Certyfikaty HTTPS i SSL: zabezpiecz swoją witrynę internetową (i dlaczego powinieneś)

Jeśli chodzi o wysyłanie danych osobowych przez Internet — czy to danych kontaktowych, danych logowania, informacji o koncie, informacji o lokalizacji czy innych danych, które mogą zostać nadużyte — społeczeństwo jest, ogólnie rzecz biorąc, wręcz paranoicznie nastawione do hakerów i złodziei tożsamości. I słusznie. Strach, że Twoje dane mogą zostać skradzione, zmienione lub przywłaszczone, nie jest irracjonalny. Dowodzą tego nagłówki o wyciekach i naruszeniach bezpieczeństwa w ciągu ostatnich kilku dekad. Jednak pomimo tego strachu ludzie logują się w Internecie, aby wykonywać swoje czynności bankowe, robić zakupy, prowadzić dziennik, randkować, utrzymywać kontakty towarzyskie oraz wykonywać inne prywatne i zawodowe sprawy. I jest jedna mała rzecz, która daje im pewność, że to zrobią. Pokażę ci to:

Chociaż nie wszyscy rozumieją, jak to działa, mała kłódka na pasku adresu sygnalizuje użytkownikom sieci, że mają zaufane połączenie z legalną stroną internetową. Jeśli odwiedzający nie zobaczą tego na pasku adresu, kiedy otwierają Twoją witrynę, nie uzyskasz – i nie powinieneś – pozyskać ich firmy.

Aby otrzymać tę małą kłódkę na pasku adresu dla swojej witryny, potrzebujesz certyfikatu SSL. Jak go zdobyć? Czytaj dalej, aby się dowiedzieć.

Zarys artykułu:

• Co to jest SSL/TLS?
• Jak korzystać z protokołu HTTPS?
• Co to jest certyfikat SSL i jak go uzyskać?
• Przewodnik po zakupach certyfikatów SSL
  • Urząd certyfikacji
  • Walidacja domeny a weryfikacja rozszerzona
  • Współdzielony SSL a prywatny SSL
  • Zaufaj pieczęciom
  • Certyfikaty SSL typu Wildcard
  • Gwarancje
  • Bezpłatne certyfikaty SSL i certyfikaty SSL z podpisem własnym
• Instalacja certyfikatu SSL
• Plusy i minusy protokołu HTTPS

Co to jest SSL/TLS?

W Internecie dane są przesyłane przy użyciu protokołu Hypertext Transfer Protocol. Dlatego wszystkie adresy URL stron internetowych mają przed sobą „http://” lub „http s ://”.

Jaka jest różnica między http a https? To dodatkowe małe S ma duże konsekwencje: bezpieczeństwo.

Pozwól mi wyjaśnić.

HTTP to „język”, którego używa Twój komputer i serwer do wzajemnej komunikacji. Język ten jest powszechnie rozumiany, co jest wygodne, ale ma też swoje wady. Gdy dane są przesyłane między Tobą a serwerem przez Internet, zatrzymują się po drodze, zanim dotrą do miejsca docelowego. Stwarza to trzy duże zagrożenia:

• Że ktoś może podsłuchać Twoją rozmowę (coś w rodzaju cyfrowego podsłuchu).

• Że ktoś może podszyć się pod jedną (lub obie) strony po obu stronach.

• Że ktoś może manipulować przesyłanymi wiadomościami.

Hakerzy i palanty wykorzystują kombinację powyższych metod do szeregu oszustw i napadów, w tym sztuczek phishingowych, ataków typu man-in-the-middle i dobrych, staroświeckich reklam. Złośliwe ataki mogą być tak proste, jak podsłuchiwanie danych uwierzytelniających Facebooka poprzez przechwytywanie niezaszyfrowanych plików cookie (podsłuchiwanie), ale mogą też być bardziej wyrafinowane. Na przykład, możesz pomyśleć, że mówisz do swojego banku: „Proszę przelać 100 dolarów do mojego dostawcy usług internetowych”, ale ktoś pośrodku może zmienić wiadomość tak, aby brzmiała: „Proszę przelać 100 dolarów wszystkich moich pieniędzy do mojego dostawcy usług internetowych Peggy na Syberii” (manipulacja danych i podszywanie się).

To są problemy z HTTP. Aby rozwiązać te problemy, protokół HTTP można nałożyć na protokół bezpieczeństwa, uzyskując w rezultacie protokół HTTP Secure (HTTPS). Najczęściej litera S w HTTPS jest zapewniana przez protokół Secure Sockets Layer (SSL) lub nowszy protokół Transport Layer Security (TLS). Po wdrożeniu protokół HTTPS oferuje dwukierunkowe szyfrowanie (aby zapobiec podsłuchiwaniu), uwierzytelnianie serwera (aby zapobiec podszywaniu się pod inne osoby) i uwierzytelnianie wiadomości (aby zapobiec fałszowaniu danych).

Jak korzystać z protokołu HTTPS

Podobnie jak język mówiony, HTTPS działa tylko wtedy, gdy obie strony zdecydują się nim mówić. Po stronie klienta decyzję o użyciu protokołu HTTPS można podjąć, wpisując „https” w pasku adresu przeglądarki przed adresem URL (np. zamiast wpisywać http://www.facebook.com wpisz https://www.facebook .com) lub instalując rozszerzenie, które automatycznie wymusza HTTPS, takie jak HTTPS Everywhere dla przeglądarek Firefox i Chrome . Gdy Twoja przeglądarka internetowa korzysta z protokołu HTTPS, zobaczysz ikonę kłódki, zielony pasek przeglądarki, kciuk w górę lub inny znak potwierdzający, że Twoje połączenie z serwerem jest bezpieczne.

Aby jednak móc korzystać z protokołu HTTPS, serwer WWW musi go obsługiwać. Jeśli jesteś webmasterem i chcesz oferować protokół HTTPS osobom odwiedzającym witrynę, będziesz potrzebować certyfikatu SSL lub certyfikatu TLS. Jak zdobyć certyfikat SSL lub TLS? Czytaj dalej.

Dalsza lektura: Niektóre popularne aplikacje internetowe umożliwiają wybranie protokołu HTTPS w ustawieniach użytkownika. Przeczytaj nasze artykuły na Facebooku , Gmailu i Twitterze .

Co to jest certyfikat SSL i jak go uzyskać?

Aby korzystać z protokołu HTTPS, Twój serwer WWW musi mieć zainstalowany certyfikat SSL lub certyfikat TLS. Certyfikat SSL/TLS jest czymś w rodzaju dokumentu tożsamości ze zdjęciem dla Twojej witryny. Gdy przeglądarka korzystająca z protokołu HTTPS uzyska dostęp do Twojej strony internetowej, wykona „uzgadnianie”, podczas którego komputer kliencki poprosi o certyfikat SSL. Certyfikat SSL jest następnie weryfikowany przez zaufany urząd certyfikacji (CA), który weryfikuje, czy serwer jest tym, za kogo się podaje. Jeśli wszystko się sprawdzi, odwiedzający Twoją stronę internetową otrzyma uspokajający zielony znacznik wyboru lub ikonę kłódki. Jeśli coś pójdzie nie tak, przeglądarka internetowa wyświetli ostrzeżenie informujące, że nie można potwierdzić tożsamości serwera.

Zakup certyfikatu SSL

Jeśli chodzi o instalację certyfikatu SSL na Twojej stronie internetowej, musisz zdecydować o wielu parametrach. Przejdźmy do najważniejszych:

Urząd certyfikacji

Urząd certyfikacji (CA) to firma, która wystawia Twój certyfikat SSL i to ona będzie weryfikować Twój certyfikat za każdym razem, gdy użytkownik odwiedzi Twoją witrynę. Chociaż każdy dostawca certyfikatów SSL będzie konkurował pod względem ceny i funkcji, najważniejszą rzeczą do rozważenia podczas sprawdzania urzędów certyfikacji jest to, czy posiadają one certyfikaty preinstalowane w najpopularniejszych przeglądarkach internetowych. Jeśli urzędu certyfikacji, który wystawił Twój certyfikat SSL, nie ma na tej liście, użytkownik zostanie poproszony o ostrzeżenie, że certyfikat bezpieczeństwa witryny nie jest zaufany. Oczywiście nie oznacza to, że Twoja witryna jest nielegalna — oznacza to po prostu, że Twojego urzędu certyfikacji nie ma na liście (jeszcze). Stanowi to problem, ponieważ większość użytkowników nie zawraca sobie głowy czytaniem ostrzeżeń ani szukaniem nierozpoznanego urzędu certyfikacji. Prawdopodobnie po prostu klikną.

Na szczęście lista preinstalowanych urzędów certyfikacji w głównych przeglądarkach jest dość pokaźna. Obejmuje kilka dużych marek, a także mniej znane i tańsze urzędy certyfikacji. Nazwy domowe to Verisign , Go Daddy , Comodo, Thawte, Geotrust i Entrust.

Możesz także zajrzeć do ustawień własnej przeglądarki, aby sprawdzić, które urzędy certyfikacji są preinstalowane.

• W przeglądarce Chrome przejdź do Ustawienia –> Pokaż ustawienia zaawansowane… –> Zarządzaj certyfikatami.
• W przeglądarce Firefox wybierz Opcje -> Zaawansowane -> Wyświetl certyfikaty.
• W przypadku IE Opcje internetowe –> Treść –> Certyfikaty.
• W przeglądarce Safari przejdź do Findera i wybierz Idź –> Narzędzia –> Dostęp do pęku kluczy i kliknij System.

Walidacja domeny a weryfikacja rozszerzona

Certyfikat SSL ma na celu potwierdzenie tożsamości witryny internetowej, do której przesyłane są informacje. Aby mieć pewność, że ludzie nie wykupują fałszywych certyfikatów SSL dla domen, nad którymi prawnie nie kontrolują, urząd certyfikacji sprawdzi, czy osoba żądająca certyfikatu jest rzeczywiście właścicielem nazwy domeny. Zwykle odbywa się to poprzez szybką weryfikację za pomocą wiadomości e-mail lub rozmowy telefonicznej, podobnie jak w przypadku, gdy witryna internetowa wysyła Ci wiadomość e-mail z linkiem potwierdzającym konto. Nazywa się to certyfikatem SSL zweryfikowanym przez domenę . Zaletą tego jest to, że umożliwia niemal natychmiastowe wystawienie certyfikatów SSL. Prawdopodobnie mógłbyś zdobyć certyfikat SSL zweryfikowany przez domenę w czasie krótszym niż przeczytanie tego wpisu na blogu. Dzięki certyfikatowi SSL potwierdzonemu przez domenę otrzymujesz kłódkę i możliwość szyfrowania ruchu w Twojej witrynie.

Zaletą certyfikatu SSL zweryfikowanego przez domenę jest to, że można go uzyskać szybko, łatwo i tanio. To też jest ich wada. Jak możesz sobie wyobrazić, łatwiej jest oszukać zautomatyzowany system niż system obsługiwany przez żywych ludzi. To trochę tak, jakby jakiś licealista wszedł do DMV, podając się za Baracka Obamę i chcąc uzyskać dokument tożsamości wydany przez rząd. Osoba za biurkiem rzucała na niego jedno spojrzenie i dzwoniła do federalnych (lub do pojemnika na wariaty). Ale gdyby to był robot obsługujący kiosk ze zdjęciem, mógłby mieć trochę szczęścia. W podobny sposób phisherzy mogą uzyskać „fałszywe identyfikatory” witryn takich jak Paypal, Amazon czy Facebook, oszukując systemy sprawdzania poprawności domen. W 2009 roku Dan Kaminsky opublikował przykład sposobu oszukiwania urzędów certyfikacji w celu uzyskania certyfikatów, dzięki którym witryna phishingowa wyglądałaby tak, jakby była to bezpieczne i legalne połączenie. Dla człowieka takie oszustwo byłoby łatwe do wykrycia. Jednak ówczesna automatyczna weryfikacja domeny nie obejmowała niezbędnych kontroli, które mogłyby zapobiec takim sytuacjom.

W odpowiedzi na luki w zabezpieczeniach SSL i certyfikatów SSL z walidacją domeny branża wprowadziła certyfikat Extended Validation . Aby uzyskać certyfikat EV SSL, Twoja firma lub organizacja musi przejść rygorystyczną weryfikację, aby upewnić się, że ma dobrą opinię w rządzie i legalnie kontroluje domenę, o którą się ubiegasz. Kontrole te, między innymi, wymagają czynnika ludzkiego, a zatem trwają dłużej i są droższe.

W niektórych branżach wymagany jest certyfikat EV. Ale w przypadku innych korzyści sięgają tylko tego, co rozpoznają odwiedzający. Dla zwykłych użytkowników Internetu różnica jest subtelna. Oprócz ikony kłódki pasek adresu zmienia kolor na zielony i wyświetla nazwę Twojej firmy. Jeśli klikniesz, aby uzyskać więcej informacji, zobaczysz, że zweryfikowano tożsamość firmy, a nie tylko strony internetowej.

Oto przykład normalnej witryny HTTPS:

A oto przykład strony HTTPS z certyfikatem EV:

W zależności od branży certyfikat EV może nie być tego wart. Ponadto, aby je otrzymać, musisz być firmą lub organizacją. Chociaż duże firmy dążą do certyfikacji pojazdów elektrycznych, zauważysz, że większość witryn HTTPS nadal ma charakter inny niż EV. Jeśli jest wystarczająco dobry dla Google, Facebooka i Dropbox, być może będzie wystarczająco dobry dla Ciebie.

Jeszcze jedno: istnieje pośrednia opcja zwana certyfikacją zatwierdzoną przez organizację lub potwierdzoną przez firmę . Jest to dokładniejsza weryfikacja niż automatyczna walidacja domeny, ale nie sięga tak daleko, jak spełnienie przepisów branżowych dotyczących certyfikatu Extended Validation (zwróć uwagę, że Extended Validation jest pisane wielką literą, a „walidacja organizacyjna” nie?). Certyfikat OV lub certyfikat zatwierdzony przez firmę kosztuje więcej i trwa dłużej, ale nie zapewnia zielonego paska adresu ani informacji potwierdzających tożsamość firmy. Szczerze mówiąc, nie przychodzi mi do głowy powód, aby płacić za certyfikat OV. Jeśli przychodzi Ci do głowy taki pomysł, oświeć mnie w komentarzach.

Współdzielony SSL a prywatny SSL

Niektórzy dostawcy usług hostingowych oferują wspólną usługę SSL, która jest często tańsza niż prywatna usługa SSL. Poza ceną zaletą współdzielonego protokołu SSL jest to, że nie musisz zdobywać prywatnego adresu IP ani dedykowanego hosta. Wadą jest to, że nie można używać własnej nazwy domeny. Zamiast tego bezpieczna część Twojej witryny będzie wyglądać mniej więcej tak:

https://www.hostgator.com/~twojadomena/secure.php

Porównaj to z prywatnym adresem SSL:

https://www.twojadomena.com/secure.php

W przypadku witryn dostępnych publicznie, takich jak witryny handlu elektronicznego i serwisy społecznościowe, jest to oczywiście utrudnienie, ponieważ wygląda na to, że nastąpiło przekierowanie z witryny głównej. Jednak w obszarach, które zwykle nie są oglądane przez ogół społeczeństwa, takich jak wnętrze systemu pocztowego lub obszar administracyjny, współdzielony protokół SSL może być dobrym rozwiązaniem.

Zaufaj pieczęciom

Wiele urzędów certyfikacji umożliwia umieszczenie pieczęci zaufania na swojej stronie internetowej po zarejestrowaniu się w celu uzyskania jednego z ich certyfikatów. Daje to prawie takie same informacje, jak kliknięcie kłódki w oknie przeglądarki, ale z lepszą widocznością. Dołączenie pieczęci zaufania nie jest wymagane ani nie zwiększa Twojego bezpieczeństwa, ale jeśli daje odwiedzającym niejasne informacje o tym, kto wystawił certyfikat SSL, zdecydowanie wrzuć go tam.

Certyfikaty SSL typu Wildcard

Certyfikat SSL weryfikuje tożsamość jednej domeny. Jeśli więc chcesz mieć HTTPS w wielu subdomenach — np. groovypost.com, mail.groovypost.com i forum.groovypost.com — musisz kupić trzy różne certyfikaty SSL. W pewnym momencie certyfikat SSL z symbolem wieloznacznym staje się bardziej ekonomiczny. Oznacza to, że jeden certyfikat obejmuje jedną domenę i wszystkie subdomeny, czyli *.groovypost.com.

Gwarancje

Niezależnie od tego, jak długo firma cieszy się dobrą reputacją, istnieją słabe punkty. Nawet zaufane urzędy certyfikacji mogą stać się celem hakerów, czego dowodem jest naruszenie VeriSign, które nie zostało zgłoszone w 2010 r. Co więcej, status urzędu certyfikacji na liście zaufanych może zostać szybko unieważniony, jak widzieliśmy w przypadku snafu DigiNotar w 2011 r. Rzeczy się zdarzają. .

Aby złagodzić wszelkie niepokoje związane z możliwością wystąpienia takich przypadkowych aktów rozpusty SSL, wiele urzędów certyfikacji oferuje obecnie gwarancje. Ubezpieczenie waha się od kilku tysięcy dolarów do ponad miliona dolarów i obejmuje straty wynikające z niewłaściwego wykorzystania certyfikatu lub innych nieszczęść. Nie mam pojęcia, czy te gwarancje faktycznie dodają wartość, czy nie, ani czy komukolwiek kiedykolwiek udało się wygrać roszczenie. Ale są tam do rozważenia.

Bezpłatne certyfikaty SSL i certyfikaty SSL z podpisem własnym

Dostępne są dwa rodzaje bezpłatnych certyfikatów SSL. Certyfikat z podpisem własnym, używany głównie do testów prywatnych i w pełni publicznych certyfikatów SSL wydawanych przez ważny urząd certyfikacji. Dobra wiadomość jest taka, że ​​w 2018 roku dostępnych będzie kilka opcji uzyskania w 100% darmowych, ważnych 90-dniowych certyfikatów SSL zarówno z SSL za darmo , jak i Let's Encrypt . SSL for Free to przede wszystkim graficzny interfejs użytkownika dla interfejsu API Let's Encrypt. Zaletą witryny SSL for Free jest prostota obsługi i ładny graficzny interfejs użytkownika. Let's Encrypt jest jednak fajny, ponieważ możesz w pełni zautomatyzować żądanie od nich certyfikatów SSL. Jest to idealne rozwiązanie, jeśli potrzebujesz certyfikatów SSL dla wielu witryn/serwerów.

Certyfikat SSL z podpisem własnym jest bezpłatny na zawsze. Dzięki certyfikatowi z podpisem własnym jesteś swoim własnym urzędem certyfikacji. Ponieważ jednak nie należysz do zaufanych urzędów certyfikacji wbudowanych w przeglądarki internetowe, odwiedzający otrzymają ostrzeżenie, że urząd nie jest rozpoznawany przez system operacyjny. W związku z tym tak naprawdę nie ma pewności, że jesteś tym, za kogo się podajesz (to trochę jak wydanie sobie dokumentu tożsamości ze zdjęciem i próba podania go w sklepie monopolowym). Zaletą certyfikatu SSL z podpisem własnym jest jednak to, że umożliwia szyfrowanie ruchu internetowego. Może to być dobre do użytku wewnętrznego, gdzie możesz poprosić swoich pracowników o dodanie Twojej organizacji jako zaufanego urzędu certyfikacji, aby pozbyć się komunikatu ostrzegawczego i pracować nad bezpiecznym połączeniem przez Internet.

Instrukcje dotyczące konfigurowania certyfikatu SSL z podpisem własnym można znaleźć w dokumentacji OpenSSL. (Lub, jeśli będzie wystarczające zapotrzebowanie, napiszę tutorial.)

Instalacja certyfikatu SSL

Po zakupie certyfikatu SSL musisz go zainstalować na swojej stronie internetowej. Dobry hosting WWW zaoferuje, że zrobi to za Ciebie. Niektórzy mogą nawet posunąć się tak daleko, że kupili to za Ciebie. Często jest to najlepszy sposób, ponieważ upraszcza rozliczenia i zapewnia prawidłową konfigurację dla Twojego serwera internetowego.

Mimo to zawsze masz możliwość zainstalowania zakupionego samodzielnie certyfikatu SSL. Jeśli to zrobisz, możesz zacząć od sprawdzenia bazy wiedzy swojego dostawcy usług hostingowych lub otwarcia zgłoszenia do centrum pomocy. Pokierują Cię do najlepszych instrukcji instalacji certyfikatu SSL. Należy także zapoznać się z instrukcjami dostarczonymi przez urząd certyfikacji. Dają one lepsze wskazówki niż jakiekolwiek ogólne porady, których mogę Ci tutaj udzielić.

Możesz także zapoznać się z poniższymi instrukcjami dotyczącymi instalowania certyfikatu SSL:

• Jak wdrożyć SSL w IIS (Windows Server)
• Szyfrowanie Apache SSL/TLS

Wszystkie te instrukcje będą obejmować utworzenie żądania podpisania certyfikatu SSL (CSR). W rzeczywistości będziesz potrzebować CSR, aby uzyskać certyfikat SSL. Ponownie, Twój usługodawca internetowy może Ci w tym pomóc. Aby uzyskać bardziej szczegółowe informacje na temat samodzielnego tworzenia CSR, zapoznaj się z tym artykułem z DigiCert .

Plusy i minusy protokołu HTTPS

Ustaliliśmy już zalety protokołu HTTPS: bezpieczeństwo, bezpieczeństwo, bezpieczeństwo. Nie tylko zmniejsza to ryzyko naruszenia bezpieczeństwa danych, ale także wzbudza zaufanie i poprawia reputację Twojej witryny internetowej. Doświadczeni klienci mogą nawet nie zawracać sobie głowy rejestracją, jeśli zobaczą „http://” na stronie logowania.

Istnieją jednak pewne wady protokołu HTTPS. Biorąc pod uwagę konieczność stosowania protokołu HTTPS w przypadku niektórych typów witryn internetowych, rozsądniej jest traktować je jako „ rozważania ”, a nie negatywy.

• HTTPS kosztuje . Na początek musisz zapłacić za zakup i odnowienie certyfikatu SSL, aby zapewnić jego ważność z roku na rok. Istnieją jednak również pewne „wymagania systemowe” dla protokołu HTTPS, takie jak dedykowany adres IP lub dedykowany plan hostingowy, który może być droższy niż współdzielony pakiet hostingowy.
• HTTPS może spowolnić odpowiedź serwera. Istnieją dwa problemy związane z SSL/TLS, które mogą spowolnić prędkość ładowania strony. Po pierwsze, aby po raz pierwszy nawiązać komunikację z Twoją witryną, przeglądarka użytkownika musi przejść proces uzgadniania, który powoduje powrót do witryny urzędu certyfikacji w celu weryfikacji certyfikatu. Jeśli serwer WWW urzędu certyfikacji działa wolno, ładowanie strony będzie opóźnione. Jest to w dużej mierze poza Twoją kontrolą. Po drugie, HTTPS wykorzystuje szyfrowanie, które wymaga większej mocy obliczeniowej. Można temu zaradzić, optymalizując zawartość pod kątem przepustowości i modernizując sprzęt na serwerze. CloudFare ma dobry post na blogu o tym, jak i dlaczego SSL może spowolnić Twoją witrynę.
• HTTPS może mieć wpływ na wysiłki SEO. Kiedy przechodzisz z HTTP na HTTPS; przenosisz się na nową stronę internetową. Na przykład http://www.groovypost.com nie będzie taki sam jak https://www.groovypost.com . Ważne jest, aby upewnić się, że przekierowałeś swoje stare linki i zapisałeś odpowiednie zasady pod maską swojego serwera, aby uniknąć utraty cennego soku z linków.
• Mieszana treść może rzucić żółtą flagę . W przypadku niektórych przeglądarek, jeśli główna część strony internetowej jest ładowana z protokołu HTTPS, ale obrazy i inne elementy (takie jak arkusze stylów lub skrypty) są ładowane z adresu URL HTTP, może pojawić się wyskakujące okienko z ostrzeżeniem, że strona zawiera niezabezpieczoną treść . Oczywiście posiadanie bezpiecznej zawartości jest lepsze niż jej brak, nawet jeśli to drugie nie skutkuje wyświetleniem wyskakującego okienka. Mimo to warto upewnić się, że na swoich stronach nie ma żadnej „treści mieszanej”.
• Czasami łatwiej jest skorzystać z zewnętrznego procesora płatności . To żaden wstyd pozwolić Google Checkout, Paypal lub Checkout by Amazon obsługiwać Twoje płatności. Jeśli wszystkie powyższe wydają się zbyt trudne do omówienia, możesz pozwolić swoim klientom na wymianę informacji o płatnościach w bezpiecznej witrynie Paypal lub bezpiecznej witrynie Google i oszczędzić sobie kłopotów.

Masz inne pytania lub uwagi dotyczące certyfikatów HTTPS i SSL/TLS? Dajcie mi to usłyszeć w komentarzach.