Az SSL tanúsítvány: Így tedd biztonságossá a weboldalad

Alapvető fontosságú, hogy újonnan indult weboldalunkat biztonságossá tegyük a felhasználóink és ügyfeleink számára, így a bejelentkezési adataik és bankszámlaszámuk védve lesz a hackertámadásokkal szemben. Hogy ezt a célt elérjük, elengedhetetlen az SSL tanúsítvány beállítása honlapunk tárhelyszolgáltatójánál, vagy különböző SSL/TLS tanúsítványokat vásárolhatunk a hitelesítő hatóságoktól.

1. Mi az az SSL tanúsítvány?

Az SSL az angol Secure Sockets Layer kifejezés rövidítése, és egy olyan protokollra utal, amely egy hálózat számítógépei között titkosított és biztonságos kapcsolatot hoz létre.

Habár 1999-ben az SSL-t felváltotta a TLS (Transport Layer Security) protokoll, mind a mai napig széles körben hivatkoznak ezekre a biztonsági technológiákra az SSL vagy SSL/TLS fogalmakkal.

Az SSL teszi lehetővé a biztonságos kommunikációt és a védett információtárolást az interneten vagy egy belső hálózaton összekapcsolt számítógépek között.

Ennek egyik szemléletes példája a HTTPS protokoll, ami az URL címek biztonságosságát mutatja. Az SSL ebben az esetben a weboldal szervere és a honlapra látogató felhasználó böngészője között teremt biztonságos kapcsolatot.

Az SSL tanúsítvány kódolja egy weboldal adatait. Ha feltelepítjük webszerverünkre, a honlapunk mellett megjelenik a lakat ikon és a HTTPS protokoll (HTTP Secure).

A tanúsítvány lényegében egy kisebb méretű fájl, ami összeköti a weboldal működését egy nyilvános és egy privát kulccsal.

A nyilvános kulcs része magának a tanúsítványnak, és lehetővé teszi a böngészőnk számára, hogy titkosított kommunikációs csatornát hozzon létre a webszerverrel az SSL/TLS és HTTPS protokollok segítségével.

A nyilvános kulcsot küldi át a webszerver a kliens felé, amennyiben az meg akarja nyitni weboldalunkat.

A privát kulcs nem része a tanúsítványnak, teljesen titkosítva van a szerveren, és a weboldalak / online dokumentumok digitális aláírására használják.

Csak az fejtheti vissza a nyilvános kulccsal titkosított üzeneteket, akinek birtokában van a privát kulcs.

2. Honnan tudom, hogy egy weboldal SSL tanúsítványt használ?

Amikor megnyitunk egy weboldalt a böngészőnkben, nézzük meg a fenti keresőmezőt.

Azok a weboldalak vannak SSL tanúsítvánnyal védve, amelyek domain neve mellett egy kis lakat ikon jelenik meg.

Sőt, ha rákattintunk a lakat ikonra, megtekinthetjük a weboldal által használt SSL tanúsítvány adatait és érvényességi idejét, ezzel bizonyítva a honlap biztonságosságát.

3. Az SSL tanúsítvány típusai

Manapság az online térben mindennél fontosabb az adataink védelme és titkosítása.

Egyre nagyobb teret nyer az online vásárlás és az internetes bankolás. A vásárlókat biztosítanunk kell arról, hogy megbízható szolgáltatásokat nyújtunk.

Amikor egy felhasználó ellátogat egy webáruházba, meg kell győződnie az online bolt hitelességéről. Ezt a célt szolgálják az SSL tanúsítványok alább ismertetett típusai.

3.1. Kiterjesztett hitelesítésű (Extended Validation – EV) SSL tanúsítvány

A domain nyilvántartási hivatal ellenőrzi a weboldal domain nevének a birtokosát, hogy tényleg jogszerű módon használja-e az adott tartománynevet.

Emellett az hitelesítő hivatal részletesen átvizsgálja a honlaphoz tartozó vállalkozás működését.

Az EV SSL tanúsítvány megszerzése előtt az alábbi lépéseken kell átesnie weboldalunknak:

• Vállalkozásunk jogi, fizikai és működési hátterének ellenőrzése;
• A hivatalos dokumentumok hitelességének bizonyítása;
• Annak bizonyítása, hogy csak mi vagyunk jogosultak az adott domain név használatára;
• Annak ellenőrzése, hogy tényleg jogszerűen jártunk el az EV SSL tanúsítvány igénylése során.

Ha a legmagasabb szintű biztonságot szeretnénk nyújtani weboldalunk látogatóinak, akkor ez a megfelelő választás!

Az ellenőrzési folyamatokat éves szinten megismétlik, ezzel is biztosítva az SSL tanúsítvány használatának biztonságos feltételeit.

A legmagasabb szintű védelemre leginkább a webáruházaknak és a közösségi oldalaknak van szüksége.

3.2. Vállalati hitelesítésű (Organization Validated – OV) SSL tanúsítvány

Az ellenőrző hatóság megbizonyosodik arról, hogy az OV SSL tanúsítványt igénylő személy vagy szervezet jogosan birtokolja a meghatározott domain nevet.

A weboldalhoz tartozó szervezet működését részben átvilágítják.

Ha az OV SSL tanúsítvánnyal rendelkezünk, látogatóink a lakat ikonra kattintva további információkat olvashatnak vállalkozásunk biztonságosságáról, ezzel is növelve a belénk vetett bizalmat.

A tanúsítvány érvényességének menüpontja mellett feltűnik vállalkozásunk megnevezése is.

Azon vállalatok üzleti weboldalai számára készült ez a tanúsítvány, amelyek nem gyűjtenek érzékeny felhasználói adatokat (pl. bankkártya száma).

3.3. Domain hitelesítésű (Domain Validated – DV) SSL tanúsítvány

Az ellenőrző hivatal csak a domain név használatának jogszerűségét vizsgálja, a vállalkozás adatait és információit egyáltalán nem vizsgálják át.

A lakat ikonra kattintva egyedül a titkosítás információi láthatók, semmi egyéb.

Ennek következtében a felhasználókat biztosítják adataik titkosításáról, csak éppen azt nem tudják majd, hogy ki áll a titkosított vonal másik végén, tehát ki fogja kezelni az adataikat.

A DV SSL tanúsítvány előnye, hogy szinte azonnal garantálva van számunkra a használata, és semmilyen dokumentációt nem kell beszolgáltatnunk hozzá cégünk adatairól.

A DV SSL a legideálisabb azon vállalkozások számára, amelyek egy viszonylag olcsó és gyorsan megszerezhető SSL tanúsítványt szeretnének maguknak.

Olyan weboldalaknak lesz hasznos, mint a blogok vagy kisvállalkozások honlapjai, amelyek semmilyen vásárlói adatot nem kezelnek.

3.4. SAN/UC SSL tanúsítványok

Másnéven Multi-Domain SSL tanúsítványként is említhetjük, ami el is árulja lényegét: egyszerre több domain nevet is hitelesíthetünk és biztonságossá tehetjük több weboldal működését is egyetlen tanúsítvány segítségével.

Ezek a domain nevek nem kapcsolódnak egymáshoz, mégis egyszerre megoldhatjuk a hozzájuk tartozó tanúsítványok vásárlását, ami így sokkal költséghatékonyabb, és egyszerűbb a karbantartás / SSL tanúsítvány megújítás is.

Ilyen típusú védelem vásárlásakor van egy alap SSL tanúsítvány, amelynek használatba vételétől számítódik minden olyan weboldal SSL tanúsítványának az érvényességi ideje, amit később hozzáadunk.

3.5. Wildcard SSL tanúsítványok

Csillagos tanúsítványként is emlegetik, melynek lényege, hogy egy központi domainen keresztül be tudjuk biztosítani az összes aldomainünket is.

A központi domain neve előtt egy csillag szimbólum (*) található, amelynek segítségével olcsóbban juthatunk hozzá a további domainek SSL tanúsítványaihoz.

Bizonyos szintig be tudjuk biztosítani az összes aldomaint, ami a weboldalunk fődomainjához kapcsolódik.

Például: ha a *.kiszervezettmarketing.hu a központi domain, akkor egy Wildcard SSL tanúsítvánnyal biztonságossá tehetjük a blog.kiszervezettmarketing.hu és a hirek.kiszervezettmarketing.hu oldalakat is.

3.6. Code Signing SSL tanúsítványok

Speciális tanúsítványok, melyek a fájlok, szoftverek és egyéb online tartalmak digitális aláírását teszik lehetővé cégek számára.

Egy vagy két éves érvényességgel bírnak. Ajánlott azoknak, akik validálni szeretnék programkódjaikat (pl. szoftverfejlesztő vállalatok).

Miért is hasznos ez? Ha a szoftverünk telepítési fájljai nincsenek „aláírva”, hitelesítve, akkor a számítógép úgy fogja észlelni, hogy nem megbízható forrásból származik, és erre figyelmezteti a felhasználót is.

4. Mi a különbség az SSL és a TLS között?

Az SSL tanúsítványok utódja a TLS (Transport Layer Security). Mindkettő titkosítási protokoll, amelyek a webszerver és a böngésző közötti biztonságos kommunikációt biztosítják.

Az SSL első verzióját a Netscape fejlesztette ki 1995-ben, míg a TLS-t az Internet Engineering Taskforce (IETF) vállalat hozta létre 1999-ben.

Az SSL 3.0 verzióját 1999 januárjában váltotta fel a TLS 1.0 verziója, amire gyakran SSL 3.1-ként hivatkoznak.

A legújabb verziója 2018 márciusában jelent meg és a TLS 1.3 verziószámot viseli.

A szerver és a kliens egy handshake (kézfogás) folyamat során kapcsolódnak egymáshoz, amelynek keretében létrejön a titkosított és biztonságos kapcsolat.

A legtöbb webböngésző már csak a TLS 1.2 és 1.3 verzióját támogatja, a korábbi verziókat fokozatosan elkezdték kivezetni a forgalomból.

Mivel biztonsági réseket találtak a korábbi protokollokon, ezért 2020 márciusától a TLS tanúsítvány 1.2 verziója vált a legnépszerűbb biztonsági protokollá.

A TLS 1.3 néhány esetben még mutat inkompatibilitási problémákat, de fokozatosan egyre több weboldal kezdi használni a legújabb verziószámot is.

Az SSL és TLS tanúsítványok tehát ugyanazt a célt szolgálják, mindössze az utóbb említett protokollok az újabb és biztonságosabb verziók.

5. Hogyan szerezzek SSL/TLS tanúsítványt a weboldalam számára?

SSL tanúsítványokat vásárolhatunk tárhelyszolgáltatónktól, amennyiben még nem tettük ezt meg. Itt olvashatsz bővebben a tárhelyszolgáltatók kiválasztásának szempontjairól!

Az SSL/TLS tanúsítvány telepítése előtt szükségünk lesz egy CSR dokumentumra (Certificate Signing Request), vagyis egy tanúsítvány-aláírási kérelemre.

Ez olyan, mint egy nyilvános kulcs, ami tartalmazza weboldalunk és vállalkozásunk információit, ezzel hitelesítve SSL tanúsítvány igénylésünket.

A CSR-t létre tudjuk hozni a weboldalunkhoz tartozó cPanel felületen.

Miután a Biztonság ➝ SSL/TLS Kezelő ➝ SSL tanúsítvány aláírási kérelem generálása, megtekintése vagy törlése útvonalon végighaladtunk, létrehozhatjuk CSR dokumentumunkat.

Ezzel a fájllal fogjuk hitelesíteni weboldalunkat, és e-mailen keresztül kapjuk meg a rendelt SSL tanúsítványunkat, amit feltelepíthetünk weboldalunkra.

6. Az SSL tanúsítvány ára

Léteznek ingyenes SSL tanúsítványok, amelyek két nagy csoportba sorolhatók:

• Próbaidőszakos / korlátozott ideig (30-90 napig) érvényes tanúsítványok;
• Let’s Encrypt SSL tanúsítványok.

Az első csoportba azok a tanúsítványok tartoznak, amelyek leggyakrabban 30 napig teszik lehetővé ingyenesen az SSL/TLS védelmet, ezután fizetőssé válik a szolgáltatás.

A másik lehetőség a Let’s Encrypt által kiadott tanúsítványok használata, amely nonprofit szervezetként azt a célt tűzte ki, hogy növelje az internet biztonságosságát, ezért ingyen SSL tanúsítványokat biztosítanak.

Hátrányuk, hogy csak alap szintű, domain ellenőrzésű hitelesítést tesznek lehetővé, és semmilyen támogatást nem nyújtanak a tanúsítványhoz.

Tehát, ha minőségi védelmet szeretnénk magunknak és látogatóinknak, valamint ha webáruházat akarunk működtetni, mindenképpen fizetős SSL/TLS tanúsítványt ajánlunk.

A tanúsítványok ára nagyban függ attól, hogy milyen típusú SSL tanúsítványt vásárolunk, hány éves lejárati határidővel rendelkezik, és melyik hitelesítő hatóságtól kérelmezzük a tanúsítványt.

A hitelesítő hatóságok közé tartoznak többek között: Thawte, GeoTrust, RapidSSL, DigiCert. Ezek mind megbízható szolgáltatók, akiktől bátran vásárolhatunk védelmet weboldalunk számára.

A tanúsítványoknak van egy érvényességi ideje, aminek lejárta után meg kell őket újítani, mint a domain nevek esetében is.

A fentiek függvényében tehát az SSL/TLS tanúsítványok ára éves szinten 5.000 Ft-tól egészen akár 60.000 Ft-ig, de bizonyos speciális tanúsítványok vásárlása esetén akár évi 150.000-200.000 Ft-ig is terjedhet.

7. Miért van szüksége weboldalunknak SSL tanúsítványra?

A HTTP protokoll nem elég biztonságos, ezért a hackerek gyakran támadják az ilyen weboldalakat, hogy ellophassák a felhasználók személyes adatait.

Az SSL tanúsítvány segítségével átválthatunk HTTPS protokollra, aminek hála a bejelentkezési adataink és a bankszámlánk információi titkosított csatornán kerülnek tárolásra, így megkímélhetjük weboldalunk látogatóit a hackertámadásoktól.

Fontos! Ha előrébb szeretnénk kerülni a Google keresési találatai között, akkor mindenképp használjunk SSL tanúsítványt, és az ezzel járó HTTPS-t az URL címünkben.

A közösségi oldalak és a webáruházak működésének alapfeltétele lett az SSL tanúsítvány használata, hogy megóvják a regisztrált felhasználók bejelentkezési adatait és bankkártyájukkal biztonságosan tudjanak fizetni.

Nemcsak SEO szempontból előnyös tehát az SSL, hanem növeli ügyfeleink bizalmát is velünk szemben.

7.1. Milyen adatvédelmi elveket támogat az SSL?

1) Titkosítás: az adatátvitelek védelme a böngésző és a szerver, az alkalmazás és a szerver, vagy két különböző szerver között;

2) Hitelesítés: annak biztosítása, hogy a megfelelő szerverhez kapcsolódtunk;

3) Adatintegritás: annak biztosítása, hogy az általunk kért adatok sértetlenek és biztonságosak.

7.2. Mit tesz biztonságossá az SSL tanúsítvány?

1) A tárhelycsomagunk és tartalomkezelő rendszerünk vezérlőpultjára való belépést;

2) Az online fizetésekkel kapcsolatos információkat és a felhasználók bankkártyájának adatait;

3) A belső hálózatok adatforgalmát, fájlok megosztását;

4) Különböző e-mail rendszereken való üzenetküldést;

5) A HTTPS és FTP protokollok segítségével végzett fájlküldést és a weboldalhoz tartozó oldalak frissítését;

6) A felhőalapú platformok használatát és az adattárolást.

8. Összefoglaló

Az SSL/TSL tanúsítvány teszi biztonságossá weboldalunkat a látogatók számára, mivel így védve vannak bejelentkezési információik, jelszavaik és bankkártyájukhoz kapcsolódó adataik.

Ha egy weboldal valamilyen típusú SSL tanúsítvánnyal van védve, akkor egy kis lakat ikon jelenik meg a domain név mellett a keresőmezőben, valamint a HTTPS protokoll lesz az URL címben.

Sőt, ha webáruházat vagy közösségi oldalt akarunk üzemeltetni, már alap követelmény az SSL/TSL titkosítás.

A tanúsítványok árai nagyon változóak, hiszen a legegyszerűbb tanúsítvány éves szinten 5 ezer Ft-ba kerül, míg a legdrágább és legmagasabb fokú biztonságot szolgáltató tanúsítványok akár 100 ezer Ft fölötti árcédulával is rendelkezhetnek.

Amennyiben hasznosnak találtad cikkünket, kérlek oszd meg másokkal is. Köszönöm!

Hibát találtál? Írj nekünk az alábbi e-mail címre: szerk@kiszervezettmarketing.hu  

9. Gyakran ismételt kérdések és válaszok