Sigurnost je kritički važan čimbenik uspjeha bilo koje web stranice. To se posebno odnosi na web-lokacije koje trebaju prikupiti PIA ili "osobne podatke" od posjetitelja. Razmislite o web mjestu koje zahtijeva da unesete broj socijalnog osiguranja ili, češće, web mjesto e-trgovine koje trebate dodati podatke o kreditnoj kartici da biste dovršili kupnju. Na stranicama poput ove, sigurnost se ne očekuje samo od tih posjetitelja, već je bitno za uspjeh.
Kada gradite web-lokaciju e-trgovine, jedna od prvih stvari koje trebate postaviti jest sigurnosni certifikat kako bi podaci poslužitelja bili sigurni. Kada to postavite, imate mogućnost stvaranja samopotvrđene potvrde ili izrade certifikata koji je odobrio nadležno tijelo za izdavanje certifikata. Pogledajmo razlike između ova dva pristupa na web sigurnosne napade.
Sličnosti između potpisanih i potpisanih potvrda
Bez obzira na to dobivate li vaš certifikat potpisan od strane ovlaštenog certifikata ili ga potpišete, postoji jedna stvar koja je točno ista u oba slučaja:
- Obje potvrde generiraju web mjesto koje treće strane ne mogu pročitati. Podaci koji se šalju preko HTTPS veze ili SSL-a bit će šifrirani bez obzira je li potpis potpisan ili potpisan.
Drugim riječima, obje vrste certifikata će šifrirati podatke za stvaranje sigurne web stranice. Iz perspektive digitalne sigurnosti, to je korak 1 procesa.
Zašto biste platili ovlaštenje za izdavanje certifikata
Tijelo za izdavanje certifikata obavještava vaše klijente da su ove informacije o poslužitelju potvrdile pouzdani izvor, a ne samo tvrtka koja posjeduje web stranicu. Uglavnom, postoji tvrtka treće strane koja je potvrdila sigurnosne informacije.
Najčešće korišten certifikat je Verisign. Ovisno o tome koji se CA koristi, domena je potvrđena i izdana je potvrda. Verisign i ostali vjerodostojni CA-i ovjerit će postojanje predmetnog posla i vlasništvo nad domenom kako bi pružila malo veću sigurnost da je dotično web mjesto legitimno.
Problem s korištenjem self-potpisanog certifikata je da gotovo svaki web preglednik provjerava da je https veza potpisala priznata CA. Ako je veza self-signed, to će biti označeno kao potencijalno rizična i poruka o pogrešci će se pojaviti potičući Vaše klijente da ne vjeruju u web stranice, čak i ako je zaista siguran.
Korištenje certifikata s potpisom
Budući da pružaju istu zaštitu, možete upotrijebiti certifikat s vlastitim potpisom gdje god želite upotrijebiti potpisanu potvrdu, no neka mjesta rade bolje od drugih.
Samopotpisane potvrde izvrsne su za testiranje poslužitelja . Ako izrađujete web stranicu koju trebate testirati putem https veze, ne morate platiti potpisanu potvrdu za tu razvojnu web lokaciju (koja je vjerojatno unutarnji izvor). Trebate samo reći testerima da se njihov preglednik može upozoravati na poruke.
Možete koristiti i samo potpisane certifikate za situacije koje zahtijevaju privatnost, ali možda se ljudi ne bi tako brinuli. Na primjer:
- Obrazac za korisničko ime i zaporku
- Prikupljanje osobnih, ali nefinancijskih podataka o PIA-i, informacije
- Na obrascima u kojima su jedini korisnici ljudi koji vas poznaju i vjeruju, poput tvrtke Intranet
Ono što se svodi na to je povjerenje. Kada upotrebljavate potpisanu potvrdu, kažete svojim klijentima "vjerujte mi - ja sam onaj koga kažem ja sam". Kada koristite certifikat potpisan od strane nadležnog tijela, kažete, "Vjerujte mi - Verisign se slaže da sam onaj koga kažem ja". Ako je vaša web lokacija otvorena za javnost i pokušavate poslovati s njima, kasnije je mnogo jači argument.
Ako izvršavate e-trgovinu, potreban vam je potpisani certifikat
Moguće je da će vam vaši klijenti oprostiti za potpisom s potpisom ako su svi oni kojima se ona služi za prijavu na vašu web-lokaciju, ali ako od njih zatražite unos podataka o kreditnoj kartici ili Paypalu, zaista vam je potrebna potpisana potvrda. Većina ljudi vjeruje potpisanim certifikatima i neće poslovati preko HTTPS poslužitelja bez njega. Dakle, ako pokušavate prodati nešto na svojoj web lokaciji, uložite u taj certifikat. To je dio troškova poslovanja i sudjelovanja u online prodaji.
Izvorni članak Jennifer Krynin. Uredio je Jeremy Girard.