Jak działa SSL i czy wdrożenie tej technologii na naszej stronie internetowej jest wymagane przez obowiązujące prawo?

Akcja komercyjna Technologie dołącz do dyskusji (9) 13.09.2018
Jak działa SSL i czy wdrożenie tej technologii na naszej stronie internetowej jest wymagane przez obowiązujące prawo?

Udostępnij

Paweł Mering

Wchodząc na dowolną, popularną stronę internetową możemy, obok paska oznaczającego aktualnie otwartą zakładkę, zobaczyć ikonę kłódki. Symbol ten jest przez nas intuicyjnie odbierany jako znak bezpieczeństwa oraz wiarygodności.

Podczas korzystania z Internetu, kiedy wchodzimy na stronę internetową, nasza przeglądarka wysyła zapytanie do serwera. Przesyła on nam odpowiednie dane, w postaci różnych plików i skryptów, które składają się na wyświetlany na monitorze obraz – gotową stronę WWW.

Skoro dane przesyłane z serwera trafiają do nas bezpośrednio, to istnieje oczywiste ryzyko, że ktoś takie informacje może przejąć.

Jeżeli wiesz, że wspomniana przeze mnie kłódka jest oznaczeniem szyfrowania, to najprawdopodobniej termin SSL nie jest ci obcy. W ostatnim czasie twórcy większości przeglądarek internetowych wprowadzili rozwiązania, dzięki którym strony niezabezpieczone SSL albo innym sposobem szyfrowania są markowane tak, aby internauta miał pewną świadomość zagrożenia. 

Co to jest SSL, jak działa i czy jest ono wymagane przez prawo?

SSL, a właściwie – Secure Socket Layer – jest technologią, która służy do zabezpieczania transmisji danych w Internecie. Szyfrowanie następuje w wyniku stosowania protokołu HTTPS. Ten rodzaj szyfrowania w zasadzie gwarantuje, że nasze dane, które przesyłamy i odbieramy z danej witryny są w zupełności bezpieczne. 

Zasada działania SSL

Korzystanie ze stron internetowych z użyciem szyfrowania SSL nie różni się za bardzo od zwykłego procesu, w którym nasz komputer wysyła zapytanie do serwera, otrzymując w odpowiedzi wszelkie informacje, które składają się na wyświetlaną witrynę. Różnica jest jednak taka, że wszelkie wrażliwe dane są szyfrowane na serwerze i odszyfrowane dopiero na docelowym komputerze. Wyłącza to możliwość podsłuchania i przejęcia wrażliwych informacji, takich jak dane osobowe, numery kart kredytowych, hasła, bądź jakiekolwiek inne dane, którym należy zapewnić poufność.

Wspomniana zielona kłódka oznacza, że dana witryna korzysta z szyfrowania SSL i jest w tym zakresie certyfikowana. Brak symbolu kłódki lub innego, wskazującego na szyfrowanie, nie oznacza bezwzględnie, że witryna jest niebezpieczna. Wiele serwisów internetowych korzysta z szyfrowania, jednak nie są one odpowiednio certyfikowane.

SSL a prawo. Czy wymaga się stosowania SSL?

Aktualny stan prawny zdaje się wskazywać, że obecnie stosowanie szyfrowania SSL nie jest obowiązkiem. Nie oznacza to, że w pewnych sytuacjach zastosowanie tej technologii nie okaże się niezbędne. Jak to możliwe?

Osoby, które zakładają, że stosowanie SSL jest obowiązkiem najczęściej opierają takie przekonanie na rzekomych wymogach prawnych. Bardzo często wskazuje się tutaj ustawę o ochronie danych osobowych oraz słynne ostatnimi czasy RODO. Przepisy prawa, które dotyczą przetwarzania wrażliwych danych wymagają, aby w celu uzyskania odpowiedniej certyfikacji, strony internetowe miały odpowiednie rozwiązania technologiczne, pozwalające na ochronę danych. Ustawodawca, czy to polski, czy unijny, nie precyzuje jakie rozwiązania są niezbędne.

GIODO w specjalnym oświadczeniu tłumaczy, iż

  • Przepisy o ochronie danych osobowych nie narzucają obowiązku stosowania ściśle określonych technologii (w tym SSL).
  • Protokół SSL jest powszechnie stosowany do zapewnienia poufności przekazywania danych, jednak za dopuszczalne należy uznać inne rozwiązania (w tym własne rozwiązania administratora danych osobowych), jeśli zapewniają one wymagany przepisami prawa poziom ochrony.

Powinno to uspokoić administratorów serwisów lub danych osobowych.

Warto jednak wspomnieć, że szyfrowanie SSL znacznie podnosi poziom bezpieczeństwa witryny, co ma realne przełożenie na możliwość uzyskania certyfikacji (związanej z przetwarzaniem danych), czy po prostu zaufanie internautów. Jest to rozwiązanie niewątpliwie najtańsze i najprostsze do wprowadzenia, tym samym jest ono niezwykle atrakcyjne dla administratorów danych osobowych.

Ceny i rodzaje certyfikatów SSL

Certyfikaty SSL występują w kilku odmianach, różniących się przeznaczeniem i ceną. Partner naszego tekstu, czyli OVH.pl, jako jeden z nielicznych operatorów na rynku oferuje bezpłatne wdrożenie technologii SSL.

Certyfikat DV

Certyfikat wystawiany jest przez Let’s Encrypt. Jest to bezpłatny certyfikat, do którego uzyskania wymagane jest posiadanie hostingu w serwisie OVH.pl. We wspomnianym serwisie istnieje również, odpłatnie, możliwość uzyskania certyfikatu DV, wraz z gwarancją, wystawionego przez znaną firmę Comodo.

Certyfikat EV

Jest to certyfikacja domeny oraz firmy. Przeglądając sieć internet możemy natknąć się na strony, podczas przeglądania których obok symbolu kłódki widnieje także nazwa firmy. Zwiększa to wiarygodność, ale jest również odpłatne. Certyfikat – jak poprzedni – wystawiany jest przez Comodo i zawiera gwarancję pieniężną.

Powyższe certyfikaty można uzyskać po zakupie hostingu. Lista możliwych opcji dostępna jest na stronie internetowej naszego Partnera.

Wpis powstał we współpracy z OVH.pl