Сигурността е критично важен фактор за успеха на всеки уебсайт. Това важи особено за сайтовете, които трябва да съберат PIA или "лична информация" от посетителите. Помислете за сайт, който изисква да въведете номер на социална осигуровка или по-често сайт за електронна търговия, за който трябва да добавите информация за кредитната си карта, за да завършите покупката си. На такива сайтове сигурността не се очаква само от тези посетители, тя е от съществено значение за успеха.
Когато изграждате сайт за електронна търговия, едно от първите неща, които трябва да настроите, е сертификатът за сигурност, така че данните ви за сървъра да бъдат защитени. Когато го направите, имате възможност да създадете сертификат, който сте подписали или да създадете сертификат, одобрен от сертифициращ орган. Нека да разгледаме разликите между тези два подхода към сигурността на уебсайтовете.
Сходства между подписани и самоподписани сертификати
Независимо дали получавате сертификата си, подписан от сертифициращ орган, или го подписвате сами, има едно едно и също нещо от двете:
- И двата сертификата ще генерират сайт, който не може да бъде прочетен от трети страни. Данните, изпратени чрез връзка HTTPS или SSL , ще бъдат шифровани, независимо от това дали сертификатът е подписан или подписан самостоятелно.
С други думи, и двата типа сертификати ще кодират данните, за да създадат защитен уебсайт. От гледна точка на цифровата сигурност това е стъпка 1 на процеса.
Защо бихте платили сертифициращ орган
Сертифициращ орган уведомява клиентите си, че тази информация за сървъра е потвърдена от надежден източник, а не само от компанията, която притежава уебсайта. По принцип има компания от трета страна, която е проверила информацията за сигурността.
Най-често използваният сертификационен орган е Verisign. В зависимост от това кое CA се използва, домейнът се проверява и се издава сертификат. Verisign и други надеждни сертифициращи органи ще проверят съществуването на въпросния бизнес и собствеността върху домейна, за да осигурят малко по-голяма сигурност, че въпросният сайт е легитимен.
Проблемът с използването на самоподписан сертификат е, че почти всеки уеб браузър проверява дали една https връзка е подписана от признато CA. Ако връзката е подписана самостоятелно, това ще бъде означено като потенциално рисковано и ще се появят съобщения за грешка, които насърчават клиентите ви да не вярват на сайта, дори и да е сигурен.
Използване на сертификат със самоподписване
Тъй като те осигуряват същата защита, можете да използвате самоподписания сертификат навсякъде, където бихте използвали подписан сертификат, но някои места работят по-добре от други.
Самоподписаните сертификати са чудесни за тестване на сървъри . Ако създавате уебсайт, който трябва да тествате през https връзка, не е необходимо да плащате за подписан сертификат за този сайт за разработка (който вероятно е вътрешен ресурс). Трябва само да кажете на тестери, че техният браузър може да попърви предупредителни съобщения.
Можете също така да използвате самоподписани сертификати за ситуации, които изискват поверителност, но хората може и да не са толкова загрижени. Например:
- Формати за потребителско име и парола
- Събиране на лични, но нефинансови данни от PIA, информация
- На формуляри, където единствените потребители са хора, които ви познават и вярват, като например фирмен интранет
Това, до което се свежда, е доверието. Когато използвате самоподписания сертификат, вие казвате на клиентите си: "Повярвайте ми - аз съм, когото казвам, че съм". Когато използвате сертификат, подписан от СО, вие казвате: "Вярвайте ми - Verisign се съгласява, че съм, който казвам, че съм". Ако сайтът Ви е отворен за обществеността и се опитвате да правите бизнес с него, по-късният е много по-силен аргумент.
Ако правите електронна търговия, имате нужда от подписан сертификат
Възможно е вашите клиенти да ви простят за самоподписания сертификат, ако всички, за които са го използвали, трябва да влязат в уебсайта Ви, но ако ги помолите да внесат своята кредитна карта или Paypal информация, тогава наистина се нуждаете от подписан сертификат. Повечето хора се доверяват на подписаните сертификати и няма да правят бизнес през сървър HTTPS без такъв. Така че, ако се опитвате да продадете нещо на уебсайта си, инвестирайте в този сертификат. Това е част от разходите за правене на бизнес и занимаващи се с онлайн продажби.
Оригинална статия на Дженифър Кринин. Редактиран от Джеръми Жирар.