Turvallisuus on kriittisesti tärkeä tekijä sivuston onnistumisessa. Tämä pätee erityisesti sivustoihin, jotka tarvitsevat PIA: n keräämistä tai "henkilökohtaisesti tunnistettavia tietoja" vierailijoilta. Ajattele sivustoa, joka edellyttää sinun syöttää sosiaaliturvatunnuksen tai tavallisimmin sähköisen kaupankäynnin sivuston, johon sinun tarvitsee lisätä luottokorttitietoja ostoksen loppuunsaattamiseksi. Tällaisilla sivustoilla turvallisuutta ei odoteta vain näiltä kävijöiltä, vaan se on välttämätöntä menestykselle.
Kun rakennat sähköisen kaupankäynnin sivustoa, yksi ensimmäisistä asioista, jotka sinun on luotava, on turvallisuustodistus, jotta palvelimen tiedot ovat turvallisia. Kun määrität tämän, sinulla on mahdollisuus luoda itse allekirjoitettu varmenne tai luoda varmenteen myöntäjän hyväksymä sertifikaatti. Katsotaanpa näiden kahden lähestymistavan välisiä eroja verkkosivusturvallisuuskokeisiin.
Allekirjoitettujen ja allekirjoitettujen todistusten samankaltaisuudet
Saatuasi varmenteen varmenteen allekirjoittama tai allekirjoittama sertifikaatti, on yksi asia, joka on täsmälleen sama molemmissa:
- Molemmat todistukset tuottavat sivuston, jota kolmannet osapuolet eivät voi lukea. HTTPS- yhteyden tai SSL: n kautta lähetetyt tiedot salataan, riippumatta siitä, onko sertifikaatti allekirjoitettu vai allekirjoitettu itse.
Toisin sanoen molemmat varmennetyypit salaavat tiedot luodakseen turvallisen verkkosivuston. Digitaalisen tietoturvan näkökulmasta tämä on prosessin ensimmäinen vaihe.
Miksi maksat sertifikaatin viranomaiselle?
Varmenneviranomainen kertoo asiakkaillesi, että tämä palvelimen tiedot on vahvistettu luotettavasta lähteestä eikä pelkästään verkkosivustoa omistavasta yrityksestä. Pohjimmiltaan on kolmannen osapuolen yritys, joka on tarkistanut tietoturvatiedot.
Yleisimmin käytetty varmentamisviranomainen on Verisign. Riippuen siitä, mistä CA: sta käytetään, verkkotunnus on vahvistettu ja sertifikaatti on annettu. Verisign ja muut luotettavat CAs tarkistavat kyseessä olevan liiketoiminnan olemassaolon ja verkkotunnuksen omistuksen tarjoamalla hieman enemmän turvallisuutta kuin kyseinen sivusto on oikeutettu.
Itse allekirjoitetun sertifikaatin käyttäminen on, että lähes jokainen Web-selain tarkistaa, että tunnustettu CA allekirjoittaa https-yhteyden. Jos yhteys on itse allekirjoitettu, se merkitään mahdollisesti riskialttiiksi ja virheilmoituksia ilmestyy kannustamaan asiakkaitasi luottamaan sivustoon, vaikka se olisi todellakin suojattu.
Oman allekirjoitetun todistuksen käyttäminen
Koska ne tarjoavat saman suojan, voit käyttää itse allekirjoitettua sertifikaattia missä tahansa allekirjoitetun varmenteen avulla, mutta jotkut paikat toimivat paremmin kuin muut.
Itse allekirjoitetut sertifikaatit ovat erinomaisia palvelimien testaamiseen . Jos luot sivuston, jonka haluat testata https-yhteyden kautta, sinun ei tarvitse maksaa allekirjoitettua todistusta kyseiselle kehityskohteelle (joka todennäköisesti on sisäinen resurssi). Sinun tarvitsee vain kertoa testaajille, että heidän selaimensa saattavat ponnahtaa varoitusviestejä.
Voit myös käyttää itse allekirjoitettuja todistuksia tilanteissa, jotka edellyttävät yksityisyyttä, mutta ihmiset eivät ehkä ole niin huolestuneita. Esimerkiksi:
- Käyttäjätunnus ja salasana
- Henkilökohtaisten, mutta ei-taloudellisten PIA-tietojen kerääminen, tiedot
- Lomakkeissa, joissa ainoat käyttäjät ovat henkilöitä, jotka tietävät ja luottavat sinuun, kuten yrityksen intranet
Se, mitä se tulee alas, on luottamus. Kun käytät itse allekirjoitettua todistusta, sanot asiakkaillemme "luottaa minuun - minä olen se, jonka sanon olevan". Kun käytät CA: n allekirjoittamaa todistusta, sanot "Luota minuun - Verisign on samaa mieltä siitä, että olen se, jonka sanon olevan." Jos sivustosi on avoin yleisölle ja yritätte tehdä liiketoimintaa heidän kanssaan, myöhempi on paljon vahvempi argumentti.
Jos käytät sähköistä kaupankäyntiä, tarvitset allekirjoitetun sertifikaatin
On mahdollista, että asiakkaasi antavat sinulle itsellesi allekirjoitetun todistuksen, jos kaikki, joita hän käyttää, on kirjautua verkkosivustoosi, mutta jos pyydät heitä syöttämään luottokorttitietonsa tai Paypal-tiedot, tarvitset todella allekirjoitetun todistus. Useimmat ihmiset luottavat allekirjoitettuihin varmenteisiin eivätkä toimi HTTPS-palvelimen kautta ilman sitä. Joten jos yrität myydä jotain verkkosivustollasi, investoi kyseiseen todistukseen. Se on osa liiketoiminnan kustannuksia ja verkkokauppaan sitoutumista.
Alkuperäinen artikkeli Jennifer Krynin. Toimittaja Jeremy Girard.