Z cyklu poadników geekweba dziś o tym jak zainstalować darmowy certyfikat SSL dla swojej strony internetowej.

Na wstępie przypomnę czym jest certyfikat SSL i jakie są jego rodzaje. Posiadanie certyfikatu SSL na stronie internetowej oznacza jedynie, że dane przesyłane z twojego urządzenia do serwera i w drugą stronę są szyfrowane – czyli, nie można ich podsłuchać. Certyfikat SSL gwarantuje także konsystencję danych oraz potwierdzają, że połączyliśmy się z tym, kim chcieliśmy. I to tutaj pojawia się problem, bo certyfikaty SSL występują w trzech rodzajach:

  • Domain validation – dostawca certyfikatu sprawdza jedynie, czy domena na której znajduje się certyfikat jest własnością tego, kto certyfikat instaluje. Nic poza tym. Taki certyfikat można otrzymać za darmo (o czym poniżej) i oprócz szyfrowanego połączenia z serwerem docelowym i odwrotnie nie gwarantuje niczego więcej. To na takie certyfikaty i mityczne zielone kłódki nabierają się najczęściej ofiary wszelkich phishingów i scamów.
  • Extended validation – to certyfikat rozszerzony. Zamiast zielonej kłódki przy adresie strony widnieje zielony pasek z nazwą firmy do której należy certyfikat.
  • Organization validated – to certyfikat wymagający od właściciela strony najwięcej zachodu, a tym samym uznawany jest za najbardziej bezpieczny. W tym przypadku musisz dowieść, że nie tylko jesteś właścicielem danej domeny, ale także właścicielem firmy na którą się powołujesz. Jeśli więc certyfikat wystawiony jest na Bank Polska Kasa Opieki S.A. to możesz mieć pewność, że łączysz się ze stroną należącą do banku PeKaO.

Podstawowy certyfikat (domain validation) możemy dla swojej strony internetowej zainstalować za darmo. Możecie to zrobić np. za pośrednictwem usługi zerossl.com.

Zainstalujecie w ten sposób certyfikat Let's Encrypt. LE to urząd certyfikacji dostępny jako publiczny produkt od 12 kwietnia 2016 roku (beta od 3 grudnia 2015). Projekt dostarcza użytkownikom darmowe certyfikaty szyfrowania X.509 Transport Layer Security (TLS) w ramach zautomatyzowanego procesu stworzonego aby wyeliminować wady ręcznego tworzenia, walidacji, podpisywania oraz instalacji certyfikatów dla bezpiecznych stron internetowych.

Jeszcze niedawno instalacja certyfikatu na własnej stronie nie wymagała posiadania konta i logowania się w usłudze ZeroSSL. Od pewnego czasu jest to jednak konieczne, ale w ten sposób macie dostęp do przejrzystego panelu użytkownika za pomocą którego możecie w łatwy sposób zarządzać swoimi certfykatami. A tych, w wersji darmowej, możecie mieć aż trzy (na trzy różne serwisy), i są to certyfikaty o terminie ważności 90 dni, co oznacza, że co trzy miesiące musicie taki certyfikat odnowić.

Jak zainstalować nowy certyfikat?

Nowy certyfikat dla naszej domeny instalujemy klikając w opcję New ceryficate. Następnie wypełniamy kolejne kroki instalacji, począwszy od wpisania nazwy kontrolowanej przez nas domeny. Wybieramy okres ważności – w przypadku konta darmowego dostępne opcję to tylko 90 dni. W tym momencie przechodzimy do etapu weryfikacji w którym musimy udowodnić, że wpisana wcześniej domeny rzeczywiście jest w naszym posiadaniu. Osobiście korzystam z opcji HTTP File Upload, która polega na wgraniu na serwer na którym znajduje się nasza strona dwóch plików w konkretnej lokalizacji.

Po wykonaniu tych czynności, jeśli system potwierdzi umieszczenie wspomnianych plików we wskazanym miejscu, przechodzimy do weryfikacji i otrzymujemy stosowne dane: certyfikatu oraz klucza prywatnego.

Za pomocą tych danych otrzymany certyfikat instalujemy w panelu swojego dostawcy hostingu. Jeśli wykonaliśmy cały proces poprawnie nasza domena w kilka chwil później powinna być już zabezpieczona certyfikatem SSL.

Jeśli macie jakieś pytania dotyczące opisanej powyżej instalacji to zostawcie je w komentarzach, odpowiem na wszystkie.

{loadmoduleid 782}