SSL. Care-i treaba cu SSL-ul?

De-o vreme, se spune că inclusiv motorul de căutare Google favorizează la afișarea rezultatelor căutărilor, în cadrul filtrării pe care o face, site-urile ce folosesc Secure Sockets Layer (SSL). Așadar, merită să ne lămurim ce-i cu SSL-ul ăsta…

De fapt, ce este SSL?

Mai simplu spus, SSL este folosit pentru a cripta conexiunea dintre un site și un vizitator. Pe baza acestei criptări, doar site-ul respectiv și acel vizitator specific pot citi informațiile schimbate între cele două părți.

Fără SSL în loc, practic oricine poate să „asculte” transferul de date dintre site și vizitator. Și când spunem oricine, înseamnă chiar ORICINE!

În mod tradițional, pe internet, comunicarea HTTP se face prin gestionarea trimiterii de simple pachete de date, pachete ce pot fi citite de terți, pe toată durata călătoriei acestor pachete între sursă și destinație. Aceasta nu reprezintă o mare problemă când vorbim de un simplu blog, sau de un site informativ, dar devine o serioasă amenințare în cazul comerțului online, sau atunci când este vehiculată informație de tipul numărului cardului de credit…

Iată cum arată o comunicare pe internet între un vizitator și un site care nu folosește SSL:

Ce vedem aici: individul din mijloc poate citi întreaga comunicare, pentru că totul se întâmplă liber, fără nici o criptare. E o chestie similară cu discuția dintre doi oameni într-o cafenea aglomerată.

Acum, să vedem ce se-ntâmplă în cazul în care site-ul folosește SSL:

Parcă-i altceva, nu? Comunicarea este criptată. Deși eventualii curioși ar putea intercepta pachetele de date care circulă pe internet între site și vizitator, decriptarea este aproape imposibilă. Pentru a menține comparația, să ne imaginăm că cei doi indivizi din cafeneaua aglomerată vorbesc în klingoniană!

Cum lucrează SSL-ul?

Așadar, SSL criptează toate datele transferate între vizitator și site. Pentru ca un site să utilizeze SSL, trebuie să obțină un certificat SSL. Acest certificat este o dovadă că site-ul web este unul legitim și că criptarea SSL pe care o utilizează este corectă, iar certificatul deține, de asemenea, informațiile despre cheia publică folosită pentru criptare.

Iată și pașii parcurși la vizitarea unui site web pe bază de SSL:

Faza 1 (click aici)

Browser-ul verifică valabilitatea certificatului SSL al site-ului.

Acest lucru este făcut pentru confirmarea faptului că certificatul nu este fals și că site-ul este ceea ce pretinde a fi.

Browserul verifică certificatul pentru a vă asigura că nu este un site de tip impostor. Pentru asta, browserul nu lucrează singur, ci împreună cu o autoritate de certificare – o companie terță parte care emite certificate.

Dacă validarea merge bine, browserul va permite afișarea și confirmă siguranța transferului de date prin afișarea unui (deja) familiar lacăt în bara de adrese:


Faza 2 (click aici)

Browserul utilizează certificatul atunci când comunică cu site-ul web.

Aceasta se face prin luarea cheii publice care face parte din certificat și folosirea acesteia pentru a cripta toate datele ce urmează a fi trimise către site. Aceste date sunt apoi transmise pe site-ul web în forma lor criptată.

Faza 3 (click aici)

Site-ul utilizează propria cheie privată pentru a decripta mesajul și apoi îl procesează.

Cheia privată este cunoscută numai de site-ul Web și este, de asemenea, singura cheie care poate decripta corect mesajul. Aceasta înseamnă că numai site-ul poate citi informațiile pe care le trimite utilizatorul. Acest lucru devine crucial atunci când datele trimise sunt chestii precum numerele cardurilor de credit.

Faza 4 (click aici)

Site-ul trimite un răspuns vizitatorului și adaugă o semnătură unică acestuia, utilizând cheia privată.

Semnătura poate fi verificată la utilizator, folosind cheia publică a site-ului Web. Cu alte cuvinte, numai site-ul în sine ar putea produce acea semnătură specifică, deoarece numai el are cheia privată.

Astfel, am realizat parcurs complet, de la stabilirea unei conexiuni securizate la trimiterea datelor pe site și apoi la primirea unui răspuns. Acesta este modul în care se face comunicarea prin SSL.

Perechea de chei publice-private este un concept simplu, dar reprezintă tot ce este necesar pentru a stabili un canal sigur de comunicare și pentru a ne asigura că site-ul cu care comunicăm este ceea ce se pretinde a fi.

💡 În termeni simpli, putem compara cheia publică cu lacătul și cheia privată cu combinația secretă reală ce poate fi folosită pentru deschiderea lacătului.

Diferența dintre SSL și TLS

Pe scurt, nu există nici o diferență. Dar, pentru a fi mai specific, de fapt, este. Una simplă pe care trebuie să o știm. TLS (Transport Layer Security) este o versiune actualizată a SSL. Este mai sigură și este de fapt ceea ce noi toți folosim în prezent în loc de SSL.

Da, ați citit bine, ori de câte ori obținem – ceea ce credem că este – un certificat SSL pentru site-ul nostru, obținem, de fapt, un certificat TLS. Încă ne referim la acesta ca la SSL, deoarece acesta este un termen folosit mai frecvent și mai bine înțeleasă.

Ce este HTTPS?

HTTP este un protocol folosit pentru comunicarea pe internet. Acest protocol definește modul în care un site web ne trimite conținutul/datele și modul în care putem interacționa cu acesta trimițând date date înapoi.

HTTPS este o versiune sigură a protocolului. Asta înseamnă „S”-ul de la sfârșit.

Cu HTTPS, comunicarea însăși se face destul de asemănător, singura diferență fiind că este criptată folosind un certificat SSL, conferindu-i siguranță.

Tipuri de certificate SSL/TLS

Nu toate certificatele SSL sunt create egale. Pe baza tipului de certificat pe care îl obțineți pentru site-ul dvs. și a modului în care îl configurați, vizitatorii dvs. vor vedea notificări diferite în browserele lor.

Cel mai frecvent, certificatele sunt grupate pe baza a două lucruri:

  • (a) care este nivelul de validare al certificatului
  • (b) câte domenii pot fi securizate folosind un singur certificat

Sub primul grup (a), avem:

  • certificate ce validează doar numele de domeniu în sine – autoritatea de certificare validează pur și simplu că societatea deține controlul asupra domeniului lor de domeniu;
  • certificate ce validează organizația care deține domeniul – validează nu numai numele domeniului, ci și informațiile incluse în certificatul despre organizație, cum ar fi numele și adresa;
  • certificate care oferă validare extinsă – acesta este cel mai înalt nivel al unui certificat, în cazul în care autoritatea de certificare verifică proprietatea asupra domeniului, informațiile despre organizație, locația fizică și chiar existența legală a companiei.

Pentru a face ca site-ul dvs. să fie integrat corect cu SSL, trebuie să optați pentru validarea unui domeniu standard sau pentru validarea unei organizații. Cel de-al treilea nivel este, de obicei, ceva pentru care optează doar jucătorii mari, cum ar fi PayPal, Airbnb, etc.

Așadar, certificatele validate pe domenii și organizații apar ca:

Certificatele extinse au o bară suplimentară în jurul lacătului și numele companiei:

În al doilea grup (b), avem:

  • certificate single-domain
  • certificate wildcard
  • certificatele multi-domain

Toate acestea sunt destul de simple. Certificatele single-domain ne permit să validăm un site Web sub un nume de domeniu.

De exemplu, dacă site-ul nostru principal rulează pe site-ul YOURSITE.com și blogul dvs. rulează pe YOURSITE.com/blog, avem posibilitatea să folosim un singur certificat de domeniu. În schimb, dacă site-ul nostru se află la adresa YOURSITE.com, dar blogul rulează pe blog.YOURSITE.com, atunci vom avea nevoie de un wildcard SSL.

Cu certificatul de tip „wildcard”, putem valida un nume de domeniu unic și un număr nelimitat de subdomenii sub acel domeniu principal. Practic, există un caracter wildcard în certificat – * .YOURSITE.com, de unde și numele.

Acest ultim tip de certificat, certificat multi-domain, ne permite să protejăm până la 100 de nume de domenii sub același certificat. Acest lucru nu e ceva cu care să-și facă probleme un proprietar de site-uri obișnuite sau chiar un dezvoltator.

👉 Iată un rezumat de reținut pentru alegerea certificatului SSL:

  • E nevoie de validarea unui singur nume de domeniu? Obțineți un certificat single-doamin, fie la nivel de domeniu, fie la nivel de organizație.
  • E nevoie de validarea unui site web cu unul sau mai multe subdomenii? Obțineți un certificat de tip „wildcard” de validare la nivel de domeniu sau organizație.

Așadar, există mai multe tipuri de certificate SSL, mai precis trei: certificat de validare a organizației (Organization Validation SSL Certificate), certificat de validare a domeniului (Domain Validation SSL Certificate) și certificat de valabilitate SSL extinsa (Extended Validation SSL Certificate).

  • Certificatul de validare extinsa (EV SSL) este cel mai puternic și cel mai sigur. Costa câteva sute de dolari pe an și e recomandat în cazul unui magazin virtual sau a unei afaceri care trebuie să fie cât mai securizată. Înainte de a primi un certificat EV SSL, proprietarul afacerii trebuie sa furnizeze toate documentele care atestă legitimitatea afacerii.
  • Certificatul de validare a organizației (OV SSL) care atestă autenticitatea și securitatea unei organizații și este bun pentru firmele care cer numărul de card în tranzacțiile lor online. La fel ca și cel de mai sus, pentru primirea acestui tip de certificat, proprietarul trebuie sa furnizeze datele necesare demonstrării legitimității afacerii. Și acesta are un cost anual, însă mai mic decât primul.
  • Certificatul de valabilitate a domeniului (DV SSL) este cel mai ușor de obținut. El nu certifică autenticitatea afacerii, sau proprietarul, ci doar domeniul. Se poate folosi cu ușurință pentru blog-uri și alte tipuri de site-uri care nu necesită neapărat plata prin intermediul site-ului, ci prin site-uri intermediare ca paypal.com sau euplatesc.ro. Deoarece acest certificat nu este așa de puternic și criptat ca cele de mai sus, costă cel mai puțin – doar câțiva dolari pe an.

De ce e important să avem SSL pe site

SSL-urile erau destul de costisitoare cu ceva timp în urmă. Dacă voiam să adăugăm un SSL pe site, aveam în principiu doar două opțiuni – VeriSign sau Comodo. Ambele erau destul de scumpe (aproximativ 100 $/an). Deci majoritatea oamenilor pur și simplu nu se deranjau. A avea un SSL pe site părea un lux inutil și costisitor.

Dar vremurile s-au schimbat, și asta în principal datorită unei singure organizații – Let’s Encrypt. Pe scurt, Let’s Encrypt oferă certificate SSL complet gratuite și autentice pentru orice site web care dorește unul.

Componenta „gratuită” a ofertei lor este ceea ce a dobândit conceptul „SSL de masă”.

Dar a existat și un alt jucător pe teren care a făcut o mare diferență – Google. Google a fost mereu destul de deschis atunci când a început să încurajeze proprietarii de site-uri să integreze certificatele SSL. Cu toate acestea, asta nu s-a întâmplat până ce Google a folosit criptarea site-urilor în ierarhizarea rezultatelor căutărilor, când toată lumea a început să le ia în serios.

Așadar, combinarea eforturile Google și Let’s Encrypt a dus la o creștere uriașă a numărului de site-urilor web care funcționează cu SSL, cu peste 150 de milioane de site-uri Web folosind funcția Let’s Encrypt în momentul elaborării graficului de mai jos.

Mai impresionant, există în jur de un milion de certificate emise pe zi.

De asemenea, inițiativa Let’s Encrypt este susținută și de celălalt gigant al rețelei web – Facebook. Compania a fost cu Let’s Criptare de la început și acum chiar convertește toate link-urile de ieșire pe care utilizatorii le partajează pe Facebook în versiunile HTTPS, acolo unde este posibil.

Documentul sursă prezintă și o modalitate practică de implementare a certificatelor SSL pentru site-urile bazate pe WordPress…

Sursa: https://www.codeinwp.com/blog/what-is-ssl-wordpress/

 

 

Cum apreciați acest articol?

Eu îl consider de 5 ⭐️ (altfel nu-l scriam). Tu?

Total voturi: :: Media evaluării: 0

Fără voturi, încă! Fii primul la evaluarea acestui articol.

Dacă ați găsit acest articol util...

Urmăriți-mă pe social media!

Regret dacă acest articol nu v-a fost util!

Permiteți-mi să-l îmbunătățesc!




Lasă un răspuns

Denumire
Email
Pagină web

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.