Krótkie spis treści:

  1. TLS w prostych słowach

  2. Co TLS chroni, a czego nie

  3. Jak działa handshake TLS

  4. Certyfikaty i zaufanie PKI

  5. TLS 1.2 vs TLS 1.3

  6. SNI, ALPN, HSTS, OCSP stapling

  7. Najczęstsze błędy konfiguracji

  8. Checklista bezpieczeństwa

TLS: jak działa i dlaczego jest kluczowy

TLS (Transport Layer Security) to protokół stojący za HTTPS. Tworzy bezpieczny kanał między przeglądarką a serwerem, dzięki czemu dane są szyfrowane, nie można ich łatwo podmienić, a użytkownik ma pewność, że łączy się z właściwą domeną.

1) Przed czym chroni TLS

Poufność: dane (hasła, formularze, tokeny sesji) są nieczytelne dla podsłuchującego w sieci.
Integralność: mechanizmy TLS wykrywają manipulacje w trakcie transmisji.
Uwierzytelnianie: certyfikat potwierdza, że serwer jest uprawniony do obsługi danej domeny.

Czego TLS nie rozwiązuje

TLS nie naprawi podatności aplikacji. Jeśli strona ma XSS, SQL injection, słabe hasła lub dziury w panelu admina, HTTPS nie zablokuje ataku. TLS chroni transport, nie logikę aplikacji.

2) Handshake TLS — jak powstaje bezpieczne połączenie

W skrócie:

  1. Klient wysyła informacje o wersjach TLS i obsługiwanych algorytmach.

  2. Serwer wybiera parametry i wysyła certyfikat.

  3. Klient weryfikuje certyfikat i łańcuch zaufania.

  4. Następuje uzgodnienie klucza sesyjnego.

  5. Od tego momentu ruch jest szyfrowany.

TLS 1.3 przyspiesza handshake i usuwa starsze, ryzykowne elementy.

3) Certyfikaty i PKI

Certyfikat wiąże domenę z kluczem publicznym, a CA podpisuje go w ramach infrastruktury PKI. Przeglądarki ufają wybranym CA, więc mogą zweryfikować autentyczność certyfikatu.

W praktyce:

  • DV zwykle wystarcza dla większości stron.

  • OV/EV przydają się w wymaganiach formalnych.

  • Wildcard dla subdomen, SAN dla wielu domen.

4) TLS 1.2 a TLS 1.3

TLS 1.3 jest zwykle najlepszym wyborem: szybszy, prostszy i bezpieczniejszy domyślnie. TLS 1.2 nadal bywa potrzebny dla kompatybilności, ale musi być poprawnie skonfigurowany.

5) Ważne elementy towarzyszące

  • SNI: wiele domen HTTPS na jednym IP.

  • ALPN: negocjacja HTTP/2.

  • HSTS: wymusza HTTPS i ogranicza downgrade.

  • OCSP stapling: usprawnia weryfikację statusu certyfikatu.

6) Najczęstsze błędy

  • włączone TLS 1.0/1.1,

  • słabe szyfry,

  • zły łańcuch certyfikatu,

  • mixed content,

  • pętle przekierowań,

  • wygasły certyfikat przez brak automatyzacji.

7) Checklista bezpiecznego HTTPS

  • Włącz TLS 1.3 + TLS 1.2, wyłącz starsze protokoły.

  • Używaj nowoczesnych szyfrów i forward secrecy.

  • Automatyzuj odnowienia certyfikatów i monitoruj daty ważności.

  • Włącz HSTS dopiero po stabilnym wdrożeniu HTTPS.

  • Usuń mixed content i zbędne przekierowania.

  • Po aktualizacjach serwera sprawdzaj konfigurację ponownie.