U ovom članku objasniću šta su to SSL/TLS sertifikati, koje vrste postoje i koje su razlike.
Sadržaj:
- Šta je to SSL/TLS?
- Vrste SSL/TLS sertifikata
2.1. DV (Domain Validation) sertifikati
2.2. OV (Organization Validation) sertifikati
2.3. EV (Extended Validation) sertifikati - Besplatni i plaćeni SSL/TLS sertifikati
3.1. Wildcard sertifikati
3.2. Rok važenja sertifikata
3.3. Bezbednost SSL/TLS sertifikata - Cloudflare i SSL/TLS
- Lično mišljenje autora
1. Šta je to SSL/TLS?
SSL (eng. Secure Sockets Layer) je protokol koji omogućava kriptovanu komunikaciju između računara. Za objašnjenje kako to radi, šta su javni i tajni ključevi, sertifikaciono telo i HTTPS rukovanje, videti članak o asimetričnoj enkripciji.
SSL je nakon verzije 3.0 preimenovan u TLS (eng. Transport Layer Security) – umesto SSL 4.0. Najnovija verzija TLS-a je 1.3. Dok se sve ispod verzije TLS 1.2 smatra nebezbednim. Ipak, u praksi se često, po navici (pogrešno) i dalje naziva SSL.
Posebni članci objašnjavaju kako instalirati SSL/TLS u cPanel-u, a kako u DirectAdmin-u.
2. Vrste SSL/TLS sertifikata
Postoje tri vrste ovih sertifikata:
- DV (eng. Domain Validation)
- OV (eng. Organization Validation)
- EV (eng. Extended Validation)
2.1. DV (Domain Validation) sertifikati
Izdaju se automatizovano. Ako imate kontrolu nad DNS-om, možete dobiti ovaj sertifikat i instalirati njegov tajni ključ na svom hosting serveru. Sertifikat glasi na domen.
Slika 1
2.2. OV (Organization Validation) sertifikati
Ovde se prolazi neka osnovna provera identiteta. Sertifikat se izdaje na ime vlasnika (organizacije) i potreban je neki dokaz o registraciji kompanije. Naravno, vezuje se za domen za koji je izdat.
Slika 2
2.3. EV (Extended Validation) sertifikati
Slično kao OV, ali sa nešto ozbiljnijom proverom podataka (od strane živih ljudi, najčešće, ne automatizovano). Kako bi se potvrdilo da ste zaista oni za koje se predstavljate, tj. da je vaša kompanija zaista postojeća, registrovana.
Slika 3
3. Besplatni i plaćeni SSL/TLS sertifikati
Besplatni SSL/TLS sertifikati izdaju se samo kao DV. Najpopularnije izdaje Let’s Encrypt. Za plaćene cene idu od oko 10$ godišnje.
OV sertifikati su skuplji. Cene se kreću od oko 50$ godišnje. Svi OV sertifikati se plaćaju.
EV sertifikati su najskuplji, sa cenama koje idu od oko 100$ godišnje. EV sertifikati se svi plaćaju.
3.1. Wildcard sertifikati
Šta je to wildcard sertifikat? To je sertifikat koji se izdaje za jedan domen (ili poddomen), a važi za sve njegove poddomene prvog nivoa. Je li ovo zvuči malo zbunjujuće. Uz moje objašnjenje šta su domeni i poddomeni, navešću primer:
Moj sajt koristi besplatni wildcard DV sertifikat izdat za *.bikegremlin.com. Tako da taj sertifikat “pokriva” i io.bikegremlin.com, i bicikl.bikegremlin.com, www.bikegremlin.com, bikegremlin.com…
Ali ne pokriva www.io.bikegremlin.com na primer, niti www.bicikl.bikegremlin.com. Za to bi bila potrebna dva dodatna sertifikata.
Sad, mogao bih uzeti wildcard sertifikat za *.io.bikegremlin.com, koji bi pokrivao i eventualne linux.io.bikegremlin.com, wordpress.io.bikegremlin.com i slično. Ali ne bi pokrivao recimo radnja.bicikl.bikegremlin.com. Za to bi bio potreban ili poseban sertifikat za taj poddomen 2. nivoa, ili wildcard sertifikat izdat za *.bicikl.bikegremlin.com.
Napomena: besplatni sertifikati se mogu dobiti samo za 1. nivo poddomena, tako da bi za primere iz prethodnog paragrafa bilo potrebno uzeti plaćene sertifikate (bilo DV, ili OV). Takođe, koliko znam, ne postoje wildcard EV sertifikati. Postoje EV sertifikati koji važe za više (pod)domena, ali svaki se mora navesti kada se izdaje sertifikat.
Plaćeni wildcard sertifikati su oko 10 puta skuplji od plaćenih sertifikata koji nisu wildcard – bilo da se radi o DV, ili OV sertifikatima. Ista visoka cena važi i za EV sertifikate za više (pod)domena.
3.2. Rok važenja sertifikata
Svi sertifikati imaju određeni period važenja. Posle tog perioda, sertifikat se mora obnoviti (reizdati).
Rok važenja besplatnih sertifikata je 90 dana. Najbolje je podesiti da automatska obnova sertifikata na serveru ide nakon 60 dana, kako bi ostalo dovoljno vremena da se na tenane sve sredi ako dođe do nekih problema prilikom obnove.
Besplatni alat HetrixTools (affiliate link) omogućava podešavanje da vam javi kada je ostalo recimo 15, ili 30 dana do isteka sertifikata. Meni je ovo praktično.
Plaćeni sertifikati mogu imati rok važenja od najviše 825 dana (27 meseci, nešto preko dve godine). Obično se izdaju sa rokom važenja od jedne, ili dve godine.
3.3. Bezbednost SSL/TLS sertifikata
Možda je malo kontraintuitivno, ali kraći rok važenja sertifikata znači da hakeri imaju manje vremena da ga razbiju – pre nego što postane nevažeći i zameni se novim. U tom smislu, besplatni Let’s Encrypt sertifikati sa rokom važenja od 90 dana su bezbedniji od plaćenih sertifikata sa rokom važenja od godinu, ili dve!
Kraći rok za Let’s Encrypt je uveden radi kompenzacije za manji nivo poverenja koji ljudi ukazuju ovom besplatnom rešenju. Mnogi i dalje veruju da ako plate za sertifikat, to sertifikaciono telo je nekako sigurnije, “ozbiljnije”.
Kako sam objasnio u članku o asimetričnoj enkripciji, sistem javnih i tajnih ključeva (na kojem se bazira i SSL/TLS) se zasniva na poverenju i sigurnosti sertifikacionog tela (CA – eng. Certificate Authority).
Takođe, važno je znati da SSL/TLS enkripcija nije svemoguća i da i pored nje postoje načini da se sajt hakuje. Naravno, svakako će otežati posao hakerima, pogotovo ako žele presresti podatke koje vi, ili posetioci, šalju, ili dobijaju sa sajta (lozinke, privatni podaci itd).
EV sertifikati, zbog strožije provere prilikom izdavanja, će onim posetiocima koji znaju kako analizirati sertifikat reći da je verovatnoća da ste vi oni za koje se predstavljate puno veća.
Tipa, napravim prodavnicu shop.bikegremlin.com. Onda neko registruje shop.bikegremlin.us i napravi kopiju prodavnice na tom sajtu. I ja onda registrujem BikeGremlin D.O.O. i kupim EV sertifikat na to ime. Praktično je nemoguće za prevaranta da izdejstvuje sertifikat izdat na kompaniju sa identičnim imenom. Što može pomoći ako posetioci proveravaju sertifikate, što jedva da iko radi.
Većina kompanija koje izdaju plaćane sertifikate nude neku vrstu osiguranja – od štete nastale usled hakovanja sertifikata. Tako da, ako dokažete da ste pretrpeli štetu kao posledicu problema sa sertifikatom, kao i iznos štete, možda i možete dobiti nešto novca. S tim da druge posledice problema (eventualno hakovani/ukradeni podaci, oboren server, reputacija domena i IP adrese…) morate i dalje sami sanirati kako znate.
4. Cloudflare i SSL/TLS
Jedna začkoljica vezana za Cloudflare. Cloudflare se može podesiti tako da se korisnici kače na njegove servere preko kriptovanog protokola, dok je veza između Cloudflare i vašeg servera nekriptovana. Posetioci ne mogu znati da li je to slučaj.
Ako se koristi besplatni paket Cloudflare, posetioci će videti ovako nešto (kako god veza sa vašim serverom bila podešena):
Slika 4
Ako se plati Cloudflare, ili/i koristi plaćeni sertifikat (instaliran i povezan sa Cloudflare), posetioci će videti ime domena, ili kompanije (u zavisnosti od vrste sertifikata), ali i dalje nema garancije po pitanju toga da li je veza od Cloudflare ka vašem serveru kriptovana.
U posebnom članku objasnio sam šta je Cloudflare i kako se podešava za sajt.
U članku o Cloudflare DNS podešavanju, objasnio sam šta se dešava sa podacima na Cloudflare serverima, čak i ako se koristi enkripcija.
5. Lično mišljenje autora
Neke od velikih kompanija, kao što je Amazon, ne koriste EV sertifikate. Velika većina ljudi se ne cima oko provere i analiziranja sertifikata, dok se sa prevarantima može obračunati i pravnim putem.
Za manje, još nepoznate e-prodavnice, možda je važno da se vidi zelena linija i zeleni katanac na browseru i da se i onaj zanemarivo mali procenat posetilaca oseća sigurnije kada vidi da je sajt sa (plaćenim) EV sertifikatom.
Takođe, može se desiti da konkurencija, ili nezavisni geekovi, javno objave kako ta i ta prodavnica nema OV, ili EV sertifikat, već koristi besplatni. “Pa kako je to neozbiljno!” “Kako posetioci mogu biti sigurni?!”
Realno, sve se svodi na to kako se ljudi osećaju, čemu veruju. Prosečan čovek će pročitati ceo ovaj članak i gledati i dalje belo. Da li barem jedan u 10.000 ljudi uopšte proverava sertifikate na sajtovima koje posećuje? Ili, u najboljem slučaju, gledaju samo stoji li katanac na browser-u, ili ne?
Slika 5
Tehnički, besplatni Let’s Encrypt SSL/TLS sertifikat nije ništa manje bezbedan od skupog EV sertifikata.
Gugl forsira SSL/TLS enkripciju, dajući bonus sajtovima koji je koriste (čime se praktično kažnjavaju oni bez iste), čak i ako su statički .html, bez prikupljanja ikakvih podataka posetilaca.
Takođe, iako savremeni, brži HTTP/2 protokol ne zahteva SSL/TLS enkripciju, moderni browser-i (Google Chrome, Mozilla Firefox itd.) neće učitavati sajt preko HTTP/2 ako sajt ne koristi enkripciju (https protokol).
Tako da, SSL/TLS se mora koristiti, bio zaista potreban, ili ne. Ipak, ne postoji tehnički razlog da se plati za sertifikat, umesto korištenja besplatnog Let’s Encrypt. Sve se na kraju svodi na to koliko posetioci imaju poveranja u sajt/e-prodavnicu koju posećuju, nevezano za vrstu sertifikata koji se koristi.
Ažuriranje 2022: većina aktuelnih verzija browsera više ne prikazje EV sertifikate sa “zelenim katancem,” tako da u praktičnom smislu povećavanja nivoa poverenja prosečnog posetioca, više nemaju neku ulogu.