Securitatea este un factor important din succesul oricărui site web. Acest lucru este valabil mai ales pentru site-urile care trebuie să colecteze PIA, sau "informații personale de identificare", de la vizitatori. Gândiți-vă la un site care vă cere să introduceți un număr de securitate socială sau, mai frecvent, un site de comerț electronic pe care trebuie să îl adăugați pentru a finaliza achiziția. Pe site-uri ca acestea, securitatea nu este doar de așteptat de la acei vizitatori, este esențială pentru succes.
Când construiți un site de comerț electronic, unul dintre primele lucruri pe care trebuie să îl configurați este un certificat de securitate, astfel încât datele dvs. de pe server să fie securizate. Când setați această opțiune, aveți opțiunea de a crea un certificat auto-semnat sau de a crea un certificat aprobat de o autoritate de certificare. Să aruncăm o privire la diferențele dintre aceste două abordări ale securității site-ului web.
Asemănări între certificatele semnate și cele semnate
Indiferent dacă primiți certificatul dvs. semnat de o autoritate de certificare sau îl semnați singur, există un lucru care este exact același la ambele:
- Ambele certificate vor genera un site care nu poate fi citit de terți. Datele transmise printr-o conexiune HTTPS sau SSL vor fi criptate indiferent dacă certificatul este semnat sau semnat.
Cu alte cuvinte, ambele tipuri de certificate vor cripta datele pentru a crea un site securizat. Din perspectiva securității digitale, acesta este pasul 1 al procesului.
De ce ați plăti o autoritate de certificare
O autoritate de certificare informează clienții dvs. că aceste informații despre server au fost verificate de o sursă de încredere și nu doar de compania care deține site-ul Web. Practic, există o companie terță parte care a verificat informațiile de securitate.
Autoritatea de certificare cea mai frecvent utilizată este Verisign. În funcție de care CA se utilizează, domeniul este verificat și se eliberează un certificat. Verisign și alte autorități de încredere vor verifica existența afacerii în cauză și a proprietății domeniului pentru a furniza un pic mai multă siguranță că site-ul în cauză este legitim.
Problema cu utilizarea unui certificat auto-semnat este că aproape fiecare browser Web verifică dacă o conexiune https este semnată de un CA recunoscut. În cazul în care conexiunea este semnată automat, aceasta va fi marcată ca potențial riscantă și vor apărea mesaje de eroare, încurajând clienții să nu aibă încredere în site, chiar dacă este într-adevăr sigur.
Folosirea unui certificat de auto-semnare
Deoarece acestea oferă aceeași protecție, puteți utiliza un certificat cu auto-semnat oriunde ați folosi un certificat semnat, dar unele locuri funcționează mai bine decât altele.
Certificatele cu auto-semnare sunt excelente pentru testarea serverelor . Dacă creați un site pe care trebuie să îl testați printr-o conexiune https, nu trebuie să plătiți pentru un certificat semnat pentru acel site de dezvoltare (care ar putea fi o resursă internă). Trebuie doar să îi spuneți testerelor că browser-ul lor poate afișa mesaje de avertizare.
De asemenea, puteți utiliza certificate cu auto-semnare pentru situații care necesită confidențialitate, dar este posibil ca oamenii să nu fie la fel de preocupați. De exemplu:
- Formularul de utilizator și parolă
- Colectarea informațiilor personale, dar nefinanciare ale PIA
- Pe formularele în care singurele utilizatori sunt persoane care vă cunosc și au încredere, cum ar fi un Intranet al companiei
Ceea ce vine în jos este încrederea. Când utilizați un certificat cu auto-semnătura, spuneți clienților dvs. că aveți încredere în mine - eu sunt cel care spun că sunt. Când utilizați un certificat semnat de o CA, spuneți: "Credeți-mă - Verisign este de acord că sunt cine spun că sunt." Dacă site-ul dvs. este deschis publicului și încercați să faceți afaceri cu ele, ulterior este un argument mult mai puternic de făcut.
Dacă faceți comert electronic, aveți nevoie de un certificat semnat
Este posibil ca clienții dvs. să vă ierte un certificat cu auto-semnătura dacă tot ce le utilizează este să vă conectați la site-ul dvs., dar dacă le cereți să introducă informațiile de pe cartea de credit sau de pe Paypal, atunci într-adevăr aveți nevoie de o semnătură certificat. Majoritatea oamenilor au încredere în certificatele semnate și nu vor face afaceri pe un server HTTPS fără unul. Deci, dacă încercați să vindeți ceva pe site-ul dvs., investiți în certificatul respectiv. Face parte din costul de a face afaceri și de a fi implicat în vânzarea online.
Articolul original de Jennifer Krynin. Editat de Jeremy Girard.