Blog

Πιστοποιητικά Ασφαλείας SSL

Πιστοποιητικά Ασφαλείας SSL

Η ασφάλεια online δεν αποτελεί πλέον μία προαιρετική επιλογή για τους κατόχους ιστοσελίδων αλλά περισσότερο μία απόλυτη ανάγκη για λόγους τους οποίους θα εξηγήσουμε στη συνέχεια.

Μία από τις πλέον διαδεδομένες μεθόδους ενίσχυσης της ασφάλειας πρόσβασης & περιήγησης σε έναν ιστότοπο είναι και η μετάβαση από το πρωτόκολλο http σε αυτό του https με την προσθήκη ενός πιστοποιητικού ασφαλείας SSL.

Τί Είναι το Πιστοποιητικό Ασφαλείας SSL;

SSL είναι τo ακρωνύμιο για τις λέξεις Secure Socket Layer ή αλλιώς γνωστό και ως Ηλεκτρονικό Πιστοποιητικό Ασφαλείας.

Το πρωτόκολλο SSL δημιουργεί μια ασφαλή σύνδεση μεταξύ της εκάστοτε ιστοσελίδας και του web browser (Google Chrome, Safari, Opera, Microsoft Edge, Mozilla Firefox κοκ) του χρήστη.

Τα SSL πιστοποιητικά εξασφαλίζουν την ασφαλή ανταλλαγή δεδομένων ανάμεσα στις δύο αυτές πλευρές, αποτρέποντας κακόβουλους χρήστες από την υποκλοπή ευαίσθητων προσωπικών και μη δεδομένων.

Πώς Λειτουργούν τα Πιστοποιητικά SSL;

Τα πιστοποιητικά ασφαλείας SSL εξυπηρετούν τις παρακάτω 2 διαδικασίες:

  • Ασφαλή μεταφορά δεδομένων μεταξύ ενός web server (εξυπηρετητή) και ενός browser (φυλλομετρητή).
  • Πιστοποίηση και ταυτοποίηση, βοηθώντας τον χρήστη να επιβεβαιώσει τη ταυτότητα της ιστοσελίδας με την οποία συναλλάσσεται.

Μόλις ξεκινήσει η διαδικασία που ενεργοποιεί το πιστοποιητικό ασφαλείας SSL (πχ online παραγγελία ενός προϊόντος ή η συμπλήρωση μιας φόρμας επικοινωνίας), τότε πραγματοποιείται μία σειρά ελέγχων / ενεργειών οι οποίοι σκοπό έχουν να εξασφαλίσουν την ασφαλή διασύνδεση μεταξύ ιστοσελίδας και χρήστη.

Πιο αναλυτικά:

  1. Ο web browser ελέγχει το SSL Certificate, για να διαπιστώσει αν είναι έγκυρο και να πιστοποιήσει τη ταυτότητα της ιστοσελίδας.
  2. Στη συνέχεια ο web server επικοινωνεί με τον web browser και ενεργοποιείται η κρυπτογράφηση δεδομένων σε συγκεκριμένα bit (συνήθως 128bit ή 256bit).
  3. Ο web server και ο browser ανταλλάσσουν μοναδικούς κωδικούς κρυπτογράφησης, ώστε να τους χρησιμοποιήσουν στην αποκρυπτογράφηση που πραγματοποιείται με την ολοκλήρωση της ανταλλαγής δεδομένων.
  4. Η διαδικασία ανταλλαγής δεδομένων ξεκινάει, το εικονίδιο ασφαλούς μεταφοράς δεδομένων SSL εμφανίζεται δίπλα από την γραμμή διεύθυνσης της ιστοσελίδας και η μεταφορά δεδομένων είναι πλέον ασφαλής.

Πώς Καταλαβαίνω ότι μια Ιστοσελίδα Χρησιμοποιεί SSL;

Ο πιο εύκολος τρόπος να διαπιστώσουμε αν μια ιστοσελίδα χρησιμοποιεί πιστοποιητικό ασφαλείας SSL είναι ένα μικρό εικονίδιο με λουκέτο (padlock) με την ένδειξη “Secure” και το πρόθεμα https (αντί http) να εμφανίζεται μπροστά από την διεύθυνση της ιστοσελίδας (Domain Validation SSL).

Σε περιπτώσεις Organization Validation SSL μαζί με το λουκέτο υπάρχει και το όνομα της εταιρίας στην οποία ανήκει ο ιστότοπος.

Αν μάλιστα η εταιρία χρησιμοποιεί Extended Validation SSL ολόκληρη η μπάρα διεύθυνσης της ιστοσελίδας θα είναι χρωματισμένη πράσινη.

Πόσα Είδη Πιστοποιητικών Ασφαλείας SSL Υπάρχουν;

Υπάρχουν 3 είδη SSL certificates:

  • Domain Validation SSL Certificates (DV SSL): Χρησιμοποιούνται για τη κωδικοποίηση της πληροφορίας και τη ταυτοποίηση των στοιχείων του καταχωρητή και του ονόματος χώρου της ιστοσελίδας (domain). Με αυτόν το τρόπο ο χρήστης μπορεί να είναι σίγουρος ότι η διεύθυνση της ιστοσελίδας είναι σωστή και παραπέμπει στο σωστό εξυπηρετητή. Αυτό το είδος πιστοποιητικού είναι πολύ εύκολο στην έκδοση / εγκατάσταση του, έχει μικρό κόστος και καλύπτει τη συντριπτική πλειοψηφία των ιστοσελίδων.
  • Organization Validation SSL Certificates (OV SSL): Χρησιμοποιούνται για τη κωδικοποίηση της πληροφορίας και τη ταυτοποίηση της ιστοσελίδας και της εταιρίας που βρίσκεται πίσω από αυτήν. Πριν οι Αρχές Πιστοποιητικών εκδώσουν το SSL πιστοποιητικό, ακολουθούν μια διαδικασία ταυτοποίησης της εταιρίας, της διεύθυνσής της καθώς και της ιδιοκτησίας του Domain Name.
  • Extended Validation SSL Certificates (EV SSL): Είναι τα πιο πλήρη και ασφαλή SSL πιστοποιητικά που μπορεί να παρέχει μια ιστοσελίδα στους χρήστες της σήμερα. Η αδειοδότηση και έκδοση των πιστοποιητικών αυτών απαιτεί διεξοδικές διαδικασίες, μέσα από τις οποίες οι Αρχές Πιστοποίησης ελέγχουν σχεδόν όλες τις πτυχές μιας εταιρίας και της ιστοσελίδας.

Σε Ποιες Περιπτώσεις Χρειάζομαι Πιστοποιητικό SSL;

Μέχρι και πριν λίγο σχετικά καιρό, αν η ιστοσελίδα δεν παρείχε τη δυνατότητα ηλεκτρονικών συναλλαγών online (πχ eshop), το πιστοποιητικό ασφαλείας θα μπορούσε να θεωρηθεί και ως… πολυτέλεια.

Σήμερα πλέον είναι απλά ΑΠΑΡΑΙΤΗΤΟ. Οι λόγοι πολλοί με τους κυριότερους να είναι:

  • Η ολοένα και μεγαλύτερη ευαισθητοποίηση των χρηστών σε θέματα ασφαλείας και διαχείρισης προσωπικών δεδομένων. Πολύ απλά αν δεν έχεις SSL και διαθέτεις ηλεκτρονικό κατάστημα πολλοί είναι αυτοί που δεν θα προχωρήσουν σε αγορά από το eshop σου.
  • Η κρυπτογράφηση μέσω HTTPS είναι επίσημα πλέον και δια στόματος Google, ranking factor δηλαδή παράγοντας κατάταξης της ιστοσελίδας μας στα SERPs (Search Engine Result Pages). Με απλά λόγια: έχεις SSL, βλέπεις ένα μικρό boost στη Google. Δεν έχεις SSL, κάθεσαι με σταυρωμένα χέρια και βλέπεις τους υπόλοιπους που το ενεργοποιούν να σε… προσπερνούν!
  • Από τον Ιανουάριο του 2017 με την έλευση της έκδοσης 56 του Google Chrome, σελίδες που απαιτούν την πληκτρολόγηση κωδικών ασφαλείας ή πιστωτικών καρτών θα φέρουν την ένδειξη “Not Secure” αν δεν διαθέτουν έγκυρο πιστοποιητικό ασφαλείας SSL (πρώτη εικόνα κάτωθι). Σε επόμενες εκδόσεις που θα ακολουθήσουν η ένδειξη θα είναι ακόμα πιο έντονη με κόκκινο χρώμα συνοδευόμενη από το σχετικό τρίγωνο του κινδύνου (δεύτερη εικόνα). Διαβάστε ολόκληρη την ανακοίνωση της Google εδώ.

Οδηγός Μετάβασης από HTTP σε HTTPS

Και τώρα που πλέον είδαμε γιατί η προσθήκη πιστοποιητικού ασφαλείας SSL είναι πλέον μονόδρομος ας δούμε πώς μπορούμε να το εγκαταστήσουμε στο website μας.

(ΠΡΟΣΟΧΗ: Αν δεν έχετε καμία επαφή με το αντικείμενο καλύτερα να μην το προσπαθήσετε μόνοι σας αλλά απευθυνθείτε σε κάποιον ειδικό).

ΒΗΜΑ #1: Πλήρες Αντίγραφο Ασφαλείας (Backup)

Όπως και σε κάθε άλλη περίπτωση που πραγματοποιούμε αλλαγές ευρείας κλίμακας στην ιστοσελίδα μας πριν ξεκινήσουμε οποιαδήποτε διαδικασία παίρνουμε ένα πλήρες backup της ιστοσελίδας μας (και της βάσης φυσικά όπου απαιτείται) και φροντίζουμε να γνωρίζουμε τη διαδικασία επαναφοράς από backup σε περίπτωση που κάτι… στραβώσει!

ΒΗΜΑ #2: Αγορά SSL Πιστοποιητικού

Είναι το δεύτερο και απλούστερο βήμα. ‘Οπως είπαμε και παραπάνω σχεδόν σε όλες τις περιπτώσεις σας αρκεί ένα DV SSL.

Το σημαντικό είναι να κατανοήσετε ότι όλα τα SSL πιστοποιητικά λειτουργούν με τον ίδιο τρόπο και δεν εξασφαλίζετε “περισσότερη ασφάλεια” αγοράζοντας ένα πιο ακριβό certificate.

ΒΗΜΑ #3: Επαλήθευση / Εγκατάσταση Πιστοποιητικού SSL

Αμέσως μετά την αγορά θα πρέπει να το επιβεβαιώσετε / επαληθεύσετε.

Κάθε ένα από τα παραπάνω 3 είδη πιστοποιητικών απαιτεί διαφορετικό τρόπο επαλήθευσης με το DV SSL να απαιτεί απλά επιβεβαίωση της διεύθυνσης email (το οποίο φυσικά πρέπει να ανήκει στο domain μας δηλαδή να είναι της μορφής [email protected]).

Αν χρησιμοποιείτε (κακώς) shared hosting τότε πρέπει να απευθυνθείτε στον πάροχο φιλοξενίας ο οποίος θα σας καθοδηγήσει σχετικά.

ΒΗΜΑ #4: Δημιουργείστε 301 Αναδρομολογήσεις από HTTP σε HTTPS

Μπορεί να ακούγεται τρομακτικό αλλά είναι απλό στην υλοποίηση και μπορεί να γίνει sitewide δηλαδή να εφαρμοστεί σε ολόκληρο το website συνολικά.

Αυτό είναι και το σημαντικότερο βήμα καθώς αν δεν πραγματοποιηθεί σωστά με την ενεργοποίηση του SSL πιστοποιητκού θα δημιουργηθούν 404 error pages (τα http URLs δεν θα αναδρομολογούνται στα νέα https).

Η εφαρμογή της 301 αναδρομολόγησης εξαρτάται από το είδος του web server που φιλοξενεί την ιστοσελίδα σας με τους πιο συνηθισμένους να είναι οι Apache & LiteSpeed (απαιτείται αλλαγή στο .htaccess αρχείο), NGinx (απαιτείται αλλαγή στο NGinx Config File) και Windows (απαιτείται αλλαγή στο web.config file).

Στην περίπτωση ενός Apache server οι παρακάτω γραμμές στο .htaccess αρχείο αρκούν για να κάνουν τη δουλειά:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

(Προσοχή στη χρήση του παραπάνω κώδικα καθώς ενδέχεται να μην λειτουργεί σε κάθε configuration)

ΒΗΜΑ #5: Επικαιροποιήστε Όλες τις Υπόλοιπες Εφαρμογές

Έχοντας εφαρμόσει σωστά τις αναδρομολογήσεις στο προηγούμενο βήμα, το βήμα αυτό δεν είναι απολύτως απαραίτητο αλλά συνιστάται ανεπιφύλακτα προκειμένου να αποφύγετε άσκοπα redirects.

Αυτό που πρέπει να γίνει είναι να κάνουμε update όλα τα URLs στα οποία έχουμε πρόσβαση από http σε https. Πιο αναλυτικά οι εφαρμογές αυτές μπορεί να είναι:

  • Social Media Accounts (Facebook, Twitter, Instagram κοκ) (προαιρετικό)
  • Backlinks που έχουμε δημιουργήσει και στα οποία έχουμε εύκολη πρόσβαση (προαιρετικό)
  • Live chat, paid ads (AdWords, Facebook κοκ) (προαιρετικό)
  • Google Analytics (μια απλή αλλαγή στο Default URL) και Google Search Console (προσθήκη και επιβεβαίωση νέου property) (υποχρεωτικά)

Εν Κατακλείδι

Η μετάβαση από http σε https μέσω της εγκατάστασης ενός πιστοποιητικού ασφαλείας SSL δεν είναι πλέον a nice to have feature αλλά αποτελεί απόλυτη ανάγκη τόσο για λόγους πραγματικής ασφάλειας των προσωπικών δεδομένων των χρηστών όσο και για λόγους κατάταξης στα οργανικά αποτελέσματα της Google.

Αν δεν είστε σχετικοί με τα τεχνικά θέματα της ιστοσελίδας σας τότε θα ήταν φρονιμότερο να αναζητήσετε βοήθεια – με την παροχή web hosting δε, η εγκατάσταση SSL πιστοποιητικού είναι εντελώς δωρεάν!

Subscribe
Notify of
guest

0 Comments
newest
oldest most voted
Inline Feedbacks
Εμφάνιση όλων