Sigurnost je ključno važan faktor u uspjehu bilo koje web stranice. Ovo je posebno važno za sajtove koji moraju da prikupljaju PIA ili "lične podatke" od posetilaca. Razmislite o web lokaciji koja zahteva da unesete broj socijalnog osiguranja ili, najčešće, lokaciju za e-trgovinu koja vam je potrebna za dodavanje podataka o kreditnoj kartici kako biste završili kupovinu. Na ovakvim lokacijama, sigurnost ne samo da se očekuje od tih posetilaca, neophodno je za uspeh.
Kada gradite web lokaciju za e-trgovinu, jedna od prvih stvari koje treba da postavite je sigurnosni sertifikat tako da će vaši podaci o serveru biti sigurni. Kada ovo podesite, imate mogućnost kreiranja samopotpisanog sertifikata ili stvaranja sertifikata odobrenog od strane autoriteta sertifikata. Hajde da pogledamo razlike između ova dva pristupa sigurnosti web stranice.
Sličnosti između potpisanih i samopodpisanih sertifikata
Bez obzira da li ste dobili sertifikat potpisan od strane sertifikacionog autoriteta ili sami potpisali, postoji jedna stvar koja je potpuno ista na oba:
- Oba sertifikata će generisati sajt koji ne mogu pročitati treće strane. Podaci poslani putem HTTPS veze ili SSL-a biće šifrirani bez obzira da li je sertifikat potpisan ili samopotpisan.
Drugim riječima, oba tipa sertifikata šifriraće podatke kako bi kreirale sigurno web-mjesto. Sa perspektive digitalne sigurnosti, ovo je korak 1 procesa.
Zašto biste platili autoritet za izdavanje certifikata
Organ sertifikata govori vašim klijentima da su ove informacije o serveru potvrdili pouzdani izvor, a ne samo kompanija koja posjeduje web stranicu. U osnovi, postoji treća kompanija koja je verifikovala informacije o bezbednosti.
Najčešće korišćeni autoritet za certifikate je Verisign. U zavisnosti od kojih se CA koristi, domen je potvrđen i izdaje se sertifikat. Verisign i drugi pouzdani CA će provjeriti postojanje predmetnog preduzeća i vlasništvo nad domenom kako bi osigurali malo više sigurnosti da je predmetno mjesto legitimno.
Problem sa samopodpisanim sertifikatom je da skoro svaki web pregledač proverava da li je https veza potpisana od strane priznatog CA-a. Ako je veza samopotpisana, ovo će biti označeno kao potencijalno rizično i pojavit će se poruke o grešci koje potiču vaše klijente da ne vjeruju na sajt, čak i ako je zaista sigurno.
Upotreba samopodpisanog sertifikata
S obzirom da pružaju istu zaštitu, možete sami potpisati sertifikat svuda gde biste koristili potpisani sertifikat, ali u nekim mestima radi bolje od drugih.
Samopotpisani certifikati su odlični za testiranje servera . Ako kreirate web stranicu koju morate testirati preko https veze, ne morate platiti potpisani sertifikat za to područje razvoja (što verovatno predstavlja interni resurs). Samo trebate reći svojim testerima da njihov pregledač može popuniti upozoravajuće poruke.
Možete i samopotpisane sertifikate koristiti za situacije koje zahtevaju privatnost, ali ljudi možda nisu toliko zabrinuti. Na primjer:
- Korisničko ime i lozinke
- Prikupljanje ličnih, ali nefinansijskih informacija o PIA, informacija
- Na oblicima gde su jedini korisnici ljudi koji znaju i veruju ti, kao kompanija Intranet
Ono što saznaje je poverenje. Kada koristite samopotpisan sertifikat, govorite svojim klijentima "vjerujte mi - ja sam kome kažem da sam". Kada koristite sertifikat potpisan od strane CA, vi kažete: "Veruj mi - Verisign slaže se da sam ja koga ja kažem". Ako je vaša stranica otvorena za javnost i pokušavate da obavljate poslovanje s njima, kasnije je mnogo jači argument.
Ako obavljate e-trgovinu, trebate potpisani sertifikat
Moguće je da će vam vaši klijenti oprostiti samopotpisani sertifikat ako je sve što ga koriste, da se prijavite na vašu web stranicu, ali ako tražite od njih da unesu svoje kreditne kartice ili Paypal informacije, onda vam stvarno treba potpisan sertifikat. Većina ljudi veruje u potpisane sertifikate i neće obavljati posao preko HTTPS servera bez njega. Dakle, ako pokušavate da nešto prodate na svojoj web stranici, uložite u taj certifikat. To je deo troškova poslovanja i angažovanja u online prodaji.
Originalni članak Jennifer Krynin. Uredio Jeremy Girard.