Na wstępie muszę wspomnieć, że jestem założycielem i administratorem witryny cristalbus.pl. Jest to prosta strona pobierająca dane o transporcie publicznym z API serwisu Otwarty Gdańsk. Następnie dane te są przetwarzane i udostępniane w formie przyjaznej dla użytkownika, informując go o najbliższych rzeczywistych odjazdach z przystanku, czy też o rozkładzie jazdy konkretnych linii. Użytkownikami mojej witryny są głównie miłośnicy komunikacji miejskiej, ponieważ system udziela dokładnych informacji (nr. boczny, marka i model), na temat tego jaki konkretny autobus/tramwaj/trolejbus przyjedzie na przystanek, a także jakie inne pojazdy kursują na liniach. Witrynę utworzyłem w listopadzie 2017 roku. Portal jest obsługiwany przez demona Apache2, działającego na systemie operacyjnym Debian. System zaś stoi na serwerze VPS z oferty firmy ovh.com.

Do tej pory uważałem że protokół https przeznaczony jest dla portali, w których dochodzi do przesyłania danych wrażliwych, takich jak: loginy i hasła, imiona i nazwiska, numery telefonów, adresy, itp. Moim zdaniem zabezpieczanie strony, w której nie dochodziło nawet do przesyłu haseł dostępowych, nie było konieczne a nawet było zbędne. No bo jaką szkodą będzie, gdy ktoś podsłucha taką transmisję i pozna bezpośrednio treść artykułu czytanego przez ofiarę, oraz ewentualnie zapozna się z jej komentarzem. I dlatego na swojej witrynie również nie planowałem wdrażać SSL, mimo wiadomości od użytkowników, informujących mnie że ich przeglądarka uważa serwis za niebezpieczny. Wprowadzenie SSL zalecał mi również mój kolega, związany z informatyką.

Przeglądając YouTube, trafiłem na kanał Pana Jarosława Karcewicza – administratora sieci komputerowych, który w przyjazny i ciekawy sposób przybliża różne niuanse sieci komputerów. W jednym z filmów poświęconych protokołowi SSL, przytoczył historię, w której bank PKO instruował klientów, korzystających z przeglądarki Google Chrome, jak obejść ostrzeżenia o błędzie w certyfikacie SSL. Chodziło tam o wykorzystywanie pola „Common Name„, które było nierekomendowane do użytku przez normę RFC 2818 od ponad 20 lat. Historia ta dała mi do myślenia. Zrozumiałem wtedy wizję tego, że dla wspólnego bezpieczeństwa wszystkie strony powinny być chronione certyfikatem SSL, a zwykli użytkownicy nigdy nie powinni wchodzić na strony niezabezpieczone, a tym bardziej ignorować ostrzeżeń o nieprawidłowych certyfikatach.

Co do wdrożenia SSL w moim przypadku. Byłbym w stanie zapłacić za certyfikat do 50zł, czyli mniej więcej tyle co rocznie kosztuje mnie domena. Niestety ale nie udało mi się znaleźć oferty certyfikatu dla wielu sub-domen. Zdecydowałem się więc na rozwiązanie bezpłatne. Genialnym rozwiązaniem okazuje się Let’s Encrypt. Dzięki wykorzystaniu rekomendowanego przez nich narzędzia – certbota, można za pomocą jednego polecenia wygenerować klucze i certyfikat, a następnie automatycznie je autoryzować. I to dla wielu domen!

root@VPS-xxx:~# certbot certonly --webroot -w /var/www/xxx -d cristalbus.pl -d www.cristalbus.pl

Apel do administratorów nawet tak prostych witryn jak moja: używajcie SSL. To dla wspólnego bezpieczeństwa wszystkich użytkowników nietechnicznych. Sam teraz zauważam, jak wiele stron nieraz nawet bardzo poważnych stron nie posiada certyfikatu.