Zabezpieczenie strony SSL stanowi istotny element cyberbezpieczeństwa. Certyfikat SSL jest protokołem sieciowym stosowanym do zabezpieczania połączeń internetowych, który szyfruje dane użytkownika i chroni je przed dostępem osób trzecich. O szyfrowaniu w protokole HTTPS, wykorzystującym certyfikaty SSL, świadczy zamknięta kłódka znajdująca się na pasku adresu przeglądarki. Dużą popularnością cieszy się darmowy certyfikat Let’s Encrypt, który pozwala korzystać z zabezpieczeń bez żadnych opłat. Czy to się opłaca? Jak wygenerować certyfikat SSL, aby zapewnić bezpieczeństwo internautom?
Dlaczego certyfikat Let’s Encrypt jest bezpłatny?
Większość z nas podejrzliwie podchodzi do produktów i usług, które są darmowe. Nic w tym dziwnego – jesteśmy przyzwyczajeni, że atrakcyjna oferta ma zwykle drugie dno. Jednak Let’s Encrypt to certyfikat będący projektem non-profit, wspieranym przez licznych sponsorów, takich jak Mozilla, Cisco, Chrome, AWS, IBM czy Meta. Celem Let’s Encrypt jest sprawienie, by każdy użytkownik na świecie mógł korzystać z protokołu HTTPS. W ten sposób możliwe jest osiągnięcie równości w sieci, bez wykluczania osób, których nie stać na płatne certyfikaty SSL. Strona internetowa nie zawsze musi być zabezpieczona certyfikatem SSL, aby była w pełni bezpieczna dla użytkowników. Warto korzystać także z innych rodzajów certyfikatów, szczególnie w przypadku amatorskich stron www czy korzystać z bezpłatnych wtyczek zabezpieczających w takich systemach CMS jak np. WordPress. Instalacja certyfikatu SSL na serwerze nie jest trudna, jednak wymaga choć minimalnych zdolności obsługi stron www. Darmowy certyfikat SSL jest również możliwy do pozyskania, jednak może mieć ograniczone działanie (zamiast roku, zapewnia bezpieczeństwo jedynie przez 3 miesiące). Najlepiej jest korzystać z oficjalnie stosowanych i darmowych certyfikatów jak w przypadku Let’s Encrypt. Generowanie darmowego certyfikatu SSL skutkuje jedynie weryfikacją domeny, a nie jak ma to miejsce w przypadku płatnego rozwiązania – jeszcze weryfikację organizacji i weryfikującą rozmowę telefoniczną.
Jakie zalety wynikają z otrzymania certyfikatu SSL? Oprócz zadbania o bezpieczeństwo danych zgromadzonych na stronie www, certyfikat SSL chroni także przez phishingiem, czyli podszywaniem się pod konkretną stronę i wyłudzaniem danych jej użytkowników. Ta ochrona dotyczy jednak jedynie certyfikatów EV.
Zalety i wady Let’s Encrypt
Darmowe zabezpieczenie strony SSL ma mnóstwo zalet, lecz czy to rozwiązanie jest tak dobre jak płatne certyfikaty? Przyjrzyjmy się plusom i minusom.
Zalety Let’s Encrypt:
-
- każdy, kto posiada domenę, może za darmo korzystać z Let’s Encrypt,
- usługa dostępna jest na całym świecie i wspiera równość w sieci,
- zapewnia bezpieczeństwo na poziomie komercyjnych certyfikatów,
- zabezpiecza strony www i pocztę e-mail,
- zapewnia bezpieczne logowanie,
- umożliwia generowanie certyfikatu typu wildcard,
- w pełni zautomatyzowana usługa, nie wymaga wypełniania dokumentów,
- świetna opcja dla programistów, start-upów i organizacji non-profit,
- pozwala redukować koszty osobom, które dopiero debiutują ze swoją stroną www np. blogerom,
- ma korzystny wpływ na doświadczenie użytkownika, który przywiązuje wagę do bezpieczeństwa w sieci.
Wady Let’s Encrypt:
-
- nie umożliwia weryfikacji właściciela domeny (a jedynie zapewnia, że witryna jest prawdziwym portalem danej firmy),
- krótszy czas ważności niż certyfikaty płatne (90 dni, lecz odnawia się automatycznie),
- nie działa na starszych programach pocztowych bez obsługi SNI.
- brak wsparcia technicznego może skutkować trudnościami w samodzielnym zainstalowaniu certyfikatu na domenie czy serwerze.
- przy korzystaniu z pomocy w instalacji bezpłatnego certyfikatu SSL Let’s Encrypt należy ponieść koszt obsługi klienta, jednak i tak będzie on zdecydowanie niższy niż w przypadku konieczności aktywacji klasycznego, płatnego certyfikatu SSL.
- Witryna Let’s Enrcrypt nie działa w języku polskim, co może być barierą dla osób nieposługujących się językiem angielskim (w instalacji darmowego certyfikatu mogą pomóc inni użytkownicy, np. na forach, którzy już z niego korzystają).
Szyfrowane połączenie HTTPS dla WordPress
Jednym z najważniejszych elementów strony zbudowanej na WordPressie jest certyfikat SSL, który pozwala na bezpieczne, szyfrowane połączenie z użyciem protokołu HTTPS. WordPress wyposażony jest w opcję uruchamiania SSL na stronie – ta funkcja wpływa nie tylko na bezpieczeństwo witryny, lecz również na doświadczenia użytkowników, którzy niechętnie korzystają ze stron bez symbolu kłódki przy HTTPS. WordPress w najnowszej wersji 5.9 nie wymaga już wtyczki Really Simple SSL. Jest to dobra informacja, gdyż każda wtyczka spowalnia stronę www i (nomen omen) zmniejsza jej bezpieczeństwo. Osoby, które na co dzień chociaż w minimalnym stopniu zajmują się obsługą swojej strony www na tej platformie nie powinny mieć trudności z wgraniem certyfikatu SSL. Certyfikat SSL został stworzony po to, aby zapewnić bezpieczeństwo w sieci. Chroni on wszystkie dane znajdujące się na konkretnej stronie takie jak: loginy i hasła użytkowników oraz ich dane osobiste, numery kart kredytowych, dane na temat zdrowia i wiele więcej. Za pomocą certyfikatu SSL można skutecznie uwiarygodnić stronę w oczach Google – witryny bez certyfikatu spadają w rankingu wyszukiwarki. Jeśli witryna wyda się także podejrzana dla programu antywirusowego zainstalowanego przez użytkownika, to nie pozwoli on przejść mu na podejrzaną witrynę lub ostatecznie poinformuje go o potencjalnym niebezpieczeństwie. Aby więc móc wykorzystać potencjał witryny www instalacja chociaż darmowego SSL wydaje się niezbędna.
Jak uruchomić SSL na stronie WordPress?
Domyślną opcję aktywacji certyfikatu SSL dla WordPress można ustawić w bardzo prosty sposób. Warunkiem jest oczywiście aktualny WordPress i posiadanie domeny znajdującej się na serwerach DNS należących do IBE.pl. Wystarczy więc zalogować się do panelu administracyjnego i postępować zgodnie z instrukcją zamieszczoną tutaj („Jak włączyć Let’s Encrypt w panelu administracyjnym IBE.pl?”). W ten prosty sposób można uzyskać darmowy certyfikat SSL dla WordPress, który obejmuje również bezpieczne logowanie i obsługę poczty e-mail. Aktywacja certyfikatu SSL na stronie działającej w oparciu o WordPress nie powinna być niczym trudnym. Jeśli posiada się starszą wersję WordPressa niż 5.9 należy poprzez panel WP dostać się do sekcji „Wtyczki” i zainstalować dodatek „Really Simple SSL”. Następnie trzeba przejść do ustawień zainstalowanej wtyczki i wybrać opcję „Go ahead, activate SSL”. Od tego momentu Twoja strona ma certyfikat SSL. Certyfikat SSL zapewnia jej wzrost zaufania wśród użytkowników i lepsze pozycjonowanie w Google. Większość przeglądarek internetowych nie wyświetla obecnie zielonego paska przy stronach z certyfikatem SSL ani czerwonego w przypadku jego braku.