A biztonság kritikusan fontos tényező a weboldal sikerében. Ez különösen igaz azoknak a webhelyeknek, amelyeknek a PIA-t, vagy "személyazonosításra alkalmas adatokat" kell gyűjteniük a látogatóktól. Gondolj egy olyan webhelyre, amely megköveteli, hogy írja be a társadalombiztosítási számot, vagy gyakrabban olyan e-kereskedelmi webhelyet, amelyhez hitelkártyája adatait hozzá szeretné adni a vásárlás befejezéséhez. Ilyen helyeken a biztonság nemcsak a látogatóktól lesz elvárható, hanem a sikerhez is elengedhetetlen.
Amikor e-kereskedelmi webhelyet építesz, az első olyan dolog, amelyet be kell állítania, biztonsági tanúsítvány, így a kiszolgálóadatok biztonságban lesznek. Ha ezt beállította, Önnek lehetősége van egy önaláírt tanúsítvány létrehozására, vagy egy tanúsító hatóság által jóváhagyott tanúsítvány létrehozására. Vessünk egy pillantást a különbségekre e két megközelítés között a weboldal biztonsági certs.
Aláírt és önálló aláírású bizonyítványok közötti hasonlóságok
Függetlenül attól, hogy a bizonyítványt tanúsítvány-hatóság aláírta-e vagy aláírta-e, van egy dolog, ami pontosan ugyanazt jelenti mindkét esetben:
- Mindkét tanúsítvány olyan webhelyet hoz létre, amelyet harmadik felek nem tudnak olvasni. Az adatokat HTTPS-kapcsolaton vagy SSL-en keresztül küldi el, és titkosíthatók, függetlenül attól, hogy a tanúsítvány alá van-e írva, vagy ön aláírta-e.
Más szóval, mindkét tanúsítványtípus titkosítja az adatokat, hogy biztonságos webhelyet hozzon létre. Digitális biztonsági szempontból ez a folyamat 1. lépése.
Miért fizetne ki egy tanúsító hatóságot?
A tanúsító hatóság tájékoztatja ügyfeleit, hogy a kiszolgáló adatait megbízható forrás igazolja, és nem csak a webhely tulajdonosa. Alapvetően van egy harmadik fél cég, aki ellenőrizte a biztonsági információkat.
Egy általánosan használt igazoló hatóság a Verisign. Attól függően, hogy melyik CA-t használják, a domain ellenőrzése és tanúsítvány kiadása történik. A Verisign és más megbízható CA-k ellenőrizni fogják a szóban forgó vállalkozás létezését és a domain tulajdonjogát, hogy egy kicsit nagyobb biztonságot nyújtsanak a kérdéses webhely legitimeként.
Az önaláírt tanúsítvány használatával kapcsolatos probléma az, hogy majdnem minden webböngésző ellenőrzi, hogy egy https-kapcsolatot egy elismert CA ír alá. Ha a kapcsolat önálló aláírásra kerül, akkor potenciálisan kockázatosnak minősül, és hibaüzenetek jelennek meg, amelyek arra ösztönzik az ügyfeleket, hogy ne bízzanak a webhelyen, még akkor is, ha ez valóban biztonságos.
Önaláírt tanúsítvány használata
Mivel ugyanazt a védelmet nyújtják, önállóan aláírt tanúsítványt használhat bárhol aláírt tanúsítványt használva, de egyes helyek jobban működnek, mint mások.
Az önaláírt tanúsítványok nagyszerűek a kiszolgálók teszteléséhez. Ha olyan webhelyet hoz létre, amelyet egy https kapcsolaton keresztül kell tesztelni, akkor nem kell fizetnie egy aláírt tanúsítványért a fejlesztési webhelyért (amely valószínűleg belső erőforrás). Csak annyit kell mondania a tesztelőinek, hogy a böngészőjük figyelmeztető üzeneteket küldhet.
Önállóan aláírt tanúsítványokat is használhat olyan helyzetekhez, amelyek magánélethez szükségesek, de az emberek nem feltétlenül aggódnak. Például:
- Felhasználónév és jelszó
- A PIA személyes, de nem pénzügyi jellegű gyűjtése
- Olyan formákon, ahol az egyetlen felhasználó olyan ember, aki ismeri és bízik benned, mint egy vállalati intranet
Ami leáll, a bizalom. Ha önálló aláírással ellátott tanúsítványt használ, akkor azt mondja az ügyfeleinek, hogy "bízz bennem - én vagyok, akit mondok". Ha egy CA által aláírt tanúsítványt használ, akkor azt mondja: "Bízz bennem - Verisign egyetért azzal, hogy én vagyok, akivel azt mondom". Ha webhelyed nyilvános, és üzleti tevékenységet folytat, akkor ez utóbbi sokkal erősebb érv.
Ha e-kereskedelemre van szüksége, aláírt igazolásra van szüksége
Lehetséges, hogy ügyfelei megbocsátanak Önnek egy önálló aláírással ellátott tanúsítványról, ha csak arra használják, hogy bejelentkezik a webhelyére, de ha megkéri őket, hogy írják be hitelkártyájukat vagy Paypal adatait, akkor tényleg szüksége van egy aláírt bizonyítvány. A legtöbb ember megbízik az aláírt tanúsítványokban, és nem veszi igénybe HTTPS-kiszolgáló nélkül. Tehát ha valamit próbál eladni webhelyén, fektess be a tanúsítványba. Ez része az üzleti tevékenységnek és az online értékesítésnek.