Drošība ir kritiski svarīgs faktors jebkura tīmekļa vietnes veiksmei. Tas jo īpaši attiecas uz vietnēm, kurās ir jāapkopo PIA vai "personiski identificējama informācija" no apmeklētājiem. Padomājiet par vietni, kurā ir jāievada sociālās apdrošināšanas numurs vai biežāk e-komercijas vietne, kurai jāpievieno kredītkartes informācija, lai pabeigtu pirkumu. Šajās vietnēs drošība tiek gaidīta ne tikai no šiem apmeklētājiem, bet arī panākumiem.
Veidojot e-komercijas vietni, viena no pirmajām lietām, kas jums būs jāiestata, ir drošības sertifikāts, lai jūsu servera dati būtu droši. Kad to iestatāt, jums ir iespēja izveidot pašparakstītu sertifikātu vai izveidot sertifikātu, ko apstiprinājusi sertifikātu iestāde. Apskatīsim atšķirības starp šīm divām pieejām tīmekļa drošības sertifikātos.
Līdzības starp parakstītajiem un pašierakstītajiem sertifikātiem
Neatkarīgi no tā, vai sertifikāts ir parakstīts sertifikātu iestādē vai pats paraksta pats, abos gadījumos ir tāda pati lieta:
- Abi sertifikāti radīs vietni, kuru trešās puses nevar izlasīt. Dati, kas nosūtīti pa HTTPS savienojumu vai SSL , tiks šifrēti neatkarīgi no tā, vai sertifikāts ir parakstīts vai pats parakstīts.
Citiem vārdiem sakot, abiem sertifikātu veidiem tiks šifrēti dati, lai izveidotu drošu vietni. No digitālā drošības viedokļa tas ir process 1. solis.
Kāpēc jūs maksājat sertifikātu iestādi
Sertifikācijas iestāde paziņo saviem klientiem, ka šī servera informācija ir apstiprināta uzticamam avotam, nevis tikai uzņēmumam, kuram pieder vietne. Būtībā ir trešās puses uzņēmums, kurš ir pārbaudījis drošības informāciju.
Visbiežāk lietotā sertifikātu iestāde ir Verisign. Atkarībā no tā, kuru CA izmanto, domēns tiek pārbaudīts un izdots sertifikāts. Verisign un citas uzticamas SI pārbaudīs attiecīgā uzņēmuma esamību un domēna īpašumtiesības, lai sniegtu mazliet lielāku drošību, ka attiecīgā vietne ir likumīga.
Pašnodarbinātās sertifikāta izmantošanas problēma ir tā, ka gandrīz katrs tīmekļa pārlūks pārbauda, vai https savienojums ir parakstīts ar atzītu CA. Ja savienojums ir pats paraksts, tas tiks atzīmēts kā potenciāli riskants un parādīsies kļūdas ziņojums, mudinot klientus neuzticēties vietnei, pat ja tas patiešām ir drošs.
Izmantojot pašierakstītu sertifikātu
Tā kā tie nodrošina tādu pašu aizsardzību, jūs varat izmantot pašparakstītu sertifikātu jebkur, kur izmantotu parakstītu sertifikātu, bet dažas vietas darbojas labāk nekā citi.
Pašpārliecināti sertifikāti ir lieliski serveru testēšanai . Ja izveidojat vietni, kas jums jāpārbauda, izmantojot https savienojumu, jums nav jāmaksā par parakstītu sertifikātu šai izstrādes vietnei (kas, iespējams, ir iekšējais resurss). Jums vienkārši jāpasaka saviem testētājiem, ka viņu pārlūkprogramma var izlikt brīdinājuma ziņojumus.
Varat arī izmantot pašpārliecinātos sertifikātus situācijām, kurās ir nepieciešama privātās dzīves aizsardzība, taču cilvēki, iespējams, nav tik bažas. Piemēram:
- Lietotājvārds un paroles veidlapas
- Personas, bet nefinanšu no VIA informācijas vākšana
- Veidlapās, kurās vienīgie lietotāji ir cilvēki, kuri pazīst un uzticas jums, piemēram, uzņēmuma intranets
Tas, kas ir atkarīgs no uzticības. Ja izmantojat pašpārliecinātu sertifikātu, jūs sakāt saviem klientiem: "uzticieties man, es esmu tas, kurš es saku, ka es esmu." Kad jūs izmantojat CA parakstītu sertifikātu, jūs sakāt: "Paļauties uz mani - Verisign piekrīt, ka esmu tas, kuru es saku, ka es esmu." Ja jūsu vietne ir atvērta sabiedrībai un jūs mēģināt sadarboties ar viņiem, vēlāk ir daudz spēcīgāks arguments.
Ja veicat e-komerciju, jums ir nepieciešams parakstīts sertifikāts
Iespējams, ka jūsu klienti piedod jums pašpārliecinātos sertifikātus, ja visi, kurus viņi to izmanto, ir pieteikties savā tīmekļa vietnē, bet, ja jūs lūdzat viņiem ievadīt savu kredītkarti vai Paypal informāciju, tad jums patiešām ir nepieciešams parakstīts sertifikāts. Lielākā daļa cilvēku uzticas parakstītajiem sertifikātiem un neveiks darījumus bez HTTPS servera. Tātad, ja jūs mēģināt pārdot kaut ko savā vietnē, ieguldiet šajā sertifikātā. Tas ir daļa no darījumu veikšanas un tiešsaistes pārdošanas izmaksām.
Jennifera Krīnina oriģinālais raksts. Rediģējis Jeremijs Girards.