Kategorija: Spletna varnost

Najprej odgovorimo na vprašanje, kaj Let’s Encrypt SSL sploh je. To je brezplačni SSL certifikat, ki ga izdaja certifikacijski organ Let’s Encrypt. Sam postopek izdaje je povsem avtomatiziran, kar pomeni, da so s tem odpravljene mnoge tehnične ovire.

Z razvojem certifikata Let’s Encrypt je bil prehod iz nezavarovane HTTP povezave na zavarovano HTTPS povezavo precej poenostavljen. Zdaj si lahko SSL certifikat na svojo spletno stran namesti praktično kdorkoli, kar pa niti ni tako dobro, kot morda izgleda na prvi pogled.

Primerjajte spletni strani na zgornji sliki in poskusite ugotoviti, v čem se razlikujeta. Ste opazili razliko? V levem brskalniku je prikazana legitimna PayPal spletna stran, na desni pa gre za lažno oziroma »phishing« stran, ki sicer izgleda skoraj povsem enako kot originalna.

Razliko lahko opazite, če preverite vidne znake SSL certifikata. Na levo (legitimno) stran je nameščen razširjeni SSL certifikat, ki v zgornji vrstici brskalnika izpiše tudi ime podjetja. Na desno (lažno) stran pa je nameščen brezplačni SSL certifikat, pri katerem ni praktično nobenega preverjanja.

Let’s Encrypt ni primeren za vsako spletno stran

Zgornji primer je zelo dober dokaz, da brezplačni SSL certifikat še zdaleč ni primeren za vsako spletno stran. Če imate podjetje in želite na svojo stran namestiti SSL certifikat, boste večje zaupanje s strani obiskovalcev dosegli z uporabo poslovnega ali razširjenega certifikata. Tudi plačljivi domenski certifikat, pri katerem bo izdajatelj sicer preveril le lastništvo domene, bo boljši kot brezplačni. To pa zato, ker izdajatelji plačljivih certifikatov (npr. Comodo) vsakodnevno avtomatsko pregledujejo spletne strani, na katere so nameščeni njihovi certifikati, ob zaznanih zlonamernih aktivnosti pa SSL certifikat nemudoma odvzamejo.

Kdaj se torej odločiti za brezplačni Let’s Encrypt SSL? Svetujem vam, da si ga namestite samo v primeru, ko z njim želite zaščititi preprosto osebno spletno stran ali blog, kjer ne prihaja do prenosa občutljivih podatkov. Torej na spletnih mestih, kjer obiskovalcem ni potrebno vpisovati uporabniških imen in gesel, še posebej pa ne podatkov kreditne kartice.

Povsem logično je, da imajo brezplačne stvari oziroma storitve določene slabosti. Pri certifikatu Let’s Encrypt so to še:

• izdajatelj ne nudi nobene garancije,
• izdajatelj ne nudi kakršne koli podpore,
• SSL certifikat ne vključuje pečata (uporaba logotipa je prepovedana),
• veljavnost certifikata znaša le 30 dni, nato ga je potrebno podaljšati.

Če želite izvedeti več, vam priporočam, da si preberete še prispevek Vrste SSL certifikatov in njihove značilnosti.

Pred približno pol leta sem na blogu Topdomene.net predstavil SSL certifikat. V prispevku sem razložil, kaj to sploh je, prav tako pa sem naštel glavne razloge, zakaj se je čim prej smiselno odločiti za njegovo namestitev na spletno stran.

Ker seveda tudi na tem področju ne obstaja le ena rešitev, vam bom danes podrobneje predstavil vrste SSL certifikatov. Če se boste namreč odločili za namestitev, je prav, da ste seznanjeni z različnimi možnostmi, saj boste le tako lahko izbrali ustrezen SSL certifikat.

Brezplačen SSL certifikat

Res je, za varnostni certifikat sploh ni potrebno plačati. Kot ponavadi pa ima tudi v tem primeru brezplačna rešitev nekatere pomanjkljivosti. To so naslednje:

• obstaja le kot domenski certifikat;
• nivo zaupanja je nižji;
• čas veljavnosti je krajši;
• ni podpore, ki bi pomagala pri težavah;
• ni finančne garancije.

Kdaj se odločiti za brezplačen certifikat? Zgolj takrat, ko na spletni strani ne prihaja do prenosa podatkov oziroma ko gre za preprosto spletno stran, kot je na primer blog.

Domenski SSL certifikat

Posebnost domenskega certifikata je, da se pred njegovo izdajo preveri le lastništvo domene. To pomeni, da na domenski e-poštni predal prispe e-sporočilo z verifikacijsko povezavo. Po kliku nanjo se samodejno izda certifikat. Ker se preveri le lastništvo domene, je stopnja varnosti uporabe spletnega mesta z izdanim domenskim certifikatom nižja, kot velja za poslovne in razširjene SSL certifikate.

Za kakšne spletne strani je torej primeren domenski certifikat? Za spletne strani fizičnih oseb, ki naprednejše oblike certifikata sploh ne morejo pridobiti.

Poslovni SSL certifikat

Kot pove že samo ime, je poslovni certifikat namenjen poslovnežem oziroma podjetjem. Njegova glavna prednost pred domenskim certifikatom je v tem, da se pred izdajo certifikata preveri legitimnost podjetja. Podjetje mora tako pripraviti ustrezno dokumentacijo in jo predložiti izdajatelju.

Ker se pred izdajo certifikata opravi temeljito preverbo podjetja, je nivo varnosti uporabe spletne strani mnogo višji. Možnost, da bi prišlo do zlorabe podatkov, pa je mnogo nižja.

Razširjeni SSL certifikat

Razširjeni SSL certifikat je podoben poslovnemu. Kot takšen je namenjen podjetjem, predvsem večjim podjetjem, saj za izdajo certifikata obstaja nekaj omejitev (npr. podjetje mora obstajati že nekaj let in imeti mora poravnane vse davčne obveznosti).

Velika prednost razširjenega SSL certifikata je zelena vrstica v spletnem brskalniku, v kateri je izpisani ime podjetja. Prepričan sem, da ste tudi sami že kdaj naleteli na spletno stran s takšnim okvirčkom, kot je prikazan na zgornji sliki.

Wildcard SSL certifikat

Posebna vrsta SSL certifikata je tako imenovani wildcard certifikat. Lahko je domenski ali poslovni, medtem ko ne more biti razširjeni. Njegova posebnost je, da omogoči varno HTTPS povezavo na vseh poddomenah spletne strani:

• vasadomena.si
• www.vasadomena.si
• shop.vasadomena.si
• forum.vasadomena.si
• crm.vasadomena.si
• …

Prej omenjeni certifikati (brezplačni, domenski, poslovni, razširjeni) varno HTTPS povezavo omogočijo le na domeni (vasadomena.si in hkrati tudi na www.vasadomena.si) ali na točno izbrani poddomeni (npr. na forum.vasadomena.si).

Večdomenski SSL certifikat

Večdomenski certifikati so namenjeni zaščiti večjega števila domen. Obstajajo ne le kot domenski in poslovni, temveč tudi kot razširjeni. Običajno z osnovnim večdomenskim certifikatom zavarujete tri domene, z dokupom tako imenovanih SAN certifikatov pa lahko poskrbite za zaščito do sto domen.

Za katerega se odločiti?

Povsem od vaših potreb je torej odvisno, za kateri SSL certifikat se boste odločili. Če se le da, se brezplačnemu izognite, saj boste po vsej verjetnosti prej ali slej ugotovili, da »to ni to«.

Kar pa se tiče izbire izdajatelja certifikata, bi vam priporočil Comodo. Gre za svetovno priznanega in hkrati največjega izdajatelja, zato SSL certifikati Comodo uživajo tudi največji ugled.

Veliko izbiro Comodo certifikatov ponuja slovenski ponudnik NEOSERV.si, ki vam bo SSL certifikat na vašo stran namestil brezplačno.

Ste že kdaj razmišljali o tem, zakaj se naslovi nekaterih spletnih strani začnejo s HTTP, medtem ko pri drugih na začetku stoji zapis HTTPS? Gre za dva podobna protokola za prenos podatkov prek spleta, glavna razlika pa je v tem, da je pri protokolu HTTPS prenos podatkov zavarovan. Pri tem se uporablja tudi kriptografski protokol SSL, ki omogoča varno komunikacijo na medmrežju. Ne le pri brskanju po spletu, temveč tudi pri pošiljanju in prejemanju e-poštnih sporočil, pri neposrednem spletnem komuniciranju ipd.

Spletne strani, na katerih prihaja do prenosa občutljivih oziroma zaupnih podatkov, je potrebno ustrezno zaščititi. Za to poskrbi SSL certifikat – digitalno varnostno potrdilo, s pomočjo katerega se šifrira celotna izmenjava podatkov med spletno stranjo in njenimi obiskovalci. Po namestitvi SSL certifikata se spremeni URL naslov spletne strani, saj je ta po novem dostopna prek zavarovanega protokola HTTPS.

Je SSL certifikat obvezen?

Namestitev SSL certifikata na spletno stran ni obvezna, vsekakor pa zelo priporočljiva. Google se že več let trudi, da bi z različnimi ukrepi celoten svetovni splet prestavil na protokol HTTPS, kar pa seveda ni enostavna naloga. Toda treba je priznati, da mu je v letu 2017 uspelo narediti zelo velik korak, ki je lastnike spletnih strani enostavno prisilil v namestitev SSL certifikata. Glede na to, da so podatki na spletu zaradi uporabe SSL certifikatov zares mnogo bolj varni, sem tudi sam velik pristaš prehoda s protokola HTTP na HTTPS.

Enega izmed pomembnejših ukrepov je Google izvedel že avgusta 2014, ko je na svojem uradnem blogu javno objavil novico, da bodo spletne strani, dostopne na HTTPS, v iskalniku deležne manjše prednosti pred spletnimi stranmi, dostopnimi prek nezavarovanega protokola HTTP. V tem obdobju se je veliko lastnikov spletnih strani odločilo za SSL certifikat, najbolj znan prehod na zavarovan protokol pa je takrat izvedla Wikipedija.

Čeprav je sprva kazalo, da bo ukrep zadostoval, pa temu ni bilo tako. Marsikdo se za SSL certifikat ni odločil, saj o njem sploh ni slišal ali pa je menil, da ima premalo znanja, da bi na tem področju kakorkoli ukrepal. Zato je Google nadaljeval s svojo misijo. V drugi polovici leta 2016 je zopet objavil novico, tokrat še precej bolj udarno: »V januarju 2017 bo brskalnik Google Chrome na nezavarovanih (HTTP) straneh pričel prikazovati varnostno opozorilo, da vzpostavljena povezava ni varna.« To je najprej veljalo le za strani, na katerih so se vpisovala gesla, številke bančnih kartic in podobno, kmalu zatem pa za prav vse strani.

Varnostno opozorilo je torej vidno tudi na blogih in vseh drugih spletnih straneh, kjer ni prisotnih raznih obrazcev in vnosnih polj. Po besedah Googla bodo opozorila kmalu še mnogo bolj poudarjena, kot so trenutno. Na spodnji sliki si lahko ogledate, kako bo izgledalo opozorilo.

Kdaj bo prišlo do spremembe, še ni znano. Glede na to, da je Google novico objavil septembra 2016, lahko računamo, da bomo novo varnostno obvestilo o »nevarni« spletni strani pričeli videvati zelo kmalu.

Naj se vrnem na vprašanje, ali je SSL certifikat obvezen. Se vam ne zdi, da bo rdeče opozorilo »Not secure« na vaši strani odgnalo večino obiskovalcev? No, zdaj veste, zakaj je namestitev SSL certifikata več kot le priporočljiva. Če se boste zanjo odločili, vam svetujem, da varnostni certifikat zakupite pri podjetju NEOSERV.si, ki ima v svoji ponudbi vse vrste SSL certifikatov (domenske, poslovne, razširjene) priznanega svetovnega izdajatelja Comodo. V primeru, da imate pri njih zakupljeno tudi gostovanje, vam bodo certifikat namestili brezplačno.

Prej kot boste poskrbeli za namestitev SSL certifikata na svojo spletno stran, prej boste imeli eno skrb manj. Pa še Google vas bo imel raje.