Odwiedzając różne strony internetowe, chcemy mieć pewność, że nasza obecność na nich jest w pełni bezpieczna. W końcu coraz częściej korzystamy z udogodnień Internetu więc każdemu z nas zależy na tym, prywatne dane, które niejednokrotnie przekazujemy trafiały we właściwe „ręce”.

Chyba każdy z użytkowników Internetu słyszał o certyfikatach SSL (TLS), które stosuje się na stronach internetowych. Symbol kłódki przy pasku adresu po lewej stronie lub URL rozpoczynający się od „https:” dla wielu oznacza, że połączenie z odwiedzaną stroną internetową jest bezpieczne. Czy aby na pewno tak jest?

CZYM JEST CERTYFIKAT SSL (TLS) I CO OZNACZA KŁÓDKA?

TLS to protokół sieciowy używany do zestawiania bezpiecznych połączeń internetowych na stronach www. Przyjęto go za standard szyfrowania również dla połączeń ze stronami internetowymi. Połączenie TLS zapewnia poufność transmisji danych między przeglądarką a serwerem. Pobrany z serwera do przeglądarki certyfikat zawiera informacje o domenie oraz organizacji, dla której został wydany i jest sprawdzany w bazie wydawcy certyfikatu, czyli Certification Authority. Pozwala to zweryfikować, czy certyfikat danej strony jest oryginalny i rzeczywiście poświadczony przez dostawcę.

Ikona kłódki szarej lub zielonej (w zależności od przeglądarki) widoczna po lewej stronie przy pasku adresu strony internetowej świadczy więc wyłącznie o tym, że połączenie ze stroną, którą odwiedzasz jest szyfrowane (ale niekoniecznie w pełni bezpieczne). Nic jednak nie stoi na przeszkodzie ku temu, by cyberoszuści, którzy spreparowali strony organizacji, czy np. banku, przygotowali dla niej certyfikat bezpieczeństwa. Co to oznacza w praktyce? Że nikt postronny nie pozna Twojego loginu i hasła… oprócz cyberprzestępców, którzy przygotowali takie strony.

KLASYFIKACJA CERTFIKATÓW 

Na klasę certyfikatu TLS mają wpływ następujące czynniki:

• długość procesu weryfikacji podmiotu wnioskującego o wydanie certyfikatu,
• ilość adresów stron internetowych (domen), które mają być objęte szyfrowaniem,
• sposób wyświetlania informacji w przeglądarce internetowej o certyfikacie chroniącym stronę,
• cena abonamentu.

Wyróżniamy trzy klasy certyfikatów TLS: 

• Domain Validation (DV) – podstawowa forma zabezpieczenia, umożliwiająca ochronę danych transmitowanych w certyfikowanej domenie. Przy tym certyfikacie weryfikacji poddawana jest wyłącznie zgłaszana domena. Oznacza to, że sprawdzone zostaje wyłącznie to, czy pod wskazanym adresem rzeczywiście jest opublikowana wskazana strona internetowa. Nie poddaje się weryfikacji danych firmy wnioskującej o certyfikaty DV.

• Organization Validation (OV) – rozszerzony rodzaj uwierzytelniania, który podobnie jak model podstawowy, zapewnia szyfrowanie informacji, które są przesyłane w danej domenie. Podczas wydawania takiego certyfikatu, weryfikacji poddawana jest już nie tylko sama domena, ale i podmiot, który o to wydanie wnioskuje. Firma, która ubiega się o takie certyfikat, przy sprawdzaniu może zostać poproszona o wyciąg z KRS lub umowę spółki.

  

• Extended Validation (EV) – określany również pełnym uwierzytelnianiem. Certyfikat EV oznacza najsilniejszą weryfikację tożsamości, która przejawia się widoczną nazwą podmiotu i oznaczeniem w pasku z adresem domeny. Przy wydawaniu takiego certyfikatu szczegółowej weryfikacji poddawana jest zarówno strona internetowa, jak i podmiot, która się o niego ubiega. Właściciel strony jest sprawdzany pod kątem m.in. statusu prawnego, prowadzenia działalności, zgodności z danymi urzędowymi.

CZEGO NIE ZAPEWNIA „KŁÓDKA”?

Podstawowy certyfikat SSL (TLS) gwarantuje wyłącznie zachowanie poufności podczas komunikacji. Kłódkę przy pasku adresu strony internetowej może mieć tak naprawdę każdy, a więc również cyberoszuści, którzy poprzez phishing zdobywają poufne informacje, np. dane logowania. Należy więc pamiętać, że szara lub zielona kłódka nie jest potwierdzeniem wiarygodności tej strony, a co za tym idzie, odwiedzana strona może być zainfekowana i tym samym niebezpieczna. Podstawowy certyfikat SSL, czyli DV nie jest gwarantem tego, że dana strona jest bezpieczna. Przekonanie, że jest inaczej może Cię słono kosztować.

Jeśli chcesz mieć pewność, że znajdujesz się na właściwej stronie internetowej, zacznij korzystać z menadżera haseł, który wychwyci m.in. błędy w adresie strony internetowej i uchroni Cię przed podaniem swoich danych uwierzytelniających na podstawionej przez przestępców stronie. 

JAK SPRAWDZIĆ CERTYFIKAT NA STRONIE?

Przypominamy, że podstawowy certyfikat SSL, czyli DV, nie daje możliwości sprawdzenia danych podmiotu, który uzyskał certyfikat. W przypadku tego certyfikatu możesz podejrzeć jedynie nazwę domeny strony, dla której został on wystawiony. Żeby zweryfikować nazwę firmy, jej adres i miejscowość, koniecznym warunkiem jest posiadanie przez stronę certyfikatu OV lub EV.

W zależności od przeglądarki internetowej, z której korzystasz, sposób sprawdzenia certyfikatu może się nieznacznie różnić. By to zrobić, wystarczy, że klikniesz lewym przyciskiem myszy w kłódkę, która widoczna jest przy adresie strony internetowej i wybierzesz opcję “wyświetl certyfikat”. Szczegółowe informacje będą dostępne po kliknięciu w nazwę domeny, czasami trzeba będzie w otwartym oknie kliknąć zakładkę “szczegóły” lub “więcej informacji” i kliknięcie w “bezpieczeństwo”.