Η ασφάλεια είναι ένας κρίσιμος παράγοντας για την επιτυχία κάθε ιστοτόπου. Αυτό ισχύει ιδιαίτερα για ιστότοπους που πρέπει να συλλέγουν PIA ή "προσωπικά αναγνωρίσιμες πληροφορίες" από τους επισκέπτες. Σκεφτείτε έναν ιστότοπο που απαιτεί να εισαγάγετε έναν αριθμό κοινωνικής ασφάλισης ή πιο συχνά έναν ιστότοπο ηλεκτρονικού εμπορίου στον οποίο πρέπει να προσθέσετε πληροφορίες πιστωτικής κάρτας για να ολοκληρώσετε την αγορά σας. Σε ιστότοπους όπως αυτές, η ασφάλεια δεν αναμένεται μόνο από αυτούς τους επισκέπτες, είναι απαραίτητη για την επιτυχία.
Όταν δημιουργείτε έναν ιστότοπο ηλεκτρονικού εμπορίου, ένα από τα πρώτα πράγματα που πρέπει να ρυθμίσετε είναι ένα πιστοποιητικό ασφαλείας, έτσι ώστε τα δεδομένα του διακομιστή σας να είναι ασφαλή. Όταν το ρυθμίσετε, μπορείτε να δημιουργήσετε ένα πιστοποιητικό που έχετε υπογράψει αυτόματα ή να δημιουργήσετε ένα πιστοποιητικό που έχει εγκριθεί από μια αρχή έκδοσης πιστοποιητικών. Ας ρίξουμε μια ματιά στις διαφορές μεταξύ αυτών των δύο προσεγγίσεων στις βεβαιώσεις ασφαλείας ιστοσελίδων.
Ομοιότητες μεταξύ πιστοποιημένων και υπογεγραμμένων πιστοποιητικών
Εάν έχετε λάβει το πιστοποιητικό σας υπογεγραμμένο από μια αρχή έκδοσης πιστοποιητικών ή υπογράψετε τον εαυτό σας, υπάρχει ένα πράγμα που είναι ακριβώς το ίδιο και στα δύο:
- Και τα δύο πιστοποιητικά θα δημιουργήσουν έναν ιστότοπο που δεν μπορεί να διαβαστεί από τρίτους. Τα δεδομένα που αποστέλλονται μέσω σύνδεσης HTTPS ή SSL θα κρυπτογραφηθούν ανεξάρτητα από το αν το πιστοποιητικό έχει υπογραφεί ή έχει υπογραφεί αυτοπροσώπως.
Με άλλα λόγια, και οι δύο τύποι πιστοποιητικών θα κρυπτογραφήσουν τα δεδομένα για να δημιουργήσουν έναν ασφαλή ιστότοπο. Από την άποψη της ψηφιακής ασφάλειας, αυτό είναι το πρώτο βήμα της διαδικασίας.
Γιατί θα πληρώσατε μια αρχή έκδοσης πιστοποιητικών
Μια αρχή έκδοσης πιστοποιητικών ενημερώνει τους πελάτες σας ότι αυτές οι πληροφορίες διακομιστή έχουν επαληθευτεί από μια αξιόπιστη πηγή και όχι μόνο από την εταιρεία που κατέχει τον ιστότοπο. Βασικά, υπάρχει μια τρίτη εταιρεία που έχει επαληθεύσει τις πληροφορίες ασφαλείας.
Η πιο συνηθισμένη αρχή πιστοποίησης είναι η Verisign. Ανάλογα με το ποια CA χρησιμοποιείται, ο τομέας επαληθεύεται και εκδίδεται πιστοποιητικό. Η Verisign και άλλες αξιόπιστες ΑΠ θα επαληθεύσουν την ύπαρξη της συγκεκριμένης επιχείρησης και την κυριότητα του τομέα για να παράσχουν λίγο περισσότερη ασφάλεια ότι ο συγκεκριμένος ιστότοπος είναι νόμιμος.
Το πρόβλημα με τη χρήση ενός πιστοποιητικού που έχει υπογραφεί αυτόματα είναι ότι σχεδόν κάθε πρόγραμμα περιήγησης Web ελέγχει ότι μια σύνδεση https υπογράφεται από αναγνωρισμένη ΑΠ. Αν η σύνδεση έχει υπογραφεί αυτόματα, αυτό θα επισημανθεί ως πιθανώς επικίνδυνο και θα εμφανιστούν μηνύματα σφάλματος, ενθαρρύνοντας τους πελάτες σας να μην εμπιστεύονται τον ιστότοπο, ακόμα και αν είναι ασφαλείς.
Χρησιμοποιώντας ένα Πιστοποιητικό Αυτοελέγχου
Δεδομένου ότι παρέχουν την ίδια προστασία, μπορείτε να χρησιμοποιήσετε ένα αυτογραφόμενο πιστοποιητικό οπουδήποτε θα χρησιμοποιούσατε ένα υπογεγραμμένο πιστοποιητικό, αλλά ορισμένα μέρη λειτουργούν καλύτερα από άλλα.
Τα αυτο-υπογεγραμμένα πιστοποιητικά είναι εξαιρετικά χρήσιμα για τον έλεγχο των διακομιστών . Αν δημιουργείτε έναν ιστότοπο που πρέπει να δοκιμάσετε μέσω μιας σύνδεσης https, δεν χρειάζεται να πληρώσετε ένα υπογεγραμμένο πιστοποιητικό για αυτόν τον αναπτυξιακό ιστότοπο (που πιθανόν να είναι ένας εσωτερικός πόρος). Απλά πρέπει να ενημερώσετε τους δοκιμαστές σας ότι το πρόγραμμα περιήγησης ενδέχεται να εμφανίσει προειδοποιητικά μηνύματα.
Μπορείτε επίσης να χρησιμοποιήσετε πιστοποιητικά που έχετε υπογράψει αυτόνομα για καταστάσεις που απαιτούν ιδιωτικό απόρρητο, αλλά οι άνθρωποι μπορεί να μην ανησυχούν. Για παράδειγμα:
- Μορφές ονόματος χρήστη και κωδικού πρόσβασης
- Συλλογή προσωπικών, αλλά μη οικονομικών στοιχείων της PIA, πληροφορίες
- Στις φόρμες όπου οι μόνοι χρήστες είναι άνθρωποι που σας γνωρίζουν και σας εμπιστεύονται, όπως ένα εταιρικό Intranet
Αυτό που έρχεται κάτω είναι εμπιστοσύνη. Όταν χρησιμοποιείτε ένα πιστοποιητικό που έχετε υπογράψει αυτομάτως, λέτε στους πελάτες σας "εμπιστευθείτε - είμαι εγώ λέω ότι είμαι". Όταν χρησιμοποιείτε ένα πιστοποιητικό που υπογράφεται από μια ΑΠ, λέτε, "Εμπιστευθείτε με - Verisign συμφωνεί είμαι εγώ λέω ότι είμαι". Εάν ο ιστότοπός σας είναι ανοιχτός στο κοινό και προσπαθείτε να συνεργαστείτε μαζί του, το αργότερο είναι πολύ ισχυρότερο επιχείρημα.
Εάν κάνετε ηλεκτρονικό εμπόριο, χρειάζεστε υπογεγραμμένο πιστοποιητικό
Είναι πιθανό οι πελάτες σας να σας συγχωρήσουν για ένα πιστοποιητικό που υπογράφηκε αυτομάτως, αν όλοι τους χρησιμοποιούν για να συνδεθούν στον ιστότοπό σας, αλλά εάν τους ζητάτε να εισάγουν τις πληροφορίες της πιστωτικής τους κάρτας ή του Paypal, τότε χρειάζεστε πραγματικά μια υπογεγραμμένη πιστοποιητικό. Οι περισσότεροι άνθρωποι εμπιστεύονται τα πιστοποιητικά που έχουν υπογράψει και δεν θα κάνουν επιχειρήσεις μέσω ενός διακομιστή HTTPS χωρίς ένα. Έτσι εάν προσπαθείτε να πουλήσετε κάτι στον ιστότοπό σας, επενδύστε σε αυτό το πιστοποιητικό. Είναι μέρος του κόστους της επιχειρηματικής δραστηριότητας και της πώλησης σε απευθείας σύνδεση.
Αρχικό άρθρο από την Jennifer Krynin. Επεξεργασμένο από τον Jeremy Girard.