SSL jest protokołem sieciowym używanym do bezpiecznych połączeń internetowych, który przyjął się jako standard szyfrowania na stronach WWW.

Dzięki projektowi „Let’s Encrypt”, rozwijanemu przez Internet Security Research Group, firma extranet umożliwia Państwu bezkosztowe przeprowadzenie instalacji darmowego certyfikatu SSL dla Państwa stron internetowych utrzymywanych na serwerach naszej firmy.

Korzystanie z certyfikatu SSL spowoduje zmianę adresów internetowych Państwa stron internetowych z np. http://www.extranet.pl na https://www.extranet.pl (w części adresu związanego z protokołem do zapisu „http” dochodzi litera "s") wraz z wyświetlaniem się w pasku adresu przeglądarki internetowej charakterystycznego znaku kłódki.

Czy certyfikat SSL jest potrzebny?

Przeglądarki internetowe, począwszy od Google Chrome w wersji 62 (data udostępnienia 17 października 2017 r.), zaczynają wprowadzanie dodatkowych oznaczeń w pasku adresu stron internetowych nie posiadających certyfikatu SSL - pierwszym etapem jest oznaczanie wybranych podstron etykietą „Niezabezpieczona”, a następnie wszystkich stron internetowych nie posiadających certyfikatu SSL etykietą „Niebezpieczna”.

Już teraz warto zadać pytanie czy internauci odwiedzający stronę internetową będą nadal to robić widząc wspomniane etykiety.

Czy certyfikat SSL jest obowiązkowy?

Wymogi związane z ochroną danych, w szczególności danych osobowych, uległy zwiększeniu od dnia 25 maja 2018 r. w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2017 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz L 119 z 4.05.2016 r.). W przypadku, gdy dochodzi do przesyłania danych osobowych w ramach danej strony internetowej jej właściciel (administrator danych osobowych), zgodnie z art. 32 RODO, musi stosować "odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa" m.in. poprzez użycie szyfrowania.

Dodatkowo 9 czerwca 2017 r. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Unii Europejskiej przedstawiła projekt regulacji zakładających m. in. wymuszenie stosowania metod kryptograficznych (np. certyfikaty SSL dla stron internetowych) wszędzie tam, gdzie jest to technicznie możliwe co stanowi sygnał, że w niedalekiej przyszłości regulacja stanie się wymogiem prawa unijnego.

Jakie korzyści daje certyfikat SSL?

Główne korzyści wprowadzenia certyfikatu SSL:

• poczucie bezpieczeństwa internautów - informacje przesyłane pomiędzy przeglądarką internetową użytkownika a serwerem, na którym znajduje się strona internetowa są szyfrowane, co jest ważne szczególnie w przypadku przesyłania poufnych informacji (np. danych osobowych);

• wiarygodność instytucji - certyfikat SSL potwierdza wiarygodność strony WWW, a w przypadku wykorzystywania bardziej zaawansowanych certyfikatów typu EV, oferowanych przez firmy komercyjne, również wiarygodność całej instytucji;

• lepsze pozycjonowanie strony WWW - korzystanie z certyfikatu SSL może powodować wzrost pozycji strony WWW w wynikach wyszukiwarek internetowych (np. Google);

• szybsze działanie strony WWW - prędkość ładowania stron internetowych zwiększa się dzięki protokołom SPDY czy HTTP/2 obsługiwanych przez nowoczesne przeglądarki internetowe.

Czy mogą wystąpić problemy?

Konsekwencją wprowadzenia certyfikatu SSL dla strony internetowej będzie brak możliwości korzystania ze strony przy wykorzystywaniu archaicznych przeglądarek internetowych; sytuacja jest niszowa i dotyczy przede wszystkim użytkowników przeglądarki internetowej Microsoft Internet Explorer działających pod kontrolą niewspieranego już od kwietnia 2014 r. systemu operacyjnego Microsoft Windows XP - rozwiązaniem tego problemu jest zainstalowanie i korzystanie z nowoczesnej, w pełni darmowej przeglądarki internetowej Mozilla Firefox (niestety przedstawione rozwiązanie nie dotyczy przeglądarek Google Chrome i Opera).

Dodatkowo od początku roku 2021 roku użytkownicy systemu Android w wersjach starszych niż wersja 7.1.1 (Nougat) mogą mieć problemy z wywołaniem stron internetowych zabezpieczonych certyfikatem SSL "Let's Encrypt" - zalecana jest aktualizacja systemu Android do nowszych wersji lub korzystanie z mobilnej wersji przeglądarki Mozilla Firefox (która działa w systemach Android od wersji 5.0).

Co zrobić, aby posiadać certyfikat SSL na stronie WWW?

Wystarczy przesłanie prośby o instalację certyfikatu SSL w wiadomości e-mail na adres admin@extranet.pl o tytule "Darmowy certyfikat SSL".

Otrzymają Państwo informację zwrotną o przeprowadzonej operacji.

Czy operacja jest odwracalna?

W celu usunięcia certyfikatu SSL ze strony WWW wystarczy przesłanie prośby o usunięcie certyfikatu SSL w wiadomości e-mail na adres admin@extranet.pl o tytule „Usunięcie certyfikatu SSL”.

Konsekwencjami rezygnacji z certyfikatu SSL są:

1. zmiana adresu strony internetowej (powrót do zapisu protokołu „http” bez litery „s” na końcu) i nie wyświetlanie się już w pasku adresu przeglądarki internetowej charakterystycznego znaku kłódki,

2. internauci, którzy już odwiedzali stronę internetową, będą musieli wyczyścić pamięć podręczną przeglądarki internetowej, ponieważ będą one „pamiętać” informację o konieczności prowadzenia bezpiecznej szyfrowanej komunikacji (po pewnym czasie przeglądarki samodzielnie usuwają takie informacje).

Gdzie mogę znaleźć więcej informacji?

Poniżej prezentujemy wybrane artykuły związane z certyfikatami SSL:

• „Chrome 69 przestanie oznaczać strony z HTTPS jako bezpieczne”:
  https://pclab.pl/news77932.html [z dnia 2018.05.21]

• „A secure web is here to stay” (w języku angielskim):
  https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html [z dnia 2018.02.08]

• „Next Steps Toward More Connection Security” (w języku angielskim):
  https://security.googleblog.com/2017/04/next-steps-toward-more-connection.html [z dnia 2017.04.27]

• „Zabezpiecz swoją witrynę za pomocą protokołu HTTPS”:
  https://support.google.com/webmasters/answer/6073543?hl=pl

• „Avoiding the Not Secure Warning in Chrome” (w języku angielskim):
  https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn [z października 2016]

• „Twórcy Chrome chcą ostrzegać przed witrynami, które nie używają HTTPS”:
  https://www.dobreprogramy.pl/Tworcy-Chrome-chca-ostrzegac-przed-witrynami-ktore-nie-uzywaja-HTTPS,News,59856.html [z dnia 2014.12.16]

• „Dzięki Let's Encrypt szyfrowanie stron będzie łatwiejsze i darmowe”:
  https://www.dobreprogramy.pl/Dzieki-Lets-Encrypt-szyfrowanie-stron-bedzie-latwiejsze-i-darmowe,News,59266.html [z dnia 2014.11.19]

• „Google promuje strony HTTPS - kto musi kupić certyfikat?”:
  https://tech.wp.pl/kat,1009785,title,Google-promuje-strony-HTTPS-kto-musi-kupic-certyfikat,wid,16822162,wiadomosc.html [z dnia 2014-08-18]

• „Google będzie lepiej pozycjonował strony wykorzystujące protokół HTTPS”:
  http://antyweb.pl/google-bedzie-lepiej-pozycjonowal-strony-wykorzystujace-protokol-https/ [z dnia 2014.08.07]

• „Pozycjonowanie przez Google stron opartych na HTTPS”:
  http://nf.pl/manager/konsekwencje-promowania-przez-google-stron-opartych-na-https,,48863,60https,,48863,60 [z dnia 2014.08.19]

Certyfikat SSL - informacje techniczne

• wystawcą certyfikatu jest:
  • organizacja (O): Let's Encrypt Authority
  • nazwa pospolita (CN): Let's Encrypt Authority X3
• klucz publiczny certyfikatu ma długość 2048 bitów
• certyfikat ważny jest na maksymalnie 90 dni i jest "odświeżany" automatycznie (zajmuje się tym dedykowane oprogramowanie po stronie serwera hostującego)
• lista kompatybilnych przeglądarek internetowych znajduje się pod adresem:
  https://letsencrypt.org/docs/certificate-compatibility/
• przykładowa strona z certyfikatem SSL:
  https://www.gmina-glowno.pl/

(stan na dzień 2017-10-27)

Certyfikaty SSL

W razie napotkania na problemy z działaniem certyfikatu SSL prosimy o kontakt z naszą firmą, wysłanie wiadomości na adres admin@extranet.pl lub skorzystanie z formularza kontaktowego znajdującego się w stopce strony.