ePeople

HTTPS si certificatul SSL pentru website.

Probabil ca mai toata lumea care a deschis un browser de Internet in viata sa stie ca o adresa web (URL) incepe cu “http://”. Unii poate mai stiu ca http inseamna “hyper text transfer protocol”, oricum daca nu stii ce inseamna http atunci nu are rost sa intram in detalii prea amanuntite.

Asa cum exista http, exista inca un protocol bazat tot pe http, dar care este securizat, evident - https. Atunci cand navigati pe un site a carui adresa incepe cu “https://” trebuie sa stiti ca site-ul este unu sigur.

Protocolul HTTPS

Ce inseamna insa “sigur” in acest context? Pai in primul rand trebuie sa stiti cum circula informatia pe Internet ca sa intelegeti ce inseamna siguranta pentru protocolul http, asa ca voi detalia un pic:
- Internet-ul este de fapt o retea de retele formata asemenea unui graf din noduri si legaturi. Pentru a transmite un pachet de date de la nodul A (calculatorul dumneavoastra) la nodul B (serverul epeople.ro) informatia va trece printr-un numar variabil de alte noduri, sa le numic nodurile C,D si E. Nodul C este un router de la provider-ul dumneavoastra de Internet (gen UPC, RDS, Romtelecom etc), nodul D este este un alt router de la Ronix (Ronix = un nod unde se leaga multi provideri intre ei), iar nodul E este localizat undeva la provider-ul care gazduieste ePeople.

Asadar cand dumneavoastra solicitati o pagina de pe acest site, informatia va trece IN CLAR prin nodurile A,C,D,E,B. Asta inseamna ca cineva rau intentionat de la nodurile intermediare C,D sau E poate intercepta informatia si o poate folosi in scop malitios. In cazul de fata nu e nimic interesant de interceptat, insa daca in loc de ePeople era un magazin virtual unde plateati cu cardul de credit, atunci informatia ar fi devenit foarte interesanta pentru multi raufacatori, care pot fi niste simpli angajati ai provider-ului de Internet, sau niste hackeri care au compromis retelele acestora si pot intercepta informatii sensibile.

Protocolul HTTPS introduce notiunea de criptare (asimetrica, sau cu cheie publica si cheie privata) intre punctele terminale ale unei conexiuni. Ce inseamna asta? Inseamna ca informatia nu mai circula in clar, iar potentialii atacatori pot doar sa vada ca se trimite ceva pe fir, dar nu stiu ce. Adica nu mai pot sa deduca care este numarul cartii de credit asa de mult dorite, sau teoretic pot deduce dar efortul necesar pentru asta nu face cat toti banii de pe card!

Asadar atunci cand folositi cardul pe net, INTOTDEAUNA trebuie sa va asigurati ca adresa paginii unde bagati datele incepe cu “https://…”

Certificatul SSL pentru un website

Sa zicem ca aveti un website si vreti sa-l securizati, pentru a fi disponibil si prin https. Ce e de facut?

In primul rand este nevoie ca pe server-ul unde este gazduit site-ul sa fie instalat un certificat SSL (Secure Socket Layer) special creat pentru acel website, si care sa fie semnat digital de o companie/un tert care de incredere. (De incredere inseamna in general ca browserele recunosc acea companie/terta parte)

De unde pot cumpara un certificat SSL si cat costa

Exista ca in orice domeniu “greii”: acestia sunt Verisign, Thawte, Geotrust etc. Preturile sunt marisoare adica de la cateva sute de dolari pe an pana la peste o mie pe an.
Apoi mai exista cei din categoria low cost, cum ar fi GoDaddy, care ofera si variante foarte ieftine, incepand cu 13$ / an sau Comodo (Instant SSL) care costa de la cateva zeci de dolari pe an.
De ce e asa mare diferenta de pret? Pai este oarecum justificata prin procedurile prin care trece generarea unui astfel de certificat.
Cel mai ieftin SSL de la GoDaddy, de 13$ / an, garanteaza vizitatorilor doar ca domeniul pe care se afla este intr-adevar detinut de posesor certificatului. Adica cand le ceri un certifical SSL pentru www.siteultau.ro, ei verifica in WHOIS care este adresa de contact penru site-ul asta si-ti dau un mail cu un link pe care trebuie sa-l deshizi. Daca l-ai deschis inseamna ca domeniul este intr-adevar al tau si-ti dau certificatul. Dar asta nu inseamna ca daca tu scrii pe site-ul ala ca te cheama Gigel Popescu si site-ul se cheama gigelpopescu.ro, atunci tu chiar esti Gigel Popescu… ei nu verifica asta decat la certificatele mai scumpe.

Certificatele mai scumpe, cum ar fi cele de la Verisign garanteaza si faptul ca daca cineva va intercepteaza comunicarea, el providerul Verisign, va despagubeste cu o suma cu 5 zerouri in dolari! Si procedura de emitere este mai complicata, Verisign putandu-va cere inclusiv documentele de identitate sau ale companiei in numele caruia cumparati certificatul SSL.

Adevarul este insa ca daca nu va cheama Microsoft sau o firma de prestigiu, nu aveti nevoie decat de un simplu certificat ieftin care sa permita o comunicare criptata, iar din acest punct de vedere toata tipurile de certificate sunt bune, de fapt sunt chiar identice. Si cati sunt oare cei care cunosc toate aceste detalii despre un certifical SSL? Oricum daca navigati pe un site SSL puteti sa faceti click pe lacatelul afisat de browser undeva in status bar si sa vedeti de curiozitate detaliile.

Cum se instaleaza un certificat SSL

Ok, deci pentru a putea permite clientilor sa folosesasca protocolul https, aveti nevoie de un certifical SSL instalat pe serverul web. Pentru asta trebuie sa vorbiti cu provider-ul care ofera gazduirea web sa-l rugati sa va dea o cerere de certificat pentru domeniul in cauza, sau daca aveti acces la server-ul respectiv sa generati singuri cererea de certificat digital folosind interfata serverului web. Apoi cumparati certificatul SSL de la GoDaddy/Verisgn/etc, si dupa ce faceti plata veti putea sa trimiteti fisierul cu cererea anterior generate. Dupa ce urmati pasii pe care vi-i impun cei care genereaza certificatul veti primi niste fisiere care trebuie instalate pe server in contul cerererii anterior generate. Cam asta e… nu vreau sa dau detalii tehnice, astea sunt in afara scopului acestui articol, dar pot oferi 2-3 sfaturi pe mail in caz ca e cineva curios !

No related posts.