Weź sobie certyfikat

Przyszłość Internetu należy do bezpiecznego protokołu HTTPS

 

Twórcy przeglądarek internetowych zaczęli ostrzegać użytkowników przed stronami, które nie używają protokołu HTTPS. Tak jest na przykład w Chrome począwszy od wersji 56. Na razie przeglądarka ta oznakowuje w pasku adresowym jako niebezpieczne wszystkie te witryny, które udostępniają formularze zbierające wrażliwe dane po HTTP. Z czasem jednak Chrome będzie ostrzegać przed wchodzeniem na wszystkie strony, które nie używają szyfrowania. Podobną politykę stosuje Mozilla – twórcy Firefoxa również chcą zerwania z HTTP i przekonują, że przyszłość Internetu należy wyłącznie do bezpiecznego, szyfrującego przesyłane dane protokołu HTTPS. To dla webmasterów oznacza jedno: muszą postarać się o certyfikaty dla swoich witryn, jeśli jeszcze o to nie zadbali.

Najtańsze obecnie certyfikaty udało mi się znaleźć w ofercie firmy Hekko – certyfikat DV o nazwie Comodo Standard SSL kosztuje tam dla jednej strony 30 złotych rocznie. Chroniony jest jeden wybrany adres: z przedrostkiem www albo bez niego – do wyboru. Ta sama firma oferuje też certyfikaty Rapid SSL, które kosztują 55 zł rocznie i chronią adres w obu wersjach: z www i bez tego przedrostka. Poświadczenia kupione w Hekko można oczywiście zainstalować na dowolnym serwerze.

W sieci są również dostępne certyfikaty, które można uzyskać bezpłatnie. Do niedawna bardzo popularne były poświadczenia izraelskiej firmy StartCom. Niestety, w 2016 roku wykupił ją potajemnie chiński WoSign, a już w sierpniu tego samego roku Google zostało powiadomione przez serwis GitHub, że dla jednej z jego domen bez zgody właścicieli serwisu WoSign wydał certyfikat SSL. To był spory skandal. Pracownicy Google i Mozilli rozpoczęli w tej sprawie dochodzenie, które po kilku miesiącach zakończyło się jednym, konkretnym ustaleniem: certyfikatom wydanym przez WoSign i StartCom po 21 października 2016 roku nie można ufać. Wszystkie wcześniejsze certyfikaty tych dwóch firm jeszcze przez jakiś czas będą w najpopularniejszych przeglądarkach akceptowane, ale i to się wkrótce skończy.

Efekt jest taki, że obecnie w Chrome, Firefoxie oraz Safari nie działa większość poświadczeń wydanych przez WoSign i StartCom. Ta ostatnia firma na swojej stronie w głęboko ukrytych komunikatach obiecuje klientom wdrożenie zastępczych rozwiązań i wydanie nowych certyfikatów, ale na razie nic takiego nie nastąpiło i prawdę powiedziawszy wątpię, by tak się stało.

Ci, którzy mają bezużyteczne certyfikaty DV, wydane darmowo przez StartCom, mogą oczywiście je unieważnić i konto tam założone zlikwidować, tylko że firma ta za unieważnienie poświadczenia pobiera zgodnie z regulaminem opłatę manipulacyjną w wysokości niecałych 10 dolarów. A przynajmniej tak było do tej pory, bo być może StartCom – zważywszy na sytuację, w której się znalazł – teraz odstąpi od egzekwowania należności. Nakazywałaby to zwykła przyzwoitość i uczciwość wobec klientów. Co zatem zrobić? Uważam, że najprostszym i najbezpieczniejszym obecnie rozwiązaniem jest po prostu zapomnienie o StartCom i postaranie się o nowy certyfikat dla swojej domeny. Stare poświadczenie i tak z czasem się przeterminuje. Tu na marginesie ważna uwaga: liczba tych najprostszych certyfikatów DV dla danej domeny może być dowolna i nie jest limitowana nawet w obrębie danego wystawcy poświadczeń, a to z tego powodu, że walidacja odbywa się jedynie na podstawie posiadania kontroli nad domeną. W praktyce oznacza to, że jeśli StartCom wydał nam certyfikat dla naszej strony, nie musimy go unieważniać, by uzyskać dla tej samej strony nowy certyfikat z innej firmy.

Na rynku bezpłatnych certyfikatów pozostał w zasadzie obecnie tylko jeden liczący się gracz, czyli Let’s Encrypt. Urząd ten publicznie dostarcza poświadczenia od kwietnia 2016 roku. Proces walidacji stron, podpisywania oraz instalowania certyfikatów został tam całkowicie zautomatyzowany. Jest tylko jeden problem: certyfikaty te mogą sobie wygenerować tylko ci, którzy mają VPS-y albo serwery dedykowane.

Posiadaczom hostingów współdzielonych nie pozostaje nic innego, jak skorzystanie z ofert tych firm, które w cenie hostingu mają gratisowe certyfikaty SSL. A jest takich propozycji na rynku coraz więcej. Najciekawszą pod tym względem ofertę ma obecnie firma Kylos, która wszystkim swoim klientom zapewnia darmowe certyfikaty bezpieczeństwa. Są one ważne przez 3 miesiące, a ich odnowienie jest darmowe i automatyczne – tak długo, jak dana domena będzie wskazywała na konto hostingowe na serwerach Kylos. Jeśli więc zdecydujesz się na hosting w tej firmie, dostaniesz dla wszystkich swoich domen gratisowe zabezpieczenie. Więcej informacji na ten temat można znaleźć na blogu firmy.

 

Zdjęcie: bekkahwalker.net

Dodaj komentarz