Historia protokołu SSL (Secure Socket Layer) sięga połowy lat 90. Mechanizm został stworzony przez firmę Netscape. W 1996 r. powołano specjalną grupę roboczą, której zadaniem było rozwijanie SSL. W ten sposób pod koniec XX wieku opublikowano specyfikację TLS 1.0 (Transport Layer Security).

TLS to obecnie standard, z którego korzystają certyfikaty SSL. Gwarantuje on poufność danych - informacje są szyfrowane. Jednocześnie uwierzytelnia serwer, z którym łączy się użytkownik. Potwierdza tym samym tożsamość strony internetowej. Dzięki temu klient e-banku czy e-sklepu ma pewność, że nie pada ofiarą oszustwa.

TLS/SSL wykorzystuje dziś zestawy algorytmów szyfrujących z kluczami o długości 128 lub więcej bitów. Algorytmy mogą być symetryczne (gdzie do kodowania i dekodowania wykorzystywany jest ten sam klucz) oraz asymetryczne (gdzie klucz szyfrujący jest zwykle publiczny, a deszyfrujący prywatny).

Jak to działa?

Certyfikat SSL charakteryzuje się tym, że działa wyłącznie w określonej stronie WWW. W Internecie istnieją tak zwane Urzędy Certyfikacji (CA), które sprawdzają, czy dany podmiot faktycznie ma prawo do posługiwania się określoną domeną. Po złożeniu tzw. żądania CSR i przejściu weryfikacji certyfikat jest wystawiany.

W praktyce korzystanie ze strony WWW z certyfikatem można podzielić na kilka etapów:

• przeglądarka wysyła zgłoszenie do serwera po wpisaniu adresu WWW,
• serwer wysyła odpowiedź z certyfikatem,
• przeglądarka odbiera odpowiedź i sprawdza, czy certyfikat jest ważny oraz zgodny z nazwą domeny,
• w oparciu o klucz z serwera generowany jest klucz odpowiedzi, który przesyła się ponownie do serwera.

Od tego momentu możliwa jest bezpieczna wymiana danych między serwerem a komputerem, który nawiązał połączenie.

Co certyfikat daje internaucie?

Dzięki certyfikatowi SSL i szyfrowanemu połączeniu użytkownik Internetu ma pewność, że jego dane osobowe nie wpadną w niepowołane ręce. Jest to szczególnie ważne podczas robienia zakupów online, brania udziału w aukcjach internetowych, logowania się do systemów bankowości elektronicznej.

Gdyby nie szyfrowanie numer karty kredytowej czy adres zamieszkania kupującego mogłyby zostać ujawnione. Certyfikat - tak jak już wspomniano - weryfikuje dodatkowo tożsamość serwisu internetowego. Współczesne przeglądarki sprawdzają certyfikaty SSL i ostrzegają użytkownika, gdy coś jest nie w porządku.

Dzięki temu znacznie spada ryzyko ataku polegającego na podmianie elementów strony internetowej czy przekierowaniu użytkownika do innej witryny. Internauta może bardzo łatwo sprawdzić, czy serwis jest zabezpieczony. Wystarczy, że rzuci okiem na pasek adresu przeglądarki.

Powinien on być żółty albo zielony (dla lepszych certyfikatów EV), adres musi zaczynać się od https, a obok ma znajdować się kłódka (elementy te wyglądają różnie w różnych przeglądarkach). Po kliknięciu ikony kłódki internauta zobaczy, czy certyfikat SSL jest prawidłowy, jaki jest jego termin ważności i kto go wystawił.

Co certyfikat daje właścicielowi strony WWW?

Trudno sobie dziś wyobrazić sklep czy bank internetowy funkcjonujący bez certyfikatu SSL. Większość internautów nie wie dokładnie, na czym polega szyfrowanie stron WWW i weryfikowanie ich tożsamości. Coraz więcej osób poszukuje jednak, np. w witrynach e-commerce, charakterystycznej kłódki.

Kłódka na pasku adresu to symbol bezpieczeństwa, pewności i profesjonalizmu. Bez niego wielu klientów po prostu rezygnuje z zakupów. Do konkurencji na pewno przejdą ci bardziej świadomi, doświadczeni internauci (a to oni zazwyczaj wydają w e-sklepach najwięcej pieniędzy).

Dzięki certyfikatowi i szyfrowaniu właściciel strony WWW ma pewność, że poufne dane klientów nie wyciekną na zewnątrz. Jest to bardzo ważne, bo zabezpiecza e-sklep czy bank przed ewentualnymi pozwami, które mogłyby być skutkiem niezachowania wystarczającej staranności.

Certyfikat SSL buduje prestiż i zaufanie do witryny internetowej. Znacznie utrudnia życie wszelkiej maści cyberprzestępcom, który próbują gromadzić dane osobowe i wyłudzać w ten sposób pieniądze. Zmniejsza się ryzyko ataku hakerskiego czy oszustwa wymierzonego w sklep albo bank, co zmniejsza straty biznesowe.