Podpisane i samodzielnie podpisane certyfikaty w zabezpieczeniach internetowych

#36 - Co to jest certyfikat SSL i kiedy warto go mieć? - arturkosinski.pl (Może 2024)

#36 - Co to jest certyfikat SSL i kiedy warto go mieć? - arturkosinski.pl (Może 2024)
Anonim

Bezpieczeństwo jest krytycznie ważnym czynnikiem sukcesu każdej witryny. Jest to szczególnie ważne w przypadku witryn, które muszą zbierać PIA lub "informacje umożliwiające identyfikację" od użytkowników. Zastanów się nad witryną, która wymaga podania numeru ubezpieczenia społecznego lub częściej witryny e-commerce, do której musisz dodać dane karty kredytowej, aby dokończyć zakup. Na takich stronach, od tych użytkowników oczekuje się nie tylko bezpieczeństwa, ale także sukcesu.

Podczas budowania witryny e-commerce jedną z pierwszych rzeczy, które musisz skonfigurować, jest certyfikat bezpieczeństwa, dzięki czemu dane Twojego serwera będą bezpieczne. Po ustawieniu można utworzyć samopodpisany certyfikat lub certyfikat zatwierdzony przez urząd certyfikacji. Rzućmy okiem na różnice między tymi dwoma podejściami do certyfikatów bezpieczeństwa witryny.

Podobieństwa między podpisanymi i samopodpisanymi certyfikatami

Niezależnie od tego, czy certyfikat jest podpisywany przez urząd certyfikacji, czy podpisujesz go samodzielnie, jedno i drugie jest dokładnie takie samo:

  • Oba certyfikaty wygenerują witrynę, której nie będą mogły czytać strony trzecie. Dane są przesyłane za pośrednictwem połączenia HTTPS lub SSL i będą szyfrowane niezależnie od tego, czy certyfikat jest podpisany, czy też samopodpisany.

Innymi słowy, oba typy certyfikatów będą szyfrować dane w celu utworzenia bezpiecznej witryny. Z punktu widzenia bezpieczeństwa cyfrowego jest to pierwszy krok tego procesu.

Dlaczego miałbyś płacić urzędowi certyfikacji?

Urząd certyfikacji informuje klientów, że dane tego serwera zostały zweryfikowane przez zaufane źródło, a nie tylko przez firmę, która jest właścicielem witryny. Zasadniczo istnieje firma zewnętrzna, która zweryfikowała informacje o zabezpieczeniach.

Powszechnie stosowanym urzędem certyfikacji jest Verisign. W zależności od tego, który urząd certyfikacji jest używany, domena jest weryfikowana i wystawiany jest certyfikat. Verisign i inne zaufane urzędy certyfikacji zweryfikują istnienie danej firmy i własność domeny, aby zapewnić nieco większe bezpieczeństwo, które jest uzasadnione dla danej witryny.

Problem z używaniem samopodpisanego certyfikatu polega na tym, że prawie każda przeglądarka internetowa sprawdza, czy połączenie https jest podpisane przez uznany urząd certyfikacji. Jeśli połączenie zostanie podpisane automatycznie, zostanie oznaczone jako potencjalnie ryzykowne i pojawią się komunikaty o błędach, które zachęcą klientów do niewiarygodności witryny, nawet jeśli jest ona rzeczywiście bezpieczna.

Korzystanie z certyfikatu samopodpisanego

Ponieważ zapewniają taką samą ochronę, możesz użyć certyfikatu z podpisem własnym w dowolnym miejscu, w którym korzystasz z podpisanego certyfikatu, ale niektóre miejsca działają lepiej niż inne.

Certyfikaty z podpisem własnym są świetne do testowania serwerów. Jeśli tworzysz stronę internetową, którą musisz przetestować przez połączenie https, nie musisz płacić za podpisany certyfikat dla tej witryny programistycznej (która prawdopodobnie będzie zasobem wewnętrznym). Wystarczy, że powiesz swoim testerom, że ich przeglądarka może wysyłać wiadomości ostrzegawcze.

Możesz także używać certyfikatów z podpisem własnym w sytuacjach wymagających prywatności, ale ludzie mogą nie być tym zainteresowani. Na przykład:

  • Nazwa użytkownika i formularz hasła
  • Gromadzenie informacji osobistych, ale nie finansowych PIA
  • W formularzach, w których jedynymi użytkownikami są osoby, które znają i ufają Tobie, takie jak firmowy intranet

To, co sprowadza się do zaufania. Korzystając z samopodpisanego certyfikatu, mówisz swoim klientom: "Zaufajcie mi - jestem tym, za kogo się podaje". Kiedy używasz certyfikatu podpisanego przez urząd certyfikacji, mówisz: "Zaufaj mi - Verisign zgadza się, jestem tym, za kogo się podaje". Jeśli twoja strona jest otwarta dla publiczności i próbujesz robić z nią interesy, ten drugi argument jest o wiele silniejszy.

Jeśli prowadzisz handel elektroniczny, potrzebujesz certyfikatu podpisanego

Możliwe, że Twoi klienci wybiorą ci samopodpisany certyfikat, jeśli wszyscy go używają, to zalogować się do Twojej witryny, ale jeśli prosisz ich o podanie danych swojej karty kredytowej lub informacji o Paypal, naprawdę potrzebujesz podpisu certyfikat. Większość ludzi ma zaufanie do podpisanych certyfikatów i nie będzie robić biznesu za pośrednictwem serwera HTTPS bez niego. Jeśli więc chcesz sprzedać coś na swojej stronie, zainwestuj w ten certyfikat. Jest to część kosztów prowadzenia działalności i angażowania się w sprzedaż online.

Wybieranie bezpiecznych czcionek internetowych dla twoich stron internetowych

Wybieranie bezpiecznych czcionek internetowych dla twoich stron internetowych

Bezpieczne czcionki internetowe to czcionki znalezione na moich komputerach. W tym artykule przyjrzymy się, jak te czcionki mogą być używane w projektowaniu strony internetowej pod kątem stylu i wydajności.

10 edukacyjnych stron internetowych do korzystania z kursów internetowych

10 edukacyjnych stron internetowych do korzystania z kursów internetowych

Istnieje wiele kursów internetowych, które możesz podjąć, aby poprawić swoją wiedzę i umiejętności. Oto 10 najlepszych witryn edukacyjnych do wypróbowania.

Wprowadzenie do skanowania portów w zabezpieczeniach sieci

Wprowadzenie do skanowania portów w zabezpieczeniach sieci

Wprowadzenie do skanowania portów jest podstawowym przeglądem skanowania portów TCP / IP - jak to zrobić i jakie wyniki będą lub nie powiedzą.

Wybór Redakcji