- Domeny
- Hosting i VPS
- Certyfikaty SSL
- Narzędzia
- Programy partnerskie
- Kontakt, O firmie
Wkrótce na naszym blogu MSERWIS będziesz miał okazję przeczytać tekst na temat mitów dotyczących bezpieczeństwa, które należy obalić w nowym 2018 roku. Do wspomnianej listy istotnie należy dopisać uzyskanie certyfikatu SSL (Secure Socket Layer).
Rok 2018 będzie rokiem szyfrowania. Począwszy od stycznia Google i Mozilla zaczną aktualizować interfejs użytkownika w swoich przeglądarkach i wszelkie witryny posiadające na początku adresu HTTP będą oznaczane komunikatem “niezabezpieczone”.
Skąd to wiemy? Otóż z dokładnej obserwacji działań przeglądarek zmierzających do ustandaryzowania zaszyfrowanych połączeń HTTPS w poprzednim roku. Zeszłej jesieni, ilość ostrzeżeń wyświetlanych w przeglądarkach wzrosła - od tamtej pory przeglądarki wydają ostrzeżenie o nieszyfrowanym połączeniu dla dowolnej strony HTTP z polem tekstowym. Do czasu.
Na wiosnę przeglądarki zaczną aktywnie oznaczać dowolną witrynę HTTP jako "Niezabezpieczoną". To oznacza, że bez wykupionego certyfikatu SSL w swojej witrynie i migracji do HTTPS, twoja strona będzie oznaczona jako "niezabezpieczona".
Dla naszych stałych czytelników informacja ta nie powinna być wielkim zaskoczeniem. Ostatnio pisaliśmy o tym w lutym 2017 roku - Firefox i Chrome ostrzegają, że połączenie z Twoją stroną nie jest bezpieczne? Co zrobić? oraz we wrześniu 2016 roku - Nie masz certyfikatu SSL? Możesz stracić klientów. Nadchodzą zmiany w Google Chrome.
Nie masz jeszcze SSL-a? To zrozumiałe, zwlekanie jest cechą ludzką, wciąż więc istnieją miliony stron internetowych, które jeszcze nie rozwiązały tego problemu. Poniżej tłumaczymy o co w tym wszystkim chodzi.
Najkrótsza odpowiedź brzmi: ponieważ przeglądarki internetowe zaczynają traktować go jako standard. Internet, jaki znamy, zbudowany jest na protokole HTTP lub Hypertext Transfer Protocol. HTTP działał znakomicie przez ostatnie dwie dekady, ale ma jedną wadę: nie jest bezpieczny. Wszelkie informacje przesyłane za pośrednictwem połączenia HTTP są otwarte. Oznacza to, że łatwo jest podsłuchać połączenie. Ktoś może z niego wykraść informacje lub ustawić się między użytkownikiem a serwerem, co pozwoli mu wykonać tzw. atak Man-in-the-Middle.
Po poprawnym zainstalowaniu certyfikatu SSL można rozpocząć korzystanie z HTTPS zamiast HTTP. HTTPS to bezpieczna wersja protokołu HTTP. Wykorzystuje szyfrowanie zarówno do uwierzytelniania serwera, jak i do ochrony wszelkich przesyłanych informacji.
Dzięki temu łatwiej zrozumieć, dlaczego przeglądarki wymagają takiego standardu, w końcu chodzi o bezpieczeństwo informacji ich użytkowników takich jak: dane osobowe, hasła, loginy czy numery kart kredytowych.
Odpowiemy wprost: wydawcy przeglądarek są w takim położeniu, które pozwala im dyktować warunki.
“Zastanów się teraz czy wiesz, jak korzystać z Internetu bez komputera lub przeglądarki mobilnej?
…
…
...
hmmm… no właśnie.”
Ludzie potrzebują przeglądarek do przeglądania stron w Internecie, ponieważ (czy tego chcemy czy nie) Internet stał się częścią naszego życia. Firmy z kolei potrzebują przeglądarek, aby w odpowiedni sposób wyświetlały swoje witryny, gdy ludzie zdecydują się je odwiedzić. Wydawcy przeglądarek dysponują więc ogromną mocą decyzyjną. Prawdą jest jednak to, że działają oni przede wszystkim w interesie swoich użytkowników - w końcu bez nich nie osiągnęłyby swojej pozycji. Bezpieczne połączenia oznaczają większe bezpieczeństwo wszystkich użytkowników, co z kolei tworzy bezpieczniejszy internet.
W tym momencie nie chodzi o to, kto potrzebuje protokołu SSL lub nie. Chodzi o to, że wydawcy przeglądarek chcą przenieść Internet na HTTPS, który za moment stanie się standardem - takim samym, jak wcześniej HTTP. Poza prostym faktem, że szyfrowane połączenia są bezpieczniejsze, istnieje również techniczny powód, dla którego warto dokonać tej zmiany.
Jest nim HTTP/2 - następcą wiekowego już HTTP. Czym jest HTTP/2? To nowa wersja wydanego w 1999 roku protokołu HTTP/1.1 odpowiadającego za komunikację serwera z przeglądarką. W odróżnieniu od HTTP nowy protokół jest znacznie szybszy, działa lepiej, ale wymaga też bezpiecznych połączeń. Wdrożenie protokołu HTTP/2 postępuje stopniowo, ale ostatecznie stanie się nowym standardem. Tak więc wymaganie protokołu SSL ułatwia również przejście na HTTP/2.
W dużym skrócie: SSL to protokół służący do bezpiecznej transmisji zaszyfrowanego strumienia danych z użyciem certyfikatów. Szyfrowanie danych odbywa się linii klient - serwer, np. podczas podawania podawania danych do logowania w dowolnym serwisie. Wydanie certyfikatu wymaga między innymi weryfikacji posiadanych praw klienta do danej nazwy domenowej.
Najważniejszą rzeczą na samym początku jest wybór certyfikatu, którego chcesz użyć w swojej witrynie. Kolejnym krokiem będzie zainstalowanie go na serwerze, a następnie konfiguracji domeny w taki sposób, aby wskazywała adresy HTTPS zamiast HTTP. Natomiast schemat działania protokołu jest dość skomplikowany, a prezentuje się on w poniższy sposób.
Schemat działania protokołu:
Jak widzimy powyżej działanie protokołu nie należy do najłatwiejszych do wyjaśnienia. Ważne jest jednak to, że dzięki niemu użytkownik może mieć gwarancję, że połączenie z serwerem jest naprawdę bezpieczne.
Skoro jednym z celów jest doprowadzenie do sytuacji, w której 100% witryn w sieci www będzie dostępnych po HTTPS, w 2014 roku za sprawą Internet Security Research Group (ISRG) pojawiła się pojawiła się inicjatywa dostarczania użytkownikom darmowych certyfikaty szyfrowania. Let's Encrypt oferuje bezpłatne certyfikaty oraz zestaw narzędzi do zarządzania nimi oraz automatycznej integracji z serwerami HTTP. Wg zapewnień certyfikaty mają być darmowe dla wszystkich. Czy na zawsze? To się okaże.
Jeden z najpopularniejszych (do niedawna) dostawców darmowych certyfikatów Start SSL został w ostatnim roku zablokowany przez Google co niechybnie skończyło się dla niego “śmiercią”. Istnieją jednak inni dostawcy, uznawani przez honorowani przez najpopularniejsze przeglądarki i systemy operacyjne. Należą do nich m.in.: SSL for Free czy Let’s Encrypt.
Let's Encrypt jest bardzo ciekawą alternatywą dla płatnych certyfikatów, ale ma też minusy. Jest to dobre rozwiązanie dla posiadaczy własnych serwerów, na których można zainstalować dodatkowe oprogramowanie. Niestety, nie nadaje się na hosting współdzielony. Wydawany jest na 3 miesiące z możliwością automatycznego odnowienia. Nie posiada również ubezpieczenia które jest dostępne w przypadku płatnych rozwiązań.
Należy pamiętać, że SSL-e to nie tylko szyfrowanie ale również potwierdzanie faktu, że jesteś tym za kogo się podajesz. Płatne rozwiązania oferują potwierdzenie zgodne ze standardami Urzędu Certyfikacji (CA). Korzystając z darmowych certyfikatów nie masz takiej gwarancji. Pamiętaj o tym, że darmowe certyfikaty wydawane na krótkie okresy, płatne mogą być wydane nawet na kilka lat!
Skoro już kończymy warto jeszcze raz to powtórzyć. Certyfikat SSL to nie tylko produkt dla dużych stron, sklepów internetowych czy banków. W 2018 roku każdy będzie potrzebował SSL-a.
Ps. czy wiecie, że ten sam standard właśnie wprowadza WordPress? Już w poprzednim roku pojawiły się w nim funkcje, takie jak API authentification, które wymagają posiadania protokołu HTTPS.
Źródła:
https://www.thesslstore.com/blog/getting-ssl-2018-plans/https://www.whitepress.pl/baza-wiedzy/201/http-2-co-to-jest-i-czy-warto-to-wdrazachttps://potencjalnieniebezpieczni.pl/2017/11/16/6-powodow-dla-ktorych-warto-miec-certyfikat-ssl/http://blog.piotrows.pl/letsencrypt-darmowy-certyfikat-ssl/http://muflon.photosite.pl/doc/progzesp/ssl.html
Ta strona używa plików cookie
Wykorzystujemy je w celu personalizacji treści i reklam, zapewnienia funkcji dla serwisów społecznościowych oraz analizy ruchu na naszej stronie. Informacje na temat Twojej aktywności w naszym serwisie udostępniamy administratorom serwisów typu social media, reklamy internetowej i analityki. Partnerzy mogą łączyć te dane z innymi informacjami, które otrzymali od Ciebie lub zebrali w trakcie korzystania przez Ciebie z ich usług.
Dzięki Twojej zgodzie możemy lepiej dopasować ofertę do Twoich zainteresowań i preferencji.
Niezbędne pliki cookie są kluczowe dla prawidłowego działania strony, umożliwiając podstawowe funkcje, takie jak nawigacja i dostęp do bezpiecznych obszarów serwisu. Bez tych ciasteczek nasz serwis nie będzie działać poprawnie.
| Nazwa | Opis | Okres przechowywania | Dostawca cookie |
|---|---|---|---|
| PHPSESSID | Identyfikator sesji użytkownika | 24 godz. | Domeny.tv MSERWIS |
| cookieSettings | Informacja o akceptacji cookies przez użytkownika | 1 miesiąc | Domeny.tv MSERWIS |
Pliki cookie dotyczące preferencji pozwalają dla naszego serwisu zapamiętać informacje, które wpływają na jego wygląd i funkcjonowanie, na przykład wybrany język czy region użytkownika.
| Nazwa | Opis | Okres przechowywania | Dostawca cookie |
|---|---|---|---|
| doNotShowCartModal | Status | 24 godz. | Domeny.tv |
Statystyczne pliki cookie pomagają zrozumieć zachowanie użytkowników, aby lepiej odpowiedzieć na ich potrzeby, poprzez zbieranie i raportowanie anonimowych danych dotyczących korzystania ze strony www.
| Nazwa | Opis | Okres przechowywania | Dostawca cookie |
|---|---|---|---|
| _ga_*, _gid, _gat_* (Google GA4) | Analityka | 400 dni |
Marketingowe pliki cookie służą do monitorowania aktywności użytkowników na różnych stronach www, umożliwiając wyświetlanie reklam dostosowanych do ich zainteresowań, co zwiększa wartość reklam, które lepiej odpowiadają zainteresowaniom użytkowników.
| Nazwa | Opis | Okres przechowywania | Dostawca cookie |
|---|---|---|---|
| _gcl_au (Google Ads) | Cele reklamowe i remarketing | 90 dni | |
| _fbc, _fbp (Facebook) | Cele reklamowe i remarketing | 400 dni | Meta (Facebook, Instagram) |
| lz_* | Komunikacja z klientami (chat) | 100 dni | Domeny.tv MSERWIS |
| polecony | Cele reklamowe, remarketing, program partnerski | 30 dni | Domeny.tv MSERWIS |
| DOMENYTV | Cele reklamowe, remarketing, mailing | 100 dni | Domeny.tv MSERWIS |
Nieklasyfikowane pliki cookie to te, które są w trakcie przypisywania do odpowiednich kategorii, we współpracy z ich dostawcami.
Pliki cookie, zwane również ciasteczkami, to małe pliki tekstowe używane przez strony internetowe, aby usprawnić korzystanie z nich przez użytkowników. Prawo pozwala na przechowywanie plików cookie na urządzeniu użytkownika tylko wtedy, gdy jest to niezbędne do działania tej strony. W przypadku innych rodzajów plików cookie potrzebujemy Twojej zgody.
Na naszej stronie używamy różnych typów plików cookie. Niektóre z nich są umieszczane przez zewnętrzne usługi, które są dostępne na naszych stronach. W każdej chwili możesz cofnąć swoją zgodę w sekcji dotyczącej plików cookie na naszej stronie.
Więcej informacji o tym, kim jesteśmy, jak się z nami skontaktować oraz jak przetwarzamy dane osobowe, znajdziesz w naszej Polityce prywatności (www.domeny.tv/politykaprywatnosci). Prosimy o podanie identyfikatora zgody oraz daty, gdy będziesz się z nami kontaktować w tej sprawie.
Klikając na przycisk „Zezwól na wszystkie” oświadczasz, że wyrażasz zgodę na instalację w tym urządzeniu wszystkich plików cookies używanych na naszym Portalu przez Domeny.tv MSERWIS Sp. z o.o., z siedzibą przy ulicy Stacyjnej 1/63, 53-613 Wrocław oraz podmioty trzecie, tj. Google LLC, Meta Platform Ireland Ltd. Dzięki ww. plikom cookies będziemy mogli śledzić Twoje zachowanie na stronach Portalu a następnie je analizować w celu zrozumienia sposobu korzystania przez Ciebie z Portalu, dostosowania Portalu do Twoich potrzeb, a także przedstawiania Tobie spersonalizowanych reklam (pliki cookies są zatem wykorzystywane do profilowania). Pliki cookies umożliwiają nam również zapamiętywanie wybranych przez Ciebie ustawień i personalizację interfejsu Portalu. Więcej informacji na temat ww. plików cookies, ich funkcji, podmiotów je instalujących oraz celów do których będą wykorzystywane znajdziesz w Polityce cookies Portalu (www.domeny.tv/polityka-cookies).
Jeżeli klikniesz przycisk „Spersonalizuj” i następnie „Odmowa” wykorzystamy tylko niezbędne pliki cookies do prawidłowego działania Portalu, a także te pliki cookies, na których gromadzenie wyraziłeś dobrowolną zgodę poprzez zaznaczenie odpowiedniego przełącznika. Pamiętaj, że zawsze możesz określić, które konkretnie pliki cookies będą zainstalowane w tym urządzeniu końcowym. Wyrażenie zgody (przez kliknięcie „Zezwól na wszystkie”) lub każdej chwili zmienić zasady przechowywania lub dostępu do cookies w ustawieniach przeglądarki internetowej w Twoim urządzeniu. Zmiana ww. ustawień nie wpłynie jednak na legalność przetwarzania danych zebranych za pośrednictwem cookies zainstalowanych przed zmianą ww. ustawień.
Cookies instalowane przez Domeny.tv MSERWIS Sp. z o.o. lub informacje zbierane za ich pośrednictwem w pewnych okolicznościach można uznać za dane osobowe. Administratorem danych osobowych jest wówczas Domeny.tv MSERWIS Sp. z o.o. Kontakt z administratorem możliwy jest listownie, pocztą e-mail na adres info@mserwis.pl. Masz prawo do dostępu do danych osobowych, ich sprostowania, usunięcia, przeniesienia oraz ograniczenia przetwarzania, jak również prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przysługuje Ci prawo do zgłoszenia sprzeciwu wobec przetwarzania danych osobowych. Więcej informacji na temat przetwarzania danych osobowych na Portalu znajdziesz w Polityce prywatności Portalu.
Zaktualizuj swoją przeglądarkę, aby poprawnie wyświetlić tę stronę. / Update your browser to view this website correctly.
Komentarze nt. artykułu "Twój czas się powoli kończy. Jeśli witryna nadal zaczyna się od HTTP - pora uzyskać SSL-a"