Blog

Czy kłódka oznacza bezpieczną stronę? 

Wiedza

Czy kłódka oznacza bezpieczną stronę? 

Chyba każdy słyszał o certyfikatach SSL (TLS), które stosuje się na stronach internetowych. Symbol kłódki przy adresie dla wielu oznacza bezpieczną, zaufaną stronę. Czy aby na pewno tak jest? 

CZYM JEST CERTYFIKAT TLS I CO OZNACZA KŁÓDKA?

TLS to protokół sieciowy używany do zestawiania bezpiecznych połączeń internetowych. Przyjęto go za standard szyfrowania również dla połączeń ze stronami internetowymi. Połączenie TLS zapewnia poufność transmisji danych między przeglądarką a serwerem. Pobrany z serwera do przeglądarki certyfikat zawiera informacje o domenie oraz organizacji, dla której został wydany i jest sprawdzany w bazie wydawcy certyfikatu, czyli Certification Authority. Pozwala to zweryfikować, czy certyfikat danej strony jest oryginalny i rzeczywiście poświadczony przez dostawcę.
Ikona kłódki widoczna przy pasku adresu strony internetowej świadczy więc wyłącznie o tym, że połączenie ze stroną, którą odwiedzasz jest szyfrowane. Nic jednak nie stoi na przeszkodzie ku temu, by cyberoszuści, którzy spreparowali stronę danej organizacji, czy np. banku, przygotowali dla niej certyfikat bezpieczeństwa. Co to oznacza w praktyce? Że nikt postronny nie pozna Twojego loginu i hasła… oprócz cyberprzestępców, którzy przygotowali stronę.  

KLASYFIKACJA CERTFIKATÓW 

Na klasę certyfikatu TLS mają wpływ następujące czynniki: 

  • długość procesu weryfikacji podmiotu wnioskującego o wydanie certyfikatu, 
  • ilość adresów stron internetowych(domen), które mają być objęte szyfrowaniem, 
  • sposób wyświetlania informacji w przeglądarce internetowej o certyfikacie chroniącym stronę, 
  • cena abonamentu. 

Wyróżniamy trzy klasy certyfikatów TLS: 

  • Domain Validation (DV) – podstawowa forma zabezpieczenia, umożliwiająca ochronę danych transmitowanych w certyfikowanej domenie. Przy tym certyfikacie weryfikacji poddawana jest wyłącznie zgłaszana domena. Oznacza to, że sprawdzone zostaje wyłącznie to, czy pod wskazanym adresem rzeczywiście jest opublikowana wskazana strona internetowa. Nie poddaje się weryfikacji danych firmy wnioskującej o certyfikat.

  • Organization Validation (OV) – rozszerzony rodzaj uwierzytelniania, który podobnie jak model podstawowy, zapewnia szyfrowanie transmitowanych informacji w danej domenie. Podczas wydawania takiego certyfikatu, weryfikacji poddawana jest już nie tylko sama domena, ale i podmiot, który o to wydanie wnioskuje. Firma, która ubiega się o takie certyfikat, przy sprawdzaniu może zostać poproszona o wyciąg z KRS lub umowę spółki.



  • Extended Validation (EV) – określany również pełnym uwierzytelnianiem. Oznacza najsilniejszą weryfikację tożsamości, która przejawia się widoczną nazwą podmiotu i oznaczeniem w pasku z adresem domeny. Przy wydawaniu takiego certyfikatu szczegółowej weryfikacji poddawana jest zarówno strona internetowa, jak i podmiot, która się o niego ubiega. Wnioskujący jest sprawdzany pod kątem m.in. statusu prawnego, prowadzenia działalności, zgodności z danymi urzędowymi.

CZEGO NIE ZAPEWNIA „KŁÓDKA”?

Jak już wspominaliśmy, podstawowy certyfikat TLS gwarantuje wyłącznie zachowanie poufności podczas komunikacji. Kłódkę w pasku adresu swojej strony może mieć tak naprawdę każdy, a więc wnież cyberoszuści, którzy poprzez phishing zdobywają poufne dane. Należy więc pamiętać, że zielona kłódka nie jest potwierdzeniem wiarygodności tej strony, a co za tym idzie, może być zainfekowana i tym samym niebezpieczna. Podstawowy certyfikat, czyli DV nie jest gwarantem bezpieczeństwa strony. Przekonanie, że jest inaczej może Cię słono kosztować. 

To zapewnia kłódka Tego NIE zapewnia kłódka 
Szyfrowane połączenie ze stroną (osoby postronne nie mogą podsłuchiwać ruchu) Autentyczności strony 
 Bezpieczeństwa przekazanych na stronie danych (nie wiadomo, co się z nimi dalej dzieje) 
 Wiarygodności umieszczonych na stronie informacji  
 Strony wolnej od zagrożeń (mogą się na niej znajdować zainfekowane pliki) 

Jeśli chcesz mieć pewność, że znajdujesz się na właściwej stronie internetowej, zacznij korzystać z menadżera haseł, który wychwyci m.in. błędy w adresie strony internetowej i uchroni Cię przed podaniem swoich danych uwierzytelniających na podstawionej przez przestępców stronie. 

JAK SPRAWDZIĆ CERTYFIKAT NA STRONIE?

Przypominamy, że podstawowy certyfikat SSL czyli DV nie daje możliwości sprawdzenia danych podmiotu, który uzyskał certyfikat. W przypadku tego certyfikatu możesz podejrzeć jedynie nazwę domeny, dla której został on wystawiony. Żeby zweryfikować nazwę firmy, jej adres i miejscowość, koniecznym warunkiem jest posiadanie przez daną stronę certyfikatu OV lub EV. 

W zależności od przeglądarki internetowej, z której korzystasz, sposób sprawdzenia certyfikatu może się nieznacznie różnić. By to zrobić, wystarczy, że klikniesz lewym przyciskiem myszy w kłódkę, która widoczna jest obok adresu strony internetowej i wybierzesz opcję “wyświetl certyfikat”. Szczegółowe informacje będą dostępne po kliknięciu nazwy domeny, czasami trzeba będzie w otwartym oknie kliknąć zakładkę “szczegóły” lub “więcej informacji” i polecenie “bezpieczeństwo”.