Czym jest HTTPS?
Https to szyfrowany protokół, który zabezpiecza komunikację między komputerami. To dzięki niemu osoba podsłuchująca komunikację między przeglądarką a serwerem nie jest w stanie odczytać wiadomości, wie jedynie że taka komunikacja ma miejsce. To czy komunikacja w przeglądarce jest szyfrowana możemy stwierdzić na podstawie adresu strony (będzie zawierał początek "https://" lub ikony kłódki na lewo od paska adresu.Obecnie większość komunikacji generowanej przez przeglądarki odbywa się na podstawie protokołu HTTPs, strony nieszyfrowane są coraz rzadsze.
Do czego przydaje się HTTPS?
Protokół ten przede wszystkim zabezpiecza komunikację między komputerami. Co ważne ikona kłódki w przeglądarce nie znaczy że komputer jest w całości zabezpieczony - użycie protokołu HTTPS oznacza jedynie że osoba podsłuchująca komunikację nie będzie jej w stanie rozkodować. Każda wiadomość osobista, każde dane osobowe oraz płatności powinny być wysyłane za pomocą szyfrowanego kanału komunikacji. Bez tego właściciel strony ryzykuje wyciekiem danych klientów, co przy obecnych przepisach odnośnie ochrony danych osobowych może skończyć się dużymi konsekwencjami.Google jako firma również wspiera firmy, które używają protokołu HTTPS przedstawiając w swoich wynikach wyszukiwania wyżej witryny szyfrowane.
Czy witryna szyfrowana HTTPS to witryna, której tożsamości mogę ufać?
Wszystko jest zależne od wystawionego certyfikatu. Najwyższy poziom zabezpieczeń z protokołem podpisanych dla danej instytucji występuje w usługach bankowych. Po wejściu na witryny banków takich jak mbank lub pko po kliknięciu kłódki możesz podejrzeć szczegóły zabezpieczeń i szczegóły certyfikatu. Każdy Bank ma obowiązek używać certyfikatów przypisanych tylko tej instytucji, dlatego też pod informacją o certyfikacie znajduje się informacja że certyfikat został bezpośrednio wystawiony dla danej firmy. Tego typu certyfikaty są bardzo drogie a firma ubiegająca się o nie musi przejść proces weryfikacyjny. W znakomitej większości przypadków strony i sklepy internetowe stosują certyfikaty niższego poziomu, co za tym idzie nie gwarantujące tożsamości firmy. Dla porównania domena:pko.pl - to domena nie należąca do banku PKO BP. nie ma podpisanego certyfikatu.pkobp.pl / ipko.pl - to domeny oficjalnie podpisane przez Bank Polski SA.Jak widzisz ikona kłódki nie jest gwarantem tożsamości. Natomiast istnieje mechanizm wbudowany w przeglądarki który nie pozwala na podmianę serwera z którym komunikuje się przeglądarka. Certyfikat każdej witryny jest zapamiętywany, czyli przez cały okres jego ważności jeśli wejdziemy na stronę, której certyfikat się zmienił (bo np zmienił się właściciel domeny i poprzedni właściciel nie przekazał certyfikatu nowemu) to przeglądarka wyświetli okno z błędem, pytając czy na pewno chcemy ufać tej stronie.
Czy usługa certyfikatu musi być płatna?
Nie. Od paru lat mamy dostępne takie usługi jak CloudFlare używajace własnego certyfikatu do podpisywania stron, jak również dostępny jest mechanizm własnego tworzenia certyfikatów - wymaga on jednak comiesięcznego odnawiania ważności. Tradycyjne metody zabezpieczania certyfikatów również są dostępne, natomiast ich koszt zazwyczaj przekracza koszt odnowienia samej domeny (rocznie).
Cloudflare to usługa która jest pośrednikiem w komunikacji między dwoma komputerami - przeglądarką i serwerem strony. Całość komunikacji z serwerem strony musi wtedy przejść bezpośrednio przez serwery Cloudflare zanim dotrze do końcowego odbiorcy. Działanie te z pozoru wydłużające komunikację między węzłami tak naprawdę daje mnóstwo korzyści.
1. Cloudflare może szyfrować stronę internetową, nawet gdy serwer strony nie ma certyfikatu.
2. Całość komunikacji jest sprawdzana pod kątem ataków, maszynowego czytania całości strony. W przypadku wykrycia wzmożonego ruchu, cloudflare może automatycznie zablokować ten ruch lub wyświetlić test captcha
3. W przypadku awarii serwera, Cloudflare przy odpowiedniej komunikacji może pokazywać zapamiętane ostatnie wersje strony.
4. Cloudflare w przypadku statycznych zasobów jak np pliki jpg, png, zachowuje ich kopie na swoich serwerach, i przesyła je klientom bez kontaktu z serwerem strony. Pozwala to na ograniczenie zużycia zasobów serwera końcowego
5. Końcowy adres IP serwera jest ukryty za usługą Cloudflare - oznacza to że hakerzy będą mieli więcej problemów z dostaniem się bezpośrednio do serwera, a gdy będziemy chcieli zmienić adres serwera końcowego nie będzie wymagane standardowe w przypadku DNS 48 godzinne oczekiwanie na propagacje nowych adresów IP
Jak Skorzystać z darmowego konta Cloudflare:
1. Utwórz konto na stronie cloudflare poprzez link https://dash.cloudflare.com/sign-up
2. Zaloguj się i przejdź do panelu dodawania domeny. Na stronie https://dash.cloudflare.com/ kliknij przycisk "add a Site".
3. Wpisz pełną nazwę domeny, bez przedrostka "www" i protokołu ("http" lub "https"). Kliknij niebieski przycisk "Add site"
4. Cloudflare zwróci Ci informację odnośnie nowych nameserwerów dla domeny. W nowej zakładce otwórz panel administracyjny strony na której zarejestrowałeś domenę. W tej witrynie musisz ustawić nameserwery na identyczne z tymi podanymi na stronie cloudflare.
5. Wróć do witryny zakładki z konfiguracją cloudflare. Potwierdź zmianę przez naciśnięcie przycisku confirm.Od teraz Twoja domena będzie zarządzana przez cloudflare.
6. Aby potwierdzić że ruch witryny jest przekierowany przez Cloudflare, kliknij na przycisk "DNS" w górnym menu. Każdy rekord "A" powinien mieć oznaczenie "proxied". Oznacza to że ruch jest przekierowany przez serwery cloudflare
7. Kliknij w górnym menu zakładkę "SSL/TLS". To tu konfigurujemy szyfrowanie strony. Każde ustawienie inne niż Off, będzie oznaczać szyfrowane połączenie.
Jeśli Twój serwer nie ma żadnego certyfikatu, wybierz opcję "Flexible"
Jeśli Twój serwer ma własny certyfikat ale nie jest nigdzie zarejestrowany (przy każdym wejściu na stronę pojawiał się błąd certyfikatu - wybierz opcję Full)
Jeśli masz wykupiony płatny certyfikat, wybierz opcję Full (strict)
8. Dodatkowo możesz teraz wymusić przepisanie wszystkich stron. Poniżej przycisku "SSL/TLS" wybierz zakładkę Edge Certificates i zaznacz "Always Use HTTPS".
Ustawienia od tej pory mogą być zarządzane poprzez Unlimitree API. Unlimitree na podstawie dostępu do API Cloudflare może automatycznie zarządzać domenami, subdomenami i konfiguracją email za pomocą tej usługi. Gorąco polecamy używanie usług Takich jak Cloudflare - bezpieczny internet to internet którego będzie chciało używać więcej klientów.
Czy istnieją inne usługi takie jak CloudFlare?
Tak, z tym że żadna inna firma nie ma tak rozległej sieci serwerów. Konkurencyjne usługi to:
Azure CDN
Amazon CloudFront
Google cloud CDN
Nie jest to pełna lista, i nie wszystkie serwisy prezentują tą samą funkcjonalność co Cloudflare.