10 Paź

Popularne błędy po wdrożeniu certyfikatu SSL

Skomplikowanie modułu HTTPS powoduje, że nietrudno tutaj o wystąpienie nieprawidłowości, które mogą skutkować pojawieniem się niesławnych komunikatów. Jeśli przy wczytywaniu się witryny pojawia się komunikat “To połączenie jest niezaufane” lub “To połączenie nie jest prywatne”, to znak dla administracji serwisu, że komunikacja przeglądarka z serwerem – w zakresie certyfikatu SSL – może nie przebiegać prawidłowo.

To połączenie jest niezaufane

“To połączenie jest niezaufane” to jeden z popularnych błędów, jakie może zakomunikować użytkownikowi przeglądarka przy wczytywaniu witryny. Powodem takiego alertu bezpieczeństwa nie musi być realne zagrożenie dla użytkownika. Choć bez jego zweryfikowania nie można zakładać, że w każdym przypadku internauta może spokojnie poruszać się po stronie. Najczęściej powyższy komunikat pojawia się w przypadku, gdy certyfikat SSL został nieprawidłowo zainstalowany na serwerze lub wtedy, gdy serwer wykorzystuje samodzielnie podpisywany certyfikat.

Przeglądarki rozpoznają certyfikaty od zaufanych wydawców automatycznie. W przypadku lokalnie tworzonych certyfikatów, użytkownik musi ominąć zabezpieczenie manualnie – dodając witrynę do “zaufanych”. Procedura może różnić się w zależności od aplikacji, z której internauta korzysta do przeglądania sieci. Jednak, gdy nie ma on pewności kto i dlaczego używa certyfikat niezaufanego, zaleca się nie dodawanie strony do wyjątków.

Druga przyczyna wyświetlania komunikatu (nieprawidłowa instalacja) jest najczęściej spowodowana przerwaniem ciągu instalacyjnego certyfikatu, co powoduje, że przeglądarka nie może potwierdzić jego autentyczności.

Wystąpienie błędu “To połączenie jest niezaufane” jest mało prawdopodobne na stronach z dużym ruchem, na których użytkownicy podają wrażliwe informacje – takie, jak informacje o płatności. W tym przypadku możliwe jest, że serwis padł ofiarą ataku hakerskiego lub jego administrator popełnił błąd przy instalacji.

Aby uniknąć występowania tego błędu nie zaleca się stosowania certyfikatów SSL od niezaufanych wydawców. Jeśli certyfikat pochodzi od zaufanego wydawcy, a błąd nadal występuje, należy przeprowadzić jego instalację jeszcze raz. Najlepiej posiłkując się instrukcjami od strony hosta. W razie dalszych problemów, zaleca się kontakt z wydawcą certyfikatu.

To połączenie nie jest bezpieczne (prywatne)

Komunikat o niebezpiecznym (lub nie prywatnym) połączeniu może pojawić się, gdy certyfikaty SSL są unieważnione lub wygasły. Unieważnienie certyfikatu może mieć miejsce z wielu powodów. Zaufani wydawcy certyfikatów publikują ich listę w przypadku unieważnienia. Internauta, który napotka stronę z unieważnionym certyfikatem, powinien jej unikać. Administrator natomiast powinien skontaktować się z wydawcą, aby poznać przyczynę unieważnienia certyfikatu.

Naturalnie certyfikaty SSL mogą wygasać po określonym czasie. Konieczne jest ich cykliczne odświeżanie. Dzięki temu administrator, jak i internauta ma pewność, że strona jest regularnie sprawdzana i tym samym zabezpieczona przez zagrożeniami sieciowymi.

Aby uniknąć pojawiania się komunikatu, zaleca się sprawdzać ważność certyfikatu SSL i dbać o to, aby pozostawał on ciągle aktualny.

Mixed content, czyli zawartość mieszana

Popularny błąd dotyczy komponentów stron HTTPS, które są pozyskiwane z adresów HTTP. Sposób na rozwiązanie tego problemu jest prosty, choć czasochłonny. Administrator witryny musi przeszukać kod strony i zastąpić adresy w module HTTP na HTTPS. Często błędy tego typu pomijane są przy adresach grafik, czy innych treści pochodzących z sieci. Błąd ten też często jest nazywany problemem żółtej kłódki. Tę kwestię omawialiśmy w jednym z naszych wcześniejszych wpisów: Mixed Content – problem żółtej kłódki