SSL tanúsítvány – Mi az és mire használjuk?

Az egyre gyakrabban előforduló kibertámadások és adatvédelmi incidensek fényében, érthető módon növekszik az internethasználók igénye a biztonságra. Az SSL tanúsítvány egy fontos sarokköve ezen biztonság megteremtésének, hiszen ez ma már szinte alapkövetelmény azoknak, akik az interneten keresztül szeretnének üzleti tevékenységet folytatni.

Ezt a cikket azért írtam, hogy könnyen emészthető formában megtudd, hogy mi is az az SSL, milyen típusai vannak, miért van rá egyáltalán szükség továbbá, hogy el tudd dönteni, hogy neked milyen SSL tanúsítványra van szükséged. Majd a cikk végén bemutatom, hogy hogyan tudsz ingyenes SSL tanúsítványt adni a weboldaladhoz.

Mi az az SSL tanúsítvány?

Az SSL (Secure Socket Layer) egy olyan technológia mely biztosítja, a kliens és a szerver közötti biztonságos kommunikációt. A szerver ebben az esetben magát a megjelenített weblapot tároló szerver, míg a kliens a felhasználó böngészője, mint például a Google Chrome, vagy a Microsoft Edge. De többek között ide tartoznak az emailezést biztosító szerverek és az email kliensek is.

A technológia használatával biztosíthatjuk a böngészőnkön keresztül zajló kommunikációt, így nagyobb biztonságban tudhatjuk adatainkat, mikor azok a böngésző és a szerver között vándorolnak.

Nézzünk egy példát, hogy mit is jelent ez a gyakorlatban.

Ha egy weboldalon kitöltesz egy űrlapot és rákattintasz a „küldés” gombra, akkor egy SSL tanúsítvánnyal nem rendelkező oldalon, az adataid szinte védtelenek és könnyedén eltulajdoníthatóak.

Ez akármilyen típusú adat lehet az email címedtől, egészen a bankkártyaszámodig. A beírt adatok SSL nélkül titkosítatlanul továbbítódnak a böngésződből a szerverre, így azokat egy harmadik fél, megfelelő technikai tudás mellett képes megszerezni, még mielőtt azok a szerveren feldolgozásra kerülnének.

Ez a kommunikációs folyamat SSL tanúsítvány birtokában egészen másképp néz ki.

Egyrészt a technológia egy komplex titkosítási eljárást alkalmaz, amelyet szinte lehetetlen visszafejteni, így az adataid nem nyerhetőek ki belőle. Másrészt egy autentikációs folyamat is lezajlik a két fél között, amelyben ellenőrzésre kerül a felek valódisága, így harmadik fél nem tud csatlakozni a kommunikációs folyamatba.

Fel szokott még merülni kérdésként a téma kapcsán, hogy mi az a https és mivel másabb ez, mint a http. Ezeket a feliratokat láthatod a böngészőbe beírt url címek előtt.

A https:// akkor jelenik meg amikor, egy biztonságos, SSL-el ellátott websiteot látogatsz meg, míg a „sima” http:// akkor jelenik meg, mikor egy tanúsítvány nélküli oldalra tévedsz. Az extra „s” betű csak az eltérő protokollt jelöli. Szóval, mindegy, hogy SSL-ről, vagy https://-ről beszélünk, gyakorlatilag ugyanazt említjük, csak eltérő formákban.

Miért van szükség SSL tanúsítványra?

Most, hogy az alapokat lefektettük nézzük, hogy milyen hozadékai vannak az SSL tanúsítványok használatának.

Biztonságos online fizetés

Mint az fentebb is olvashattad, minden a weboldaladon keresztül zajló kommunikáció biztosításához szükséged lesz egy tanúsítványra. Kiváltképp igaz ez, ha online fizetési lehetőséget biztosítasz a látogatóknak, például, ha webshopod van.

Fontos, hogy biztosítsd a vásárlók személyes adatainak és bankkártya adatainak biztonságát. A fizetési rendszert üzemeltető cégek nem kötnek addig szerződést és nem engedélyezik weboldaladon a kártyás fizetések feldolgozását, amíg nincs megfelelő SSL tanúsítvánnyal felvértezve az oldalad. Szóval itt nem opció a tanúsítvány hiánya, hiszen enélkül nem menedzselhetsz online kifizetéseket.

Gyorsabb oldalbetöltés

A https-t használó weboldalak átlagosan 83%-al gyorsabban betöltenek, mint a http-s társaik. Ez mind SEO szempontból, mind felhasználói élmény szempontjából elég egyértelmű előnyt jelent. Ezt egyszerűen le is tesztelheted ide kattintva.

Látható megbízhatóság

Https-t használó weboldalak esetén a böngésződben az url mellett balra, egy kis méretű lakat ikont láthatsz, illetve egyes böngészők zöld színnel jelölik az ilyen, biztonságos site-ok url-jeit.

A http-t használó oldalak esetében viszont jobb esetben egy értesítést kapsz arról, hogy az oldal nem biztonságos, vagy piros színnel jelöli a böngésződ az url-t. Rosszabb esetben nem is engedi megnyitni az adott oldalt a böngésző és egy egész oldalas hibaüzenetet jelenít meg.

Keresőoptimalizálási előnyök

A gyorsabb oldalbetöltés mellett más előnyt is nyerhetünk SEO szempontokat tekintve. Ugyanis a Google rangsorolási szempontként tekint az SSL tanúsítvány meglétére. Ha két teljesen megegyező tartalmú weboldal Google keresésekben elfoglalt helyét vizsgálnánk, azt látnánk, hogy az SSL-t használó oldal előkelőbb helyet foglalna el.

Honnan tudhatom, hogy van-e a weblapomnak SSL tanúsítványa?

Mikor meglátogatsz egy weboldalt szinte azonnal meg tudod állapítani, hogy el van-e látva megfelelő SSL tanúsítvánnyal.

Az url-től jobbra egy kis lakat ikont láthatsz. Ez hasonlóan néz ki a különböző böngészőkben. Ennek a megléte már jó jel.

Ha rákattintasz a lakat ikonra, akkor részletesebben is tájékozódhatsz az SSL meglétéről. Azonnal szembetűnő a zöld felirat, amely a biztonságosságot hivatott jelezni, illetve, ha a tanúsítvány (certificate) gombra kattintasz, akkor bővebb információt kaphatsz a használt SSL tanúsítványról.

Ha az adott oldal url-je mögé kattintasz a címsorban, akkor láthatod, hogy https, vagy http felirat található-e előtte. Ez is egyértelműen utal a tanúsítvány meglétére, vagy hiányára.

A https megléte az URL előtt és a certifikáció megléte esetén is előfordulhat, hogy egy lejárt érvényességű SSL tanúsítvánnyal van dolgunk. Az érvényességet is könnyedén ellenőrizhetjük. Nyisd meg a Google Chrome böngészőben a Fejlesztői eszközöket, ezt a Nézet menüben találhatod meg. Ezt követően keresd a Biztonság (Security) fület jobb felül. Itt minden részletet megtekinthetsz az adott tanúsítványról.

Milyen típusú SSL tanúsítványok vannak?

Ha kicsit alaposabban utánanéztél a témának, akkor láthatod, hogy alapvetően három különböző tanúsítvány típust különböztetünk meg. A különbséget az jelenti, hogy a tanúsítványt kibocsátó cég milyen szinten vizsgálja a tanúsítványt vásárló személy, vagy vállalkozás hitelességét. Ez azért fontos, mert maximális biztonság érdekében meg kell bizonyosodnia arról, hogy a tanúsítványért folyamodó cég, vagy személy valódi és megbízható.

A három különböző típus a domain hitelesítés (DV), a szervezet hitelesítés (OV) és a kiterjesztett hitelesítés (EV).

A domain hitelesítés esetén megbizonyosodhatunk róla, hogy valóban az adott domain bejegyzett tulajdonosa áll az oldal mögött. Szervezet hitelesítés esetén már egy fokkal bonyolultabb a helyzet, hiszen itt a domain mögött álló vállalkozás valódiságát kell bizonyítanunk. Kiterjesztett hitelesítésre a legritkább esetben van szükség, ez biztosítja a legmagasabb szintű átvilágítást.

Mindegyik típus megfelelő biztonságot nyújt az adott weboldal felhasználói számára, azonban vannak olyan tevékenységek melyek esetén magasabb szintű hitelesítés szükséges. Például egy hitelintézet weboldala számára érthető módon komolyabb vizsgálat szükséges, mint egy egyszerű blog esetében.

Mennyibe kerül egy SSL tanúsítvány és van-e ingyenes SSL tanúsítvány?

Tanúsítvány és tanúsítvány ára között nagyságrendbeli különbségek is lehetnek. A fentebb említett hitelesítés szintje és a kibocsátó által nyújtott extra szolgáltatások feltornázhatják az árakat.

Valószínűleg a legegyszerűbb DV tanúsítvány megfelelő lesz a vállalkozásod számára, amely évente 5 – 10.000 forintos kiadást jelent és jellemzően ugyanolyan titkosítást és biztonságot jelent, mint akármelyik drágább változat.

Azt szoktam javasolni, hogy ha olyan weboldalad van, ahol online fizetési lehetőséget biztosítasz, akkor mindenképp ruházz be egy SSL tanúsítványra. Viszont ha egy bemutatkozó weboldalad van, amelyen keresztül nem zajlik tranzakció, vagy minden forint számít az induláskor, akkor érdemes az ingyenes SSL tanúsítványokkal is megismerkedni. Itt jön képbe a Let’s Encrypt szolgáltatása.

A Let’s Encrypt egy nonprofit szervezet, melynek célja az internet biztonságosabbá tétele. A cég ingyenes SSL tanúsítványt biztosít a felhasználók számára egy rövid, néhány perces beállítást követően, melyet a tárhelyeden, illetve a WordPress weboldaladon keresztül néhány kattintással elvégezhetsz.

Ez igazi win-win, hiszen mindenki számára biztonságosabbá teszik az internet használatát és csökkentik az új weboldalak indításával járó költségeket is.

Ingyenes SSL telepítése

Egy tanúsítvány telepítése kezdők számára igen nagy kihívást szokott jelenteni, szerencsére manapság már a legtöbb szolgáltató támogatja a Let’s Encrypt néhány kattintásos telepítését és WordPress bővítmények tömkelege is egyszerűsíti az installálás folyamatát.

Én a Tarhely.com használatával mutatom be, a telepítés lépéseit, egy teljesen frissen telepített WordPress weboldal segítségével. Más tárhelyszolgáltatónál is ezeket a lépéseket kell követned, természetesen egy más megjelenésű felületen keresztül.

Emellett számos szolgáltató már alapértelmezetten kibocsájtja az újonnan hozzáadott domainekhez a saját, választott ingyenes SSL szolgáltatását. Így megfelelő szolgáltató mellett nem is kell foglalkoznod az ingyenes SSL telepítésével. Ettől függetlenül érdemes megnézni, hogy mit kell tenned akkor, ha manuálisan kell elvégezned a telepítést.

0. Lépés – Biztonsági mentés

Mint minden weboldalt érintő módosítás előtt, itt is érdemes egy biztonsági mentést készíteni. Ha bármi balul sülne el, visszaállíthatod az eredeti állapotot és újrakezdheted a folyamatot.

1. Lépés – Bejelentkezés

Jelentkezz be a fiókodba a tárhelyszolgáltató weboldalán. Ezt követően keresd meg a korábban megvásárolt tárhelyszolgáltatásodat. Ha ez is megvan, akkor jelentkezz be tárhelyedhez rendelt cPanel felületbe.

2. Lépés – Let’s Encrypt aktiválása

A cPanel felületén belül keresd meg a Let’s Encrypt SSL ikonját és feliratát, majd kattints rá!

Keresd meg az Új tanúsítvány kibocsájtása felirat alatt a weboldalad domainjét, majd a Műveletek oszlopban kattints a + Kibocsájtás feliratra.

Az új megnyíló lapon láthatod a domainedhez tartozó esetleges aldomaineket is, ha nincsenek kipipálva, akkor pipáld ki őket a Tartalmazza? oszlopban.

Ha ez is megvan akkor kattints a Kibocsájtás gombra!

Egy üzenetet fogsz látni a sikeres telepítésről. Be is zárhatod a tárhelyszolgáltató weboldalát.

3. Lépés – SSL aktiválása a WordPress weboldaladon

Jelentkezz be a WordPress weboldalad admin felületére. Kattints a Bővítmények menüpontra, azon belül az Új hozzáadása gombra.

A keresősávba írd be a következőt: Really Simple SSL

Telepítsd a bővítményt, majd kapcsold be.

Az oldal tetején megjelenik egy üzenet „Lépjen tovább, aktiválja az SSL-t!” felirattal. Kattints rá.

Ha nem jelenne meg akkor a Beállítások menüpont alatt az SSL menüpontot kiválasztva elérheted ugyanezt az üzenetet és gombot.

Ezután láthatod zöld keretben az SSL aktiválva feliratot.

Alapesetben engedélyezve van a kevert tartalom és a 301-es átirányítások kezelése. Ha ez valamilyen oknál fogva nem történne meg akkor a Beállítások fülön aktiválhatod ezeket.

4. Lépés – Kiegészítő lépések

Ha Google Analytics-et, Google Search Console-t, illetve más analitikai szoftvereket használsz ne felejts el új, https:// kezdetű tartományokat létrehozni, amelyekkel képes leszel az új SSL tanúsítvánnyal ellátott weboldalad forgalmát mérni.

Gyakori SSL tanúsítvány problémák és azok elhárítása

Bár az SSL-tanúsítványok a webhely biztonságának alapvető elemei, előfordulhatnak olyan gyakori problémák is, amelyek megakadályozhatják a biztonságos kapcsolatot. Az alábbiakban megismerheted a leggyakoribb SSL tanúsítvány problémákat és a hibaelhárításukat:

Tanúsítványhibák: Tanúsítványhibák értelemszerűen akkor fordulnak elő, ha az SSL-tanúsítvánnyal probléma van, például lejárt vagy érvénytelen a tanúsítvány. Ennek kijavításához ellenőrizd az SSL tanúsítvány lejárati dátumát, és győződj meg róla, hogy érvényes. Ha a tanúsítvány lejárt, a biztonságos kapcsolat létrehozásához meg kell újítani.

Vegyes tartalom (mixed content) figyelmeztetések: Vegyes tartalmú figyelmeztetések akkor jelennek meg, ha egy webhely biztonságos (HTTPS) és nem biztonságos (HTTP) tartalmat is tartalmaz. Ez veszélyeztetheti a webhely biztonságát, mivel a nem biztonságos tartalmakat harmadik felek lehallgathatják. A probléma megoldásához gondoskodj arról, hogy a weboldaladon minden tartalom HTTPS-en keresztül kerüljön kiszolgálásra.

Helytelen domainnév: Az SSL tanúsítványokat egy adott domain névre állítják ki, és ha az SSL tanúsítványon szereplő domain név nem egyezik meg a webhely domain nevével, hibaüzenet jelenik meg. A hiba kijavításához győződj meg arról, hogy az SSL tanúsítványon szereplő tartománynév megegyezik a weboldal domain nevével.

Konklúzió – Szükséged van-e SSL-re?

A felsorolt pozitív hatások mellett, mint a keresőoptimalizálási előnyök, az SSL tanúsítványok használata rengeteg versenyelőnyt biztosít számodra. Azonban nagyban függ a tevékenységedtől, hogy megéri-e időt szánnod egy SSL beállítására, valamint, hogy érdemes-e pénzt áldoznod rá.

Ma, az online világban kiemelten fontos a biztonság és a megbízhatóság kérdése. Hatványozottan igaz ez, ha pénzügyi tranzakciók folynak az oldaladon. Fontos, hogy biztosítsd a vásárlóid arról, hogy megóvod az adataikat.

Ha csak egy hobbiweboldalad van, vagy csak tesztelés, gyakorlás céljából készítettél egyet akkor nem érdemes SSL telepítésére időt fordítanod.

Ha egy céges bemutatkozó oldallal rendelkezel, akkor érdemes legalább egy ingyenes Let’s Encrypt SSL-t telepíteni.

Ha értékesítesz is a weboldaladon keresztül, akkor biztosan szükséged lesz egy megbízható tanúsítványra. Ebben az esetben mindenképp javaslom a vásárlást.

Legjobban akkor jársz, ha már a weboldal fejlesztésének kezdetekor ingyenes SSL-re váltasz, majd indulás előtt választasz, majd telepítesz egy magasabb szintű megoldást.

Remélem sikerült felvázolnom számodra az SSL tanúsítványok mögött álló logikát és könnyebben döntesz a témát illetően.

Gyakran ismételt kérdések