Блог

Когато говорим за сигурност в уеб е много важно да знаем как може да стане това от гледна точка на нашите посетители. Темата за сигурността е по-важна от всякога, а за това говорят и промените, които въвеждат водещите имена в бранша като Google например.

За много от Вас не е останало незабелязано присъствието на катинарче в лентата с адрес на браузъра, а от скоро и надпис “Secure” или “Има защита”. Много от Вас са чували понятия като SSL, SSL сертификат или https, но какво всъщност означават тези понятия и какво е важно да знаем за тях?

Какво е SSL? 

SSL (Secure Socket Layer) e протокол за осъществяване на криптирано предаване на данни между две страни или казано по-просто - това е език, чрез който вашият сайт си говори с браузъра на клиента, без да може някой друг да ги подслушва.

Когато посетител отваря Вашия сайт, е необходимо информацията, която потребителя изпраща към сайта, както и информацията, която сайтът изпраща към него да премине през няколко няколко сървъра.

Това създава предпоставка информацията, която обменя потребителя със сайта да бъде компрометирана или открадната. В някой случаи, когато става въпрос за лични данни или данни за кредитни карти и друга конфиденциална информация, попадането й в чужди ръце е недопустимо.

В този случай е необходимо криптиране, така че да информацията да се разчете единствено от браузъра на вашия посетител и вашия сайт. Доверието и сигурността на потребителите са важни и е необходимо да се погрижим за защита им, така както се грижим за собствената си безопасност всеки ден.

Искам да използвам сигурна връзка с всеки сайт! Как става това?

Накратко - пишем в браузъра адреса на сайта с https отпред - например https://www.nksoftware.net. Написвайки адреса с https отпред се задейства използването на протокола Hypertext Transfer Protocol Secure, което от своя страна инструктира браузъра и сървъра да осъществят криптирана комуникация помежду си.

Достатъчно ли е това обаче?

Гледали сте филма Терминатор 2, нали? Там “лошият терминатор” се превръщаше в жертвите си и изглеждаше досущ като тях. Това е възможно и в уеб пространството, защото представете си, че клиента иска да отвори вашия сайт, но някой от сървърите по трасето от неговия браузър до вашия сайт се “престори” на вашия сайт. Така вашият клиент, въпреки, че е отворил сайта с https, може да обменя данни с някой друг а не с вашия сайт.

Така той може да подаде поверителни данни на някой друг а не на вас, дори и да е криптирана връзката. Разбира се браузърите предупреждават за това, като показват съобщение и надписа https в адресната лента на браузъра е зачеркнат. Уведомяват клиента, че сайтът отсреща може да не е реалният и да осъществяват криптирана връзка не с когото трябва.

Тук на помощ идват SSL сертификатите! Те са като лична карта / паспорт на вашия сайт и го идентифицират еднозначно. Сертификатите се издават от трета независима и доверена страна - сертифицираща организация като GeoTrust например, която се ползва с доверие от браузърите.

Ето и накратко целия процес:

1. Когато напишете адрес с https в браузъра, той се свързва със сървъра на вашия сайт.

2. Сървърът изпраща своя сертификат / паспорт на браузъра обратно

3. Браузърът проверява валидността на сертификата като се обръща към сертифициращата организация.

4. След като сертифициращата организация потвърди валидноста на сертификата, браузърът и сървърът определят какъв начин на криптиране ще използват и обменят произволни ключове, които само те знаят и чрез тях шифроват информацията помежду тях си така, че никой да не я разбира.

В обобщение

Важно е когато ваш потребител иска да отвори вашия сайт, то той да е сигурен, че отваря именно него, а не някакъв трети. Важно е когато вашият сайт/сървър обменя информация с вашия клиент - тя да е защитена/шифрована/криптирана, така че никой друг по трасето да не може да я прочете и злоупотреби с нея.

Повече за видовете сертификати и допълнителните ползи от тях може да разберете в следващата статия в блога на NK Software. Следете ни в социалните мрежи, където споделяме най-интересното и актуално от света на уеб бранша.