1. Kaj sploh je SSL certifikat?
SSL certifikat je datoteka, s pomočjo katerih se šifrira prenos podatkov med spletno stranjo in obiskovalcem.
Privzeto vsa izmenjava podatkov med obiskovalcem in spletno stranjo poteka prek nešifrirane povezave (protokol HTTP). Kadar spletna stran uporablja SSL certifikat, izmenjava podatkov poteka prek šifrirane povezave (protokol HTTPS).
V brskalniku to najlažje prepoznate po obliki spletnega naslova.
- www.nazivdomene.si
- http://www.nazivdomene.si
- https://www.nazivdomene.si
V primeru prvih dveh alinej je povezava med obiskovalcem in spletno stranjo nešifrirana. V primeru tretje alineje pa nam že izpis https pove, da gre za spletno stran, ki uporablja šifrirano povezavo oz. SSL certifikat.
2. Zakaj je SSL certifikat sploh potreben?
Verjetno ste se vprašali, zakaj bi bila šifrirana povezava sploh potrebna. Pogosto slišimo argument: Saj nimam kaj skrivati!
To je v osnovi res, vendar pogosto pozabimo, da je svet poln nepridipravov, ki čakajo, da lahko varnostno luknjo ali šibkost izkoristijo proti vam.
Šifrirana povezava je najbolj kritična v primerih, ko se med obiskovalcem in spletno stranjo prenašajo občutljivi podatki, npr:
- gesla
- podatki o kreditnih karticah (trgovina)
- zasebna komunikacija (vsebina, ki ni namenjena vsakomur)
Nešifrirano izmenjavo podatkov lahko prestreže kdorkoli in te podatke izkoristi v njihovo škodo!
Tisti, ki prestreže nešifrirane podatke (tudi ponudniki dostopa do interneta!) lahko:
- vsili svoje oglase
- cenzurira/prilagaja vsebino
- vohuni oz. prebira podatke, ki so zasebne narave
Če je izmenjava podatkov šifrirana, je to onemogočeno in je vsebina skrita nepovabljenim očem.
3. Zakaj so SSL certifikati naenkrat postali “nujni” in se toliko govori o njih?
Google je leta 2014 sprejel odločitev, da bi morali biti vsi prenosi podatkov na spletu šifrirani, ker nešifrirane povezave niso varne. Odločil se je, da bo lastnike spletnih strani po sistemu “korenček in palica” motiviral k prehodu na uporabo SSL certifikatov oz. šifrirane izmenjave podatkov.
Google spletne strani, ki uporabljajo SSL certifikat, uvršča višje na rezultatih iskanja (korenček).
Google poleg vsem znanega iskalnika razvija tudi brskalnik Chrome. Spletne strani, ki ne uporabljajo SSL certifikata, so v brskalniku označne kot manj varne (palica). To smernico so prevzeli tudi ostali brskalniki (Firefox, Edge, Safari itd.). V prihodnje bo razlikovanje manj varnih strani postalo še bolj očitno.
Za lastnike spletnih strani je namestitev SSL certifikata edina možnost, če ne želijo, da zgoraj opisani ukrepi doletijo njihovo spletno stran.
4. Kako se je svet odzval na Googlove smernice?
Pred Googlovo napovedjo vojne nešifriranemu prenosu podatkov so podjetja, ki so izdajala SSL certifikate, z njimi mastno služila. SSL certifikate so večinoma uporabljale banke in kasneje večje spletne trgovine in ponudniki plačilnih storitev, navadne spletne strani pa ne. Cene certifikatov so znašale tudi po 1.000 € in več.
Ambicioznost načrta, da vse spletne strani (tudi blog Jožice, ki na njem objavlja svoje recepte) pričnejo uporabljati SSL certifikat, je nakazala, da se bo moralo nekaj korenito spremeniti. In se tudi je.
Cene certifikatov so pričele padati, ključno točko pa je v celotni zadevi pomenil začetek ponudbe brezplačnih SSL certifikatov.
Vendar zadeve niso tako enostavne, saj vsi certifikati niso brezplačni. Obstaja več ponudnikov in vrst certifikatov. Z vidika običajnega uporabnika oz. obiskovalca pa lahko SSL certifikate razdelimo v dve skupini:
- navadni SSL certifikati (domain validation)
- SSL certifikati z razširjenim preverjanjem (extended validation)
Z vidika funkcionalnosti oz. varnosti (šifriranja podatkov) razlik med SSL certifikati ni!
| Brez certifikata | Navaden certifikat (Domain Validation) | Razširjeno preverjanje (Extended Validation) | |
|---|---|---|---|
| Šifriranje prenosa podatkov |  |  | |
| Zelena ključavnica v naslovni vrstici brskalnika | | | |
| Izpis naziva podjetja v naslovni vrstici brskalnika | | | |
| Brezplačen | | * | |
* v primeru tehničnih omejitev je lahko potreben zakup plačljivega SSL certifikata, a je njegova cena občutno nižja od cen SSL certifikatov z razširjenim preverjanjem
Grafični prikaz razlik med prikazom spletnih strani v brskalniku Firefox
Stran brez SSL certifikata (prečrtana ključavnica):
Stran z navadnim SSL certifikatom (zelena ključavnica):
SSL certifikat z razširjenjim preverjanjem (zelena ključavnica + naziv podjetja):
Zaradi Googlove odločitve so dandanes navadni SSL certifikati praviloma brezplačni, zato so se tudi podjetja, ki izdajajo SSL certifikate, usmerila v to, da denar služijo samo še s SSL certifikati z razširjenim preverjanjem (Extended Validation). Zlati časi visokih zaslužkov s SSL certifikati so torej mimo.
5. Kaj mi svetujete, če moja stran še nima SSL certifikata?
Ugotovili smo, da so navadni SSL certifikati na voljo brezplačno. Slabosti, ki jih prinaša vztrajanje pri neuporabi SSL certifikata, govorijo v prid temu, da je na svojo spletno stran smiselno čim prej namestiti vsaj osnovni brezplačni SSL certifikat.
Kontaktirajte svojega ponudnika gostovanja in ga povprašajte glede možnosti namestitve SSL certifikata na vašo spletno stran. Ponudniki gostovanja, ki so v koraku s časom, svojim strankam nudijo brezplačne SSL certifikate!
Pazite se ponudnikov gostovanja, ki vam bodo želeli prodati plačljiv navaden SSL certifikat! To je dober znak, da podjetje poskuša zaslužiti še zadnjih nekaj evrov na račun storitve, ki je dejansko postala brezplačna dobrina. Če ni tehničnih omejitev, ni razloga, da bi plačali za navaden certifikat.
Plačljivi so samo še SSL certifikati z razširjenim preverjanjem, le ti pa so smiselni, če ste lastnik spletne trgovine ali spletne strani, kjer z izpisom naziva podjetja v naslovni vrstici obiskovalcem želite pokazati, kdo stoji za spletno stranjo. Nakup takšnega certifikata torej poveča transparentnost vašega delovanja in zviša zaupanje obiskovalca (večja možnost nakupa), z vidika tehnične varnosti pa razlike ni.
