Obecnie posiadanie certyfikatu SSL dla domeny jest już niezbędne. Stało się tak za sprawą ustawień przeglądarek, które traktują strony bez podpisu cyfrowego jako niebezpieczne. Ponadto jeśli przetwarzamy dane użytkowników, np. jako sklep internetowy, powinniśmy zdecydować się na certyfikat o wyższym stopniu walidacji. Na czym polegają różnice i jak wybrać odpowiedni SSL?

Rodzaje certyfikatów SSL

Certyfikaty SSL różnią się od siebie w zależności od stopnia, w którym dotyczą strony oraz rodzaju walidacji użytkownika. Inna jest także oczywiście ich cena, zależąca od stopnia zaawansowania certyfikatu. Ich rodzaje to zatem:

1. Pod kątem ilości domen i subdomen

• dla pojedynczej domeny
  Jest to najprostszy rodzaj certyfikatu, który zabezpiecza domenę i wszystkie podstrony witryny. Nie dotyczy jednak subdomen. Będzie odpowiedni dla prostych stron firmowych, osobistych czy blogów. Oznacza też najmniejszy wydatek lub jest darmowy.
• Wildcard
  Ten rodzaj SSL obejmuje oprócz domeny także nieograniczoną ilość subdomen. Jeżeli je stworzyliśmy, to rozwiązanie jest niezbędnym minimum. Alternatywą jest uzyskiwanie osobnych certyfikatów dla każdej z subdomen, ale oznacza to znacznie większy koszt czy nakład pracy (jeśli korzystamy z darmowych certyfikatów).
• dla wielu domen
  Certyfikaty te obejmują dowolną ilość domen, ale nie subdomen. Jest to rozwiązanie dla firm, które są właścicielami np. różnych marek produktów.
• wielodomenowe Wildcard
  Ta odmiana Wildcard podpisuje cyfrowo zarówno wiele domen, jak i powiązanych z nimi subdomen. Ten rodzaj SSL stanowi tańszą alternatywę dla powyższego certyfikatu i jest właściwą inwestycją dla rozbudowanych przedsiębiorstw.

2. Pod kątem rodzaju walidacji

Aby uzyskać certyfikat SSL, tożsamość właściciela domeny musi zostać zweryfikowana. Na podstawie poziomu tej weryfikacji wyróżnić można następujące rodzaje certyfikatów:

• DV (Domain Validation)
  W przypadku tego rodzaju SSL walidacja ma charakter podstawowy i dokonywana jest elektronicznie. Tożsamość właściciela weryfikuje się za pomocą wiadomości e-mail, umieszczenia pliku na serwerze pod wskazanym adresem lub dokonaniu określonego wpisu w DNS. Certyfikaty przyznawane są szybko i automatycznie. Cechuje je najniższa cena pośród SSL lub są darmowe.
• OV (Organization Validation)
  Jest to rozszerzony rodzaj weryfikacji opierający się na sprawdzeniu odpowiednich dokumentów organizacji. Na OV powinny się decydować firmy, które przetwarzają dane użytkowników, jak np. sklepy internetowe. Osoba korzystająca z takiej witryny może być pewna, kto jest jej właścicielem.
• EV (Extended Validation)
  Certyfikat EV oznacza, że witryna była weryfikowana w najbardziej rozszerzony sposób. Dokładnie sprawdzane są dane osoby kontaktowej oraz organizacji. Z EV korzystają witryny przetwarzające najbardziej poufne dane klientów, jak banki czy placówki medyczne.

Na czym polega walidacja podczas wydawania SSL

Proces walidacji w certyfikacie typu DV jest zazwyczaj prosty i przebiega za pomocą wiadomości e-mail. Podajemy swój adres podczas rejestracji, by następnie otrzymać e-maila z linkiem. Klikając go, potwierdzamy swoją tożsamość, co finalizuje proces rejestracji. Następnie wystarczy zainstalować certyfikat na serwerze lub dokonuje się to automatycznie, jeśli SSL kupujemy od dostawcy usługi rejestracji domen.

Stosowane są także takie metody potwierdzenia prawa dysponowania domeną jak umieszczenia pliku na serwerze lub dokonaniu określonego wpisu w DNS. Otrzymany plik kopiujemy wtedy na serwer za pomocą FTP, natomiast wskazany wpis DNS tworzymy poprzez panel administracyjny serwera w naszej usłudze hostingowej.

W przypadku certyfikatu OV lub EV autoryzacja certyfikatu jest bardziej skomplikowana. Aby potwierdzić tożsamość swoją (jako rejestrującego SSL) i organizacji, oprócz weryfikacji e-mailowej musimy zazwyczaj: 

• udowodnić, że mamy prawo do dysponowania domeną. Dokonuje się tego np. za pomocą dodania do zasobów DNS domeny rekordu .txt o treści wysłanej przez urząd certyfikujący. Potrzebne bywają także dokumenty rejestracyjne domeny,
• wysłać skan dowodu tożsamości lub notarialne potwierdzenie tożsamości,
• jeżeli nie występujemy jako osoba posiadająca domenę w bazie whois lub przedstawiciel firmy we wpisie KRS, należy potwierdzić swoją przynależność do organizacji czy prawo do rejestracji certyfikatu. Odpowiednie w tym celu będą np. świadectwo zatrudnienia albo pełnomocnictwo.
• przesłać żądane dokumenty identyfikujące firmę (np. dokumenty rejestrowe).

Następnie podmiot certyfikujący sprawdza numer telefonu firmy w dostępnych bazach (np. pf.pl czy pkt.pl) oraz na oficjalnej stronie internetowej organizacji. Służy to wykonaniu połączenia weryfikującego — automatycznego lub mającego charakter krótkiej rozmowy potwierdzającej starania organizacji o certyfikat.

Certyfikat OV jest wydawany zazwyczaj w ciągu paru godzin od spełnienia przez firmę wszystkich warunków. W przypadku EV może to zająć nawet tydzień, ze względu na rozszerzoną weryfikację przeprowadzaną przez urząd.

Umowy gwarancyjne SSL

Gwarancja udzielana podczas przyznawania certyfikatu dotyczy zarówno firmy, która go nabyła jak i użytkowników końcowych. W pierwszym przypadku urząd certyfikacji zobowiązuje się do wypłacenia odszkodowania jeśli będzie miało miejsce złamanie zabezpieczeń.

Takie sytuacje praktycznie nie mają prawa się zdarzyć, ponieważ przezwyciężenie skomplikowanej kryptografii SSL wymagałoby od hakerów olbrzymiej mocy obliczeniowej. Zadanie takie jest niezwykle trudne do zrealizowania i zwyczajnie nieopłacalne dla cyberprzestępców. 

Bardziej prawdopodobne jest ujawnienie klucza prywatnego jednostki certyfikującej, gdyż zdarzało się już to w przeszłości. Wtedy każdy wystawiony przez nią certyfikat musi być unieważniony. Jeżeli do takich sytuacji dojdzie, otrzymamy określoną kwotę, często zależną od pakietu ubezpieczenia, jaki wykupimy.

Bardziej istotne są gwarancje obejmujące użytkowników końcowych. Dotyczą one każdej sytuacji, w której certyfikat został wydany nieuczciwemu podmiotowi ze względu na błędy w procesie walidacji. Każdy użytkownik, który zaufa stronie fałszywie przypisanej do danej organizacji i poniesie z tego powodu straty, może dochodzić odszkodowania od winnego sytuacji urzędu certyfikacyjnego. Miało to już miejsce w przeszłości.

W 2011 roku urząd DigiNotar błędnie przyznał SSL przysługujący Google.com innemu podmiotowi. Ten wykorzystał go do przekierowania ruchu 300 tys. użytkowników Gmaila w Iranie. W wyniku doprowadzenia do możliwości oszustwa na taką skalę DigiNotar było zmuszone do ogłoszenia upadłości. Niestety odbiło się to na spadku zaufania do całej branży urzędów certyfikujących.

Po tym wydarzeniu urzędy jeszcze usilniej dbają o dochowywanie staranności przy wystawianiu certyfikatów. Obecnie SSL tym bardziej może być świadectwem wiarygodności danej domeny. Gwarancje, będące zabezpieczeniem dla użytkowników dodatkowo motywują podmioty wydające certyfikaty do starannej walidacji.

Płatny czy darmowy SSL?

• SSL za darmo
  
  Uzyskanie prostego certyfikatu SSL możliwe jest zupełnie bezpłatnie. Zdobyć go można np. za pośrednictwem witryny Let’s Encrypt. Trzeba jednak pamiętać, że będzie to certyfikat rodzaju DV. Jest on ważny tylko przez 3 miesiące, aczkolwiek istnieje możliwość ustawienia opcji automatycznego odnowienia. Nie obejmuje go także gwarancja, która mogłaby być korzystna w przypadku złamania zabezpieczeń (aczkolwiek takie przypadki są niezwykle rzadkie).
  
  Darmowy SSL będzie odpowiedni dla małych firm, stron osobistych czy blogów. Jeśli nie tworzymy subdomen czy nie przetwarzamy danych osobowych, płacenie za SSL mija się z celem. Inaczej jest w przypadku większych organizacji lub firm, które gromadzą i zarządzają danymi użytkowników.
• płatny SSL
  
  Aby uzyskać bardziej zaawansowane rodzaje podpisu cyfrowego, musimy już zapłacić. Dotyczy to certyfikatów dla wielu domen oraz Wildcard, a także OV i EV. Zdecydować się na to muszą m.in. instytucje finansowe, placówki medyczne, sklepy internetowe czy inne witryny przetwarzające dane użytkowników oraz oczywiście użytkownicy korzystający z licznych domen lub subdomen.
  
  Certyfikaty EV i OV dzięki rozwiniętej walidacji wpływają na wiarygodność domeny. Jest to niezwykle ważne dla firm, które realizują płatności online czy gromadzą loginy i hasła użytkowników. Koszty ew. wykradzenia takich danych przez hakerów stosujących phishing mogłyby być dla użytkowników bardzo dolegliwe.

SSL — konieczny wymóg, który łatwo spełnić

Istnienie darmowych certyfikatów SSL sprawia, że są one dostępne dla każdego. Jeśli tworzymy prostą stronę lub bloga, za pomocą np. Let’s Encrypt łatwo uzyskamy odpowiedni podpis cyfrowy. Prowadząc sklep internetowy, będziemy musieli już co prawda zapłacić za certyfikat, ale są to stosunkowo niewielkie koszty (kilkaset zł rocznie). Zdecydowanie jednak należy je ponieść, gdyż bez tego nasza witryna będzie niewiarygodna.

Oczywiście w przypadku certyfikatów OV i EV musimy się liczyć z koniecznością przejścia bardziej skomplikowanego procesu weryfikacji. Powinniśmy być jednak zadowoleni z faktu, że jest odpowiednio rzetelny, gdyż stanowi to zabezpieczenie przed oszustwami. W końcu chcemy, aby odpowiedni certyfikat mógł być wydany tylko naszej firmie.