostępnym praktycznie dla każdego. Od pewnego czasu, również w darmowej wersji, domeny skonfigurowane w Cloudflare mogą korzystać z pełnego szyfrowania SSL. Jest to rozwiązanie alternatywne dla certyfikatów Let’s Encrypt, oferujące dodatkową warstwę bezpieczeństwa (np. zabezpieczenie przed atakami typu DDoS) oraz przyspieszające ładowanie się stron — szczególnie jeżeli posiadamy wiele odwiedzin z zagranicy.
W praktyce Cloudflare działa jak rozproszony system DNS – aby z niego skorzystać, musimy przekierować domenę na serwery Cloudflare. Cała optymalizacja dostarczania treści jest automatyczna i nie wymaga zaawansowanej konfiguracji po naszej stronie. To bardzo eleganckie rozwiązanie, szczególnie dla firm nieposiadających budżetu na dedykowane systemy CDN.
Przystępny, bezpieczny i szybki hosting zapewniający certyfikaty Let’s Encrypt oraz integrację z Cloudflare
Liczba usługodawców zapewniających wsparcie dla Let’s Encrypt powiększa się z miesiąca na miesiąc. Wciąż jednak niewielu może zaoferować integrację z API Cloudflare, która pozwala na zdalne czyszczenie pamięci cache CDN lub automatyczną konfigurację subdomen.
Jeżeli szukasz optymalnego rozwiązania dla swojej strony internetowej (lub wielu serwisów na raz), zapoznaj się z ofertą firmy dhosting, która zapewnia:
- Jeden, elastyczny plan hostingowy z możliwością skalowania w rozliczeniu godzinowym (płacisz za zasoby z pełną kontrolą ich wykorzystania);
- Pełną integrację i automatyczne generowanie certyfikatów Let’s Encrypt;
- Integrację z API Cloudflare, czyniąc współpracę z CDN zupełnie bezwysiłkową – nie musisz nawet zakładać konta;
- Najnowsze wersje interpretera skryptów PHP (w tym 7.2);
- Szybki serwer WWW LiteSpeed (zamiast Apache) ze wsparciem dla LiteSpeed Cache dla WordPress;
- Darmowe przeniesienie istniejących serwisów oraz skrzynek pocztowych;
- Fenomenalne wsparcie – administratorzy rozwiązują problemy zwykle do godziny od zgłoszenia i komunikują się językiem zrozumiałym dla osób niezwiązanych z branżą IT;
- Autorski, czytelny i przyjazny użytkownikowi panel zarządzania hostingiem (do końca marca zostanie uruchomiony nowy, jeszcze lepszy panel);
- Konkurencyjne zasoby podstawowe – nawet bez uruchomienia elastycznego skalowania otrzymasz 1 GB RAM oraz 50 GB powierzchni dyskowej niezależnie od zawartości (nie musisz deklarować podziału na skrzynki pocztowe oraz system plików).
Z usług dhosting korzystam osobiście oraz z sukcesem polecam moim klientom. Dla czytelników bloga oferuję 15% rabat na konto hostingowe. Aby uzyskać rabat, skorzystaj z przycisku umieszczonego poniżej lub podczas rejestracji podaj kod ’szmigiel’.
Czy szyfrowanie strony internetowej ma wpływ na wydajność?
Tak. Konieczność szyfrowania i odszyfrowania danych wymaga czasu. W praktyce jest to jednak niezauważalne dla użytkowników, a korzyści płynące z wdrożenia połączenia z wykorzystaniem protokołu HTTPS mogą paradoksalnie przyczynić się do szybszego ładowania stron.
Uruchomienie szyfrowania pozwala wykorzystać technologię HTTP/2 do przesyłania danych. Protokół ten wprowadza szereg optymalizacji do całego procesu komunikacji „serwer — klient” przyczyniając się do skrócenia czasu potrzebnego na wyświetlenie strony.
Warto również pamiętać, że Google faworyzuje strony wykorzystujące ruch szyfrowany w wynikach wyszukiwania i jest to dodatkowy argument przemawiający za przełączeniem strony na HTTPS.
Podsumowanie
Warto rozważyć wdrożenie certyfikatu SSL dla swojej strony internetowej. Nie jest to zadanie kosztowne — wiele firm hostingowych oferuje darmowe certyfikaty Let’s Encrypt, a w pozostałych przypadkach możesz ręcznie przekierować ruch za pośrednictwem serwisu Cloudflare, zyskując tym samym bezpieczne połączenie.
W kontekście nadchodzących zmian w przeglądarkach internetowych brak szyfrowania może stanowić istotną barierę w procesie budowania zaufania do marki. Słowo „Niezabezpieczona” występujące w towarzystwie adresu raczej nie zachęci do zapoznania się z treścią strony.
Warto pamiętać, że konsekwencją upowszechnienia się szyfrowania jest także zwiększenie świadomości wśród użytkowników internetu. Osoby, którym dotąd nie zależało na obecności zielonej kłódki w pasku adresu, mogą zacząć jej wymagać. W skrajnych przypadkach nieposiadanie certyfikatu może oznaczać, że nasze treści w ogóle nie dotrą do użytkowników — zostaną przez nich automatycznie odrzucone w obawie przed niezabezpieczonym połączeniem.
Łukasz Szmigiel
Powiązane wpisy
wpDiscuz