Myślę, że komentarz w tej sprawie jest nie potrzebny, poniższe obrazki wyjaśnią wszystko: Źródło: DeathName Najpierw Play zapomina opłacić swoją domenę. Teraz zapomina przedłużyć certyfikat. Ludzie odpowiedzialni za sprawy webowe coś ostatnio nawalają. Miało być fresh a jak jest? ... Aktualizacja: O komentarz w sprawie certyfikatu poprosiliśmy serwis hack.pl. Oto odpowiedzi na nasze pytanie przesłane przez Mateusza Stępień: 1. Czym jest certyfikat bezpieczeństwa i do czego on służy?

Certyfikat SSL służy przede wszystkim dwom celom: 1. Potwierdzenie autentyczności witryny 2. Zapewnienie szyfrowania danych które będą przesyłane przez sieć Mówiąc o potwierdzeniu autentyczności witryny - wydawcy certyfikatów maja obowiązek zweryfikować autentyczność podmiotu kupujacego certyfikat. Kupując na przykład certyfikat dla swojej firmy mogę spodziewać się jakiejś formy weryfikacji. Gdy ostatnio kupowałem certyfikaty, Verisign poprosił o dokumenty potwierdzające istnienie firmy oraz potwierdzenie własności domeny. Weryfikacja dokumentów trwała trochę czasu, wiec uzyskanie certyfikatu to faktycznie 2-3 dni. Każda firma ma jednak swoje własne procedury, czy to Thawte czy Geotrust czy tez inni (często reseller stosuje uproszczona procedurę) - najkrótsza i zarazem najmniej pewna procedura z jaka się spotkałem polegała automatyczne na weryfikacji telefonicznej. Ostatnimi czasy wprowadzono tzw. certyfikaty EV (ang. extended validation), które potwierdzają jeszcze autentyczność podmiotu stojącego za dana domena. Osobiście jakoś nie widzę w tym wielkiej korzyści - jest to zwyczajnie kolejny sposób na podniesienie cen (kiedyś to co teraz robi się przez EV było standardem). Tak wiec jeśli łączymy się ze strona, która posiada aktualny (ważny) certyfikat, wystawiony przez ogólnie uznawana jednostkę to generalnie możemy przyjąć, ze na pewno łączymy się z prawdziwym serwerem, należącym do tej organizacji o której mówi certyfikat. Oczywiście i tu mogą być pewne wyjątki ale to już całkiem osobny temat. W kwestii szyfrowania - certyfikat stanowi podstawę do nawiązania szyfrowanego połączenia. Jeśli chcemy stosować szyfrowanie SSL do własnych celów i nie będziemy udostępniać naszego systemu większemu gronu użytkowników, możemy sami wystawić sobie certyfikat SSL, jednak wtedy każda przeglądarka, klient pocztowy i inne programy będą nas informować, ze certyfikat nie został wystawiony przez zaufany podmiot i zapyta czy chcemy ten certyfikat zaakceptować. To podejście ma sens jednak trzeba być świadomym, że każdy może wygenerować bardzo podobny lub prawie identyczny certyfikat do naszego i podszyć się pod dana stronę, uzyskując - tak samo jak my - pełne szyfrowanie transmisji pomiędzy klientem a serwerem.

2. Czym grozi wygasły certyfikat bezpieczeństwa?

Wygaśniecie certyfikatu może oznaczać ogólnie dwie rzeczy - wygaśniecie okresu ważności lub anulowanie certyfikatu przez jego użytkownika lub jednostkę wystawiającą certyfikat z jednego z kilku powodów. Trywialny przypadek to właśnie utrata ważności spowodowana upływem czasu. Jeśli certyfikat jest podpisany przez zaufany podmiot ale wygasł, nadal będziemy mieli dostęp do szyfrowania i wszystkich pozostałych funkcji, jednak dostaniemy informacje, ze certyfikat jest niepoprawny. Innym przypadkiem wygaśnięcia ważności certyfikatu jest jego anulowanie. Główne powody anulowania certyfikatów to ujawnienie prywatnej części klucza szyfrującego (co oznacza, ze nowy posiadacz klucza może do woli fałszować nasz stronę i użytkownicy nie będą w stanie stwierdzić że takie coś ma właśnie miejsce). Jeśli np ktoś włamie się od naszego serwera WWW gdzie mieliśmy zainstalowany certyfikat SSL, dla pewności i własnego bezpieczeństwa należałoby certyfikat anulować i wystąpić o nowy a w ten sposób uniemożliwić włamywaczowi uruchomienie repliki naszej strony z prawdziwym certyfikatem, którego do tej pory używaliśmy i w ten sposób oszukiwanie naszych klientów. W przypadku włamań do serwerów WWW zasada jest prosta - jeśli nie masz 100% pewności, że włamywacz nie wszedł w posiadanie klucza, należy go jak najszybciej anulować i zastąpić nowym.

Mówiąc o wygaśnięciu certyfikatu poprzez upłyniecie okresu ważności sytuacja jest dość prosta - w pewnym sensie zabawna a w pewnym sensie tragiczna. Zabawna ponieważ firma powinna pomyśleć o tym wcześniej i wystąpić o nowy certyfikat (tym bardziej ze zaczynając na 3 miesiące przed wygaśnięciem certyfikatu była już bombardowana mailami przypominającymi o jego wygaśnięciu). Tragizm w tym wypadku oznacza utratę zaufania klientów - jak klient ma dokonać np zakupu w naszym sklepie internetowym, jeśli nie ma pewności, że dane są szyfrowane i nikt nie podszywa się pod nas (sklep) w trakcie transakcji? To ile transakcji stracimy w okresie nie posiadania ważnego certyfikatu bardzo łatwo jest przełożyć na pieniądze (utracone korzyści) ale prawdziwe koszty są znacznie większe. Jeśli klient nie dokona transakcji bo nam nie ufa to nie prędko wróci. Moje doświadczenia pokazują, że tzw "utracone korzyści" odbijają się echem przez około miesiąc czasu lub dłużej - w zależności od wagi problemu.

Moje rady dotyczące korzystania z certyfikatów SSL: Klienci - gdy zobaczycie, ze Waszej przeglądarce nie podoba się certyfikat który dostała od serwera, sprawdźcie co dokładnie jej się nie podoba zamiast klikać w ciemno OK czy inny przycisk, który spowoduje załadowanie strony. Tylko w ten sposób możecie mieć jakakolwiek pewność co dzieje się z Waszymi danymi, informacjami o kratach kredytowych itd. Właściciele firm - pilnujcie swoich certyfikatów jak oka w głowie. Jeśli miało miejsce włamanie na serwer to wskazana wymiana serwera na czysty, poprawnie zabezpieczony i koniecznie nowy certyfikat SSL. Nie bójcie się anulować certyfikat - to zawsze można wykorzystać jako pozytywny, budujący aspekt - w końcu chodzi o poszanowanie Waszych klientów.