Darmowy SSL dla wszystkich - Jak Let's Encrypt rewolucjonizuje Internet!

Jan Hornung Ostatnia aktualizacja 23.01.2020
.
. 16 Min.
Bezpłatny certyfikat SSL
Ostatnia aktualizacja 23.01.2020

Uruchomienie Let's Encrypt w maju 2016 roku przyciągnęło wiele uwagi w prasie branżowej. Dzieje się tak dlatego, że Amerykanie oferują za darmo coś, za co wcześniej wszyscy operatorzy stron musieli słono płacić: certyfikaty SSL. Korzyści i wartość darmowych certyfikatów SSL są nie do przecenienia.

Let's Encrypt nie tylko umożliwia wszystkim właścicielom stron na całym świecie szyfrowanie swoich usług, ale także sprawia, że sieć staje się bezpieczniejszym, szybszym i bardziej sprawiedliwym miejscem. W tym dossier wyjaśniamy czym jest Let's Encrypt, jak działa i jak możesz otrzymać swój kolejny certyfikat SSL za darmo.

 Po pół roku działalności na rynku, Let's Encrypt wydał już ponad 14 milionów darmowych certyfikatów. Na pierwszy rzut oka wydaje się, że to dużo, ale w porównaniu z gigantami branży to wciąż niewiele. Udział Let's Encrypt w rynku wynosi zaledwie 0,02%.

A jednak samo istnienie darmowych certyfikatów SSL ma już zauważalny wpływ na niemiecki rynek hostingowy. Wielu hostingodawców i autorytetów SSL już dziś oferuje operatorom stron certyfikat SSL za darmo. Do niedawna tak nie było. Przyznać trzeba: Let's Encrypt nie potrafi wszystkiego, ale oferuje wszystko, czego potrzebuje operator witryny dla zdecydowanej większości blogów, sklepów i witryn firmowych.

Ale oprócz szyfrowania własnej witryny i korzyści związanych z szybkością, Let's Encrypt zapewnia jeszcze jedną ważną usługę: darmowy SSL sprawia, że Twoja witryna jest odporna na przyszłość. Ponieważ od 2017 roku nadchodzą ciężkie czasy dla stron nieszyfrowanych. Od 2014 roku Google planuje coś, co może kosztować wielu operatorów stron ogromne zaufanie i odwiedzających. Strony bez HTTPS będą od 2017 roku oznaczane w wewnętrznej przeglądarce jako niezabezpieczone. Mozilla, fundacja stojąca za popularną przeglądarką Firefox, również ma w planach systematyczne pogarszanie sytuacji stron niezabezpieczonych, czyli korzystających z protokołu HTTP.

Ale wystarczy kilka kliknięć, aby wyeliminować te obawy dzięki darmowemu SSL. Dzięki certyfikatowi możesz zwiększyć bezpieczeństwo swojej strony, zmniejszyć niepewność prawną, a nawet zwiększyć jej wydajność. W tym dokumencie wyjaśniamy najważniejsze odpowiedzi i informacje ogólne.

Część 1 - Podstawy: Bajka o certyfikacie premium 

Darmowy nie oznacza, że certyfikaty z Let's Encrypt są mniej bezpieczne. W rzeczywistości darmowe certyfikaty różnią się od tych płatnych. Niemniej jednak, nie ma różnicy w zakresie bezpieczeństwa. Dlatego tym ważniejsze jest zrozumienie, dlaczego Let's Encrypt udostępnia każdemu darmowy certyfikat SSL i jak działa system, który za tym stoi.

Let's Encrypt to urząd certyfikacji dla certyfikatów SSL - zwany również Certification Authority (CA) - który rozpoczął swoją oficjalną działalność w maju 2015 roku. Inicjatywa ta stworzyła zautomatyzowany proces wydawania certyfikatów SSL. Dzięki tej prawie całkowitej automatyzacji, projekt może być realizowany przez niewielu pracowników i może oferować certyfikaty bezpłatnie. Koszty związane z pracownikami i infrastrukturą pokrywane są z darowizn i sponsoringu.

Niezależnie od tego, czy certyfikat jest darmowy, czy płatny, zawsze spełnia to samo zadanie. Pokazuje on użytkownikowi, że znajduje się na "właściwej" stronie internetowej oraz że ruch danych pomiędzy przeglądarką a serwerem jest szyfrowany.

Let's Encrypt jest darmowy, między innymi dlatego, że "HTTPS everywhere" to idea gigantów branży

Ale najpierw najważniejsze pytanie: czy Let's Encrypt jest naprawdę darmowe? A raczej: Jaki jest haczyk? Krótko mówiąc, to długa historia: Tak, ani certyfikaty, ani wymagane programy nie kosztują. I: nie ma żadnego haczyka. Często jednak za tym pytaniem nie kryją się czysto ekonomiczne motywy, ale raczej dalsze pytanie, dlaczego Let's Encrypt jest darmowy. Dlaczego więc produkt, za który inne organizacje wcześniej płaciły, miałby nagle być oferowany bezpłatnie?

"Certyfikaty wydajemy bezpłatnie, ponieważ koszty wykluczają ludzi. Nasze certyfikaty są dostępne w każdym kraju na świecie, ponieważ bezpieczna sieć jest dla wszystkich." - Let's Encrypt

Let's Encrypt ma stosunkowo niskie koszty osobowe, ponieważ prawie wszystkie procesy są zautomatyzowane. Dodatkowo, część pracy ręcznej wykonują pracownicy innych organizacji non-profit - na przykład utrzymując niewielki program wydający certyfikaty, tzw. Certbot.

W ten sposób eliminuje się duże obciążenie finansowe. Wymagany sprzęt jest również w dużej mierze pokrywany dzięki współpracy z Linux Foundation. Wszystkie pozostałe koszty pokrywane są przez sponsorów i darowizny. Oficjalny sponsoring ma wynosić do 350.000 dolarów rocznie.

Obok gigantów branży, takich jak Mozilla, Cisco, Chrome i Facebook, wsparciem dla projektu Let's Encrypt cieszą się również firmy z sektora WordPress , takie jak Automattic. Firma współzałożyciela WordPress Matta Mullenwega wyróżnia się przede wszystkim standardową integracją certyfikatów Let's Encrypt na WordPress .com wyróżniał się.

Motywacją, o której chętnie wspominają wszyscy sponsorzy projektu, jest chęć stworzenia równości w sieci. Można bowiem założyć, że w przyszłości HTTPS stanie się jeszcze ważniejszym kryterium rankingowym. A jeśli niektórych stron nie stać na certyfikaty lub nie mają do nich dostępu, to wykluczy to niektóre strony - a tym samym niektórych ludzi i ich projekty WordPress - z uczestnictwa w Internecie.

Niektórzy sponsorzy wkrótce wprowadzą również technologie, które będą oznaczać niezaszyfrowane strony, zwiększając presję na operatorów, aby uzyskać certyfikaty. Na przykład Google w lipcu 2018 r. wdrożył, że wszystkie strony HTTP w przeglądarce Chrome są oznaczone jako "niezabezpieczone".

Ostrzeżenie HTTP w Google Chrome
Jest to ostrzeżenie, które Chrome wydaje na wszystkich stronach HTTP od lipca 2018 roku.

Urząd certyfikacji, który wydaje certyfikat SSL bezpłatnie każdemu operatorowi strony, idealnie wpisuje się w plany największych sponsorów Let's Encrypt. Tacy dostawcy, którzy propagują "HTTPS everywhere", są zatem również znacząco zaangażowani w tworzenie darmowej infrastruktury SSL.

Let's Encrypt nie jest już małą organizacją pozarządową    

Samo Let's Encrypt jest jedynie ośrodkiem certyfikacji, tj. organem wydającym certyfikaty. Ogólny konstrukt organizacyjny jest jednak znacznie większy. Organizacją macierzystą Let's Encrypt jest Internet Security Research Group (ISRG) z siedzibą w San Francisco. W skład zarządu tej organizacji non-profit wchodzą naukowcy, przedstawiciele firm oraz reprezentanci fundacji i innych organizacji non-profit.

Przynajmniej dwie inne organizacje stają się również ważne w związku z Let's Encrypt. Jedną z nich jest Electronic Frontier Foundation (EFF), która od maja 2016 roku zarządza Certbotem, oprogramowaniem do tworzenia certyfikatów Let's Encrypt. Drugim jest Linux Foundation, która zapewnia infrastrukturę techniczną dla Let's Encrypt poprzez swój program Collaborative Projects. W sumie kilka zespołów z organizacji non-profit wspiera Let's Encrypt i związaną z nim infrastrukturę.

We wrześniu 2016 roku organizacja opublikowała szczegółowe zestawienie kosztów na rok 2017, z którego wynika, że na jednego pracownika naliczane są koszty pracodawcy w wysokości około 200 tys. dolarów. Pracownicy Let's Encrypt są więc dość dobrze wynagradzani. W USA jednak taki poziom wynagrodzeń jest najwyraźniej konieczny ze względu na konkurencję z gigantami branży.

Koszty pracownicze Lets Encrypt
Budżetowany koszt Let's Encrypt i jego 10 pracowników na rok 2017 wynosi prawie 3 miliony dolarów.
SSL to SSL to SSL - Jeśli chodzi o bezpieczeństwo, nie ma certyfikatów premium

Darmowe certyfikaty Amerykanów nie są bardziej niepewne niż płatne certyfikaty niemieckich dostawców. Wynik jest więc zawsze taki sam: operator strony może zaszyfrować ruch danych pomiędzy serwerem a klientem (tzn. przeglądarką) i w ten sposób zapobiec wykradaniu danych osobowych, takich jak adres, numer telefonu, ale przede wszystkim danych bankowych.

Jako niemiecki operator strony internetowej jesteś zobowiązany do zabezpieczenia swojej strony przed gromadzeniem danych osobowych już w momencie ich gromadzenia. Oznacza to, że: Teoretycznie nawet formularz kontaktowy jest jednym z istotnych przypadków.

Oczywiście, jest to tym bardziej prawdziwe, jeśli żądasz danych bankowych lub innych poufnych danych klientów. Jeśli chcesz korzystać z systemów płatności, takich jak PayPal, certyfikat SSL jest również podstawowym wymogiem. Bez HTTPS, nie tylko ścieżka do e-commerce jest zamknięta dla Ciebie, ale również narażasz się na niebezpieczeństwo działań prawnych.

Zasada szyfrowania SSL jest taka sama dla wszystkich certyfikatów: za pomocą certyfikatu SSL urząd certyfikacji wystawia swego rodzaju ubezpieczenie dla odwiedzającego stronę internetową. W przypadku walidacji domeny oznacza to, że certyfikat potwierdza, że odwiedzana strona znajduje się również na serwerze, który posiada certyfikat dla odwiedzanej domeny.

Bezpłatna walidacja domen SSL
Zielona kłódka i "Secure" w linii adresowej to typowy przykład walidacji domeny. W tym przypadku certyfikat zapewnia, że domena i odwiedzana strona rzeczywiście należą do siebie.

Na przykład, jeśli odwiedzisz stronę https://raidboxes.de, zielona kłódka w pasku adresu oznacza, że serwer, na którym znajduje się strona, jest również serwerem właściciela domeny. Dzięki temu wiesz, że surfujesz na właściwej stronie.

Ponadto istnieją również tzw. certyfikaty Organization Validated i Extended Validation. Wskazują one, że dana strona rzeczywiście należy do organizacji, której witrynę chcesz odwiedzić. Jest to szczególnie istotne w przypadku banków lub dostawców płatności, takich jak PayPal lub Stripe.

Certyfikat SSL PayPal
Szczególnie dostawcy usług płatniczych i organizacje, które mają do czynienia ze szczególnie wrażliwymi danymi, takimi jak dane adresowe, polegają na tych rozszerzonych certyfikatach. W przypadku takiej walidacji, odpowiednia firma jest wyświetlana w pasku adresu.

Kiedy odwiedzasz stronę, która jest szyfrowana przez jeden z darmowych certyfikatów Let's Encrypt, dzieje się tak:

Proces certyfikacji SSL
Tak w skrócie wygląda proces uwierzytelniania SSL. Nie ma znaczenia, czy jest to darmowy certyfikat SSL, czy płatny. W tym procesie bezpieczeństwa zawsze odgrywają rolę dwa elementy: urząd certyfikacji oraz sam certyfikat SSL.

Urząd certyfikacji (CA) wydaje certyfikaty i podpisuje je, czyli potwierdza ich autentyczność. W tym procesie certyfikaty są przechowywane na serwerze WWW. Jeśli klient odwiedzi teraz stronę internetową na tym serwerze, strona ta może zidentyfikować się jako właściciel certyfikatu.

Następnie przeglądarka sprawdza certyfikat zapisany na stronie z zapisanym w niej "drzewem certyfikatów" (patrz rysunek poniżej). Tak zwany certyfikat główny znajduje się na szczycie drzewa. Wszystkie inne certyfikaty, a w końcu także darmowe certyfikaty Let's Encrypt są oparte na tym. Jeśli certyfikat główny i wszystkie inne certyfikaty upstream są ważne, to połączenie szyfrowane zostaje nawiązane. Urzędy certyfikacji są zatem podstawą walidacji domeny. A zaufanie jest w tych przypadkach wszystkim i wszystkim.

Certyfikaty służą z kolei do uwierzytelnienia partnerów komunikacji - czyli serwera WWW i przeglądarki - oraz do zainicjowania właściwego mechanizmu szyfrowania. Zapewniają one, że serwer WWW i przeglądarka otrzymują prawidłowe klucze publiczne i prywatne w celu zainicjowania chronionej komunikacji.

Po pierwsze, serwer uwierzytelnia się wobec klienta jako posiadacz certyfikatu. Następnie ustalane jest szyfrowanie asymetryczne i wymieniane są odpowiednie klucze. Umożliwiają one następnie szyfrowanie symetryczne. Od tego momentu cała komunikacja pomiędzy klientem a serwerem jest szyfrowana.

Klucze są regularnie odnawiane podczas całej komunikacji. Dzięki temu strumień danych pozostaje zabezpieczony przed podsłuchem i modyfikacją, nawet jeśli atakującemu uda się dokonać jednorazowego włamania. Siła tego szyfrowania zależy wtedy od konfiguracji serwera WWW hostera, a nie od certyfikatu.

Centralnym elementem certyfikatów SSL jest łańcuch zaufania (ang. Chain of Trust)

Łańcuch zaufania to podstawowa zasada, na której opierają się wszystkie klasyczne certyfikaty SSL. Organizacja gwarantuje, że określony certyfikat pochodzenia (certyfikat główny) jest godny zaufania. Czy stwierdzenia zawarte w certyfikacie - takie jak "Strona X należy do Domeny Y", lub "Domena Y należy do Dostawcy Z" - są poprawne. Tak długo, jak ten oryginalny urząd certyfikacji jest zaufany, system działa.

Certyfikaty wszystkich dostawców SSL są zazwyczaj oparte na takich certyfikatach głównych. W ten sposób dostawcy zyskują wiarygodność i mogą realizować swoje zadanie podpisywania certyfikatów. Mniejsi usługodawcy polegają zatem na wiarygodności większych usługodawców. Lub na odwrót: więksi dostawcy przekazują swoją wiarygodność mniejszym. W ten sposób tworzą łańcuch zaufania:

Schemat łańcucha zaufania
Ilustracja przedstawia połączenie pomiędzy certyfikatem głównym z Let's Encrypt i późniejszymi darmowymi certyfikatami SSL.

Jeśli jednak certyfikat główny jest uszkodzony, łańcuch zostaje przerwany, a certyfikaty teoretycznie stają się bezwartościowe. Dotyczy to jednak wszystkich certyfikatów SSL, niezależnie od tego, czy są one darmowe czy płatne.

Ograniczona walidacja jest główną wadą certyfikatów Let's Encrypt.

Certyfikaty SSL działają w ten sposób, że gwarantują, iż odwiedzana strona należy do określonego odpowiednika. Z reguły jest to domena, czyli adres strony internetowej. W takim przypadku certyfikat zapewnia, że strona, na którą wchodzimy, rzeczywiście należy do domeny, z której korzystamy. Jest to najniższy poziom walidacji.

Dodatkowo istnieje również walidacja organizacji oraz walidacje rozszerzone. Te ostatnie zapewniają, że strona, na którą wchodzimy, rzeczywiście należy do firmy, która w założeniu stoi za tą stroną. Ma to zasadnicze znaczenie dla banków i dostawców usług płatniczych.

Certyfikaty Let's Encrypt oferują tylko walidację domen. Rozszerzone walidacje nie są obecnie jeszcze możliwe i prawdopodobnie nie zostaną wprowadzone w przyszłości. Dzieje się tak dlatego, że proces uwierzytelniania organizacji i firm jest złożony i wymaga pracy ludzkiej. Let's Encrypt może jednak oferować swoje certyfikaty wyłącznie bezpłatnie, ponieważ wszystkie procesy są w miarę możliwości zautomatyzowane. Oznacza to, że nie jest potrzebna praca ludzka.

Certyfikatem Let's Encrypt można walidować wiele domen

Od kilku tygodni darmowe certyfikaty SSL pozwalają na łączenie wielu domen pod jednym certyfikatem. Dzięki temu darmowe certyfikaty mogą być stosowane w przypadku bardziej złożonych struktur witryn z wieloma domenami najwyższego poziomu i subdomenami.

Wniosek: W dzisiejszych czasach nikt nie musi płacić za certyfikaty SSL

Darmowe certyfikaty SSL od Let's Encrypt są tak samo bezpieczne i działają podobnie jak płatne certyfikaty. Tym samym Amerykanie z USA wywarli presję zwłaszcza na niemieckich dostawców usług hostingowych. Doprowadziło to do tego, że już dziś nikt nie musi płacić za SSL. Decydujące spostrzeżenie Let's Encrypt brzmi: Darmowy HTTPS jest możliwy i ważny dla Internetu jako całości. A przy okazji korzystają na tym zwłaszcza mali i średni operatorzy stron internetowych. Bo z jednej strony oszczędzają koszty, a z drugiej tworzą bezpieczeństwo prawne dla swoich ofert.

W drugiej części tego dossier pokazujemy, jak Let's Encrypt wygląda dziś i jak bardzo przyszłościowe są certyfikaty. Ponieważ często słyszeliśmy pytanie, co właściwie stanie się z Twoją własną witryną, jeśli Let's Encrypt zawiedzie. W części 3 tego dossier pokażemy, jakie konkretne korzyści pod względem wydajności i bezpieczeństwa niesie ze sobą Let's Encrypt, na co zwracać uwagę i jak skonfigurować taki certyfikat.

Część 2 - Let's Encrypt ma ogromny potencjał, szczególnie dla małych i średnich serwisów internetowych.

Ciągle słyszymy pytanie: "Co się stanie, jeśli Let's Encrypt zawiedzie?". Z ponad 100 milionami wydanych certyfikatów, Let's Encrypt osiągnął już ważny kamień milowy. W porównaniu rynkowym urzędów certyfikacji na świecie, Let's Encrypt awansował już na 10 miejsce.

Odkąd Let's Encrypt oficjalnie wystartował w maju 2016 roku, kamienie milowe przychodzą gęsto i szybko: Dwa miliony, pięć milionów, 14 milionów, a ostatnio 100 milionów darmowych certyfikatów SSL. Liczba ta nie oznacza jednak, że te 100 milionów wydanych certyfikatów jest aktywnych. Trzeba raczej podejść do tej liczby z kilku stron i zadać jej pytanie: co się za nią właściwie kryje?

Let's Encrypt Growth Graphic
Ten wykres pokazuje jak kształtował się przyrost certyfikatów Let's Encrypt od 2016 roku. W lutym 2018 roku osiągnięto kamień milowy w postaci 50 milionów aktywnych certyfikatów.
Nie wszystkie ze 100 milionów wydanych certyfikatów są ważne

Liczba 100.000.000 początkowo niewiele mówi. Ponieważ zawiera śmieci danych: Odnowienia certyfikatów, wielokrotne certyfikacje i wygasłe certyfikaty są liczone. Jeśli dodatkowo wiesz, że cykl odnawiania certyfikatów Let's Encrypt wynosi 90 dni, liczba ta szybko staje się względna.

Bardziej informatywna jest liczba aktualnie ważnych certyfikatów: Let's Encrypt liczy obecnie około 53 milionów ważnych certyfikatów. Nie oznacza to jednak, że faktycznie istnieje tak wiele stron, które są szyfrowane za pomocą Let's Encrypt. Ale liczba ta daje już pierwszą przybliżoną wartość.

Let's Encrypt zajmuje obecnie 10 miejsce w światowym zestawieniu

Innym dobrym źródłem do właściwej oceny Let's Encrypt są dane z w3techs.com. Serwis zbiera udziały określonych technologii internetowych na podstawie top 10 milionów witryn wyliczanych przez Alexę. Odpowiednie strony internetowe są przeszukiwane specjalnie pod kątem określonych technologii. Jeśli uda się trafić, jest to uwzględniane w liczeniu. Więcej szczegółów na temat użytej próbki można znaleźć tutaj.

Według w3techs, Let's Encrypt jest obecnie nadal karłem w szeregach urzędów certyfikacji z nieco ponad 0,2% udziałem w rynku i 0,1 użycia wśród najlepszych stron internetowych. Przynajmniej Let's Encrypt znalazł się na 10. miejscu, co nie jest niczym nadzwyczajnym, biorąc pod uwagę konkurencję ze strony największych potęg na rynku, takich jak IdenTrust (45,1% udziału w rynku), Comodo (31,5%), DigiCert (11,1%) i GoDaddy (6,9%).

Udział Let's Encrypt w rynku
Ten wykres pokazuje, jaki procent najlepszych stron internetowych używa Let's Encrypt. Let's Encrypt był w stanie zwiększyć swój udział w rynku z 0,02 w 2016 roku do 0,2 procent w 2018 roku.

W tym kontekście należy wspomnieć, że urząd certyfikacji IndenTrust dostarcza certyfikaty główne dla Let's Encrypt. Fakt, że zajmują pierwsze miejsce, jest więc dobrym znakiem. Jeśli bowiem źródło certyfikatów głównych cieszy się wysokim zaufaniem, to usługi oparte na tych certyfikatach głównych również mają dobrą pozycję.

Udział w rynku Urzędy certyfikacji SSL
Udział w rynku i bezwzględne wykorzystanie największych Urzędów Certyfikacji według w3techs.
Certyfikaty Let's Encrypt są obecnie częściej używane przez małe i średnie witryny

Ponieważ zaawansowana walidacja z Let's Encrypt nie jest obecnie możliwa, głównie mniejsze witryny korzystają z darmowych certyfikatów, które doskonale radzą sobie bez zaawansowanej walidacji. Z danych w3techs jasno wynika, że Let's Encrypt jest obecnie używany głównie przez strony o niskim i średnim natężeniu ruchu. Z kolei najwięksi gracze na rynku obsługują raczej witryny o średnim ruchu. Można przypuszczać, że są to przede wszystkim witryny komercyjne, które stawiają na rozszerzoną walidację lub ze względu na swoją skomplikowaną strukturę nie mogą łatwo przejść na darmowe certyfikaty SSL.

Pole dostawcy Certification Authority-Lets-Encrypt
Wniosek: Let's Encrypt ma duży potencjał, ponieważ wciąż prawie 17% stron jest niezaszyfrowanych

Dla spojrzenia w przyszłość, mniej interesujące są strony z certyfikatem SSL, a bardziej strony bez certyfikatu SSL. Według w3techs jest to 16,9 procent. Chociaż powody braku certyfikatu SSL nie są podzielone dla tych stron, dla sporego odsetka z nich koszty w połączeniu z przeszkodami technicznymi są prawdopodobnie głównymi przeszkodami.

Zarówno koszty, jak i problemy z konfiguracją zostały w dużej mierze wyeliminowane przez Let's Encrypt. A jeśli dostawcy usług hostingowych odpowiednio zintegrują certyfikaty w swoich ofertach, będzie to jeszcze łatwiejsze. Ponieważ najczęściej rozwiązania typu 1-click są wtedy rezultatem. Im większą świadomość zyska kalifornijska inicjatywa, tym mniejsza powinna być liczba stron nie posiadających certyfikatu SSL.

Jak dotąd wydaje się, że Let's Encrypt nie przeszedł jeszcze transformacji w wykładniczy wzrost. To może się zmienić w 2018 roku, kiedy Chrome zacznie oznaczać strony bez HTTPS. Również zachowanie innych producentów przeglądarek w tej kwestii będzie miało wpływ na przyszłość. Jednak rozwój, który zainicjował Let's Encrypt, należy w każdym razie przyjąć z zadowoleniem, zarówno dla operatorów stron, jak i dla dostawców usług hostingowych.

To dostawcy określają również, jak łatwo lub skomplikowanie jest skonfigurować darmowy SSL. W ostatniej części tego dossier, pokażemy Ci zalety darmowych certyfikatów SSL od Let's Encrypt i jak możesz je zdobyć.

Część 3 - Wartość dodana certyfikatów SSL i konfiguracja Let's Encrypt

Oczywiście, aspekt bezpieczeństwa jest najważniejszą zaletą HTTPS. Jednak w przypadku odpowiedniej infrastruktury szyfrowanie przynosi nawet korzyści w zakresie wydajności. Bezpłatny certyfikat SSL można zazwyczaj zamówić za pośrednictwem swojego hostera. Albo masz pojęcie i możesz sam go skonfigurować.

Certyfikat SSL przełącza Twoją stronę z nieszyfrowanego protokołu HTTP na bezpieczny HTTPS. Dane, które są wymieniane pomiędzy przeglądarką a serwerem internetowym są szyfrowane. Certyfikat SSL przynosi więc w sumie trzy kluczowe korzyści: (1) Szyfrowanie danych osobowych. (2) Bezpieczeństwo prawne dla operatora obiektu. (3) Krótszy czas ładowania dzięki HTTP/2.

Szyfrowanie komunikacji pomiędzy przeglądarką a serwerem WWW

Główną zaletą certyfikatu SSL jest to, że komunikacja pomiędzy serwerem WWW a przeglądarką jest szyfrowana. Proces uwierzytelniania jest wcześniejszy niż szyfrowanie i zapewnia, że certyfikaty spełniają drugą korzyść, a mianowicie identyfikację posiadacza certyfikatu.

Oba budują zaufanie użytkownika. Użytkownik nie tylko wie, że znajduje się na właściwej stronie, ale również wie, że nikt nie może po prostu odczytać danych, które wpisuje na stronie. Na przykład informacje o adresie lub dane bankowe.

To większe zaufanie może być korzystne dla Twojego własnego biznesu online. W większości przypadków jednak certyfikat SSL i tak jest obowiązkowy.

Jeśli wymagane są dane osobowe, muszą być one chronione

Niezależnie od Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), które weszło w życie 25 maja 2018 r., zabezpieczenie danych wrażliwych w Niemczech jest obowiązkowe od lat. Przynajmniej w teorii. Ponieważ zgodnie z §13 ustawy o telemediach ma zastosowanie:

dostawcy usług "[...] zapewniają, w zakresie swoich obowiązków w odniesieniu do telemediów oferowanych na zasadach komercyjnych, w stopniu technicznie możliwym do wykonania i uzasadnionym ekonomicznie, aby [...] stosowane urządzenia techniczne [...] były zabezpieczone przed naruszeniem danych osobowych [...] za pomocą środków technicznych i organizacyjnych".

Szczególnie niejasne sformułowania spowodowały wiele niepewności wśród niemieckich operatorów stron: Czy własny blog ma charakter biznesowy? W którym momencie można ją zakwalifikować jako taką? Co jest technicznie możliwe? Co jest ekonomicznie uzasadnione? Te i inne pytania zostały bardzo szczegółowo omówione. Bez wyraźnego rezultatu.

Jednak wydaje się, że tenor jest następujący: szyfrowanie SSL nie jest obowiązkowe. Ale tylko kopia zapasowa danych. Nie musi się to odbywać za pomocą certyfikatu SSL. Szyfrowanie komunikacji pomiędzy przeglądarką a serwerem WWW jest jednak bardzo dobrym i stosunkowo prostym sposobem na ochronę wrażliwych danych osób odwiedzających witrynę.

Dla operatorów stron oznacza to, że certyfikat SSL bardzo szybko eliminuje wiele niepewności prawnych i znacznie zmniejsza ryzyko ostrzeżeń. Nie ma znaczenia, czy certyfikat jest bezpłatny czy płatny. Liczy się samo szyfrowanie.

HTTPS zabójcą wydajności? Nieporozumienie - jeśli hoster podjął odpowiednie środki ostrożności

Operatorzy witryn wielokrotnie wyrażają obawy, czy szyfrowanie nie wpłynie negatywnie na czas ładowania strony. Są one więcej niż bezpodstawne. Nie tylko proces uwierzytelniania nie jest szczególnie wymagający pod względem wydajności, ale SSL sprawia, że nawet Twoja własna strona jest szybsza. Przynajmniej wtedy, gdy na serwerze internetowym jest skonfigurowany tzw. standard HTTP/2.

Zapewnia to m.in. dzięki równoległemu ładowaniu pakietów danych i zoptymalizowanej komunikacji między przeglądarką a serwerem - tzw. server push - szybsze ładowanie strony.

Wsparcie techniczne Twojego dostawcy hostingu może Ci powiedzieć, czy HTTP/2 jest aktywny.

W zależności od hostingodawcy, konfiguracja darmowego certyfikatu SSL może być prosta lub bardziej skomplikowana.

W zasadzie każdy użytkownik, który ma odpowiednie prawa dostępu do serwera, może stosunkowo łatwo samodzielnie skonfigurować Let's Encrypt. W zdecydowanej większości przypadków nie jest to jednak nawet konieczne. Ponieważ wielu dostawców usług hostingowych zintegrowało już w swoich ofertach odpowiednio wygodne rozwiązania.

Zasadniczo można dokonać rozróżnienia pomiędzy:

Dostawcy, którzy umożliwiają korzystanie z Let's Encrypt, ale w przypadku których musisz skonfigurować go samodzielnie. Dostawcy, którzy sami nie pozwalają na Let's Encrypt, ale nadal oferują darmowe certyfikaty oraz dostawcy, którzy zintegrowali Let's Encrypt ze swoim interfejsem użytkownika.

Druga grupa obejmuje kilku dużych polscy hosterów. Mimo że nie zintegrowały one Let's Encrypt, od czasu uruchomienia inicjatywy poszły w ich ślady i obecnie oferują bezpłatny dostęp do oświetlenia półprzewodnikowego od swoich partnerów współpracujących. W większości przypadków certyfikaty są zawarte w taryfach. Jednak to, jak dokładnie są one aktywowane, może się różnić w zależności od operatora.

Optymalnie, dostawcy zintegrowali darmowe SSL w swoich interfejsach użytkownika i instalacja odbywa się automatycznie. Kilku dostawców zrobiło to z certyfikatami Let's Encrypt. Funkcja może wtedy wyglądać jak nasza, na przykład:

Włącz SSL RAIDBOXES
Na stronie RAIDBOXES możesz włączać i wyłączać SSL za darmo jednym kliknięciem.

Za pomocą jednego kliknięcia można aktywować SSL i w razie potrzeby ponownie go dezaktywować. U niektórych dostawców, SSL jest również po prostu aktywowany automatycznie.

Wniosek: SSL przynosi wiele korzyści i jest właściwie wszędzie dostępny za darmo.

Zasadniczo certyfikat SSL jest dostępny dla każdego operatora witryny bezpłatnie w taki czy inny sposób. Konfiguracja również w zdecydowanej większości przypadków ogranicza się do jednego lub kilku kliknięć. Dlatego możemy tylko doradzić, aby zająć się własną ofertę hostingową szybko i zrobić własną stronę przyszłości jak najszybciej. Bo oprócz Google, także Mozilla zapowiedziała, że będzie odpowiednio karać nieszyfrowane strony. Jednak przy odrobinie przygotowań, żaden operator budowy nie musi się martwić.

RAIDBOXER od początku istnienia firmy i szef działu wsparcia. Na Bar- i WordCampach uwielbia rozmawiać o PageSpeed i wydajności stron internetowych. Najlepszym sposobem na przekupienie go jest espresso - lub bawarski precel.

Powiązane artykuły

Komentarze do tego artykułu

P
Piotr

Let's Encrypt stał się szczególnie popularny wśród oszustów posiadających swoje strony.
Dlatego radzę omijać takie strony i nie podawać żadnych danych mimo, że są zabezpieczone sslem, wystarczy podejrzeć certyfikat.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.