אבטחה היא גורם חשוב ביותר להצלחה של כל אתר אינטרנט. זה נכון במיוחד עבור אתרים שצריכים לאסוף PIA, או "מידע מזהה אישית", מן המבקרים. חשוב על אתר המחייב אותך להזין מספר תעודת זהות, או יותר נפוץ, אתר מסחר אלקטרוני שעליך להוסיף פרטי כרטיס אשראי כדי להשלים את הרכישה. באתרים כאלה, האבטחה לא צפויה רק מאותם מבקרים, זה חיוני להצלחה.
כאשר אתה בונה אתר מסחר אלקטרוני, אחד הדברים הראשונים שאתה צריך להגדיר הוא תעודת אבטחה, כך נתוני השרת שלך יהיה מאובטח. כאשר אתה מגדיר את זה, יש לך את האפשרות של יצירת אישור חתום על עצמי או יצירת אישור שאושר על ידי רשות אישורים. בואו נסתכל על ההבדלים בין שתי גישות אלה לאתר certs אבטחה.
דמיון בין תעודות חתום לחתימה עצמית
בין אם אתה מקבל את האישור חתום על ידי רשות אישור או לחתום על זה בעצמך, יש דבר אחד זה בדיוק אותו הדבר על שניהם:
- שתי התעודות יפיקו אתר שלא ניתן לקרוא אותו על ידי צד שלישי. הנתונים שנשלחו דרך חיבור HTTPS , או SSL , יוצפנו ללא קשר לשאלה אם האישור חתום או חתום על עצמו.
במילים אחרות, שני סוגי האישורים יצפינו את הנתונים כדי ליצור אתר מאובטח. מנקודת מבט של אבטחה דיגיטלית, זהו שלב 1 של התהליך.
למה אתה תשלם תעודת הסמכה
רשות אישורים מספרת ללקוחות שלך שמידע זה בשרת אומת על ידי מקור מהימן ולא רק החברה שבבעלותה את האתר. בעיקרון, יש חברה צד 3 אשר אימת את המידע הביטחוני.
רשות האישורים הנפוצה ביותר היא Verisign. בהתאם לאיזה CA נעשה שימוש, התחום מאומת ומאושפשת תעודה. Verisign ואנשי CA מהימנים אחרים יאמתו את קיומו של העסק המדובר ואת הבעלות על התחום, כדי לספק מעט יותר ביטחון שהאתר המדובר הוא לגיטימי.
הבעיה בשימוש בתעודה חתומה עצמית היא שכמעט כל דפדפן אינטרנט בודק שחיבור https נחתם על ידי CA מוכר. אם החיבור חתום על עצמו, הדבר יסומן כסיכון פוטנציאלי, ויופיעו הודעות שגיאה המעודדות את הלקוחות שלך לא לסמוך על האתר, גם אם הוא אכן מאובטח.
שימוש בתעודה חתומה
מאחר שהם מספקים את אותה הגנה, תוכל להשתמש בתעודה חתומה בעצמך בכל מקום שבו תשתמש בתעודה חתומה, אך מקומות מסוימים פועלים טוב יותר מאחרים.
תעודות בחתימה עצמית נהדרות לבדיקת שרתים . אם אתה יוצר אתר שעליך לבדוק על חיבור https, אינך צריך לשלם עבור אישור חתום עבור אתר פיתוח זה (שעשוי להיות משאב פנימי). כל שעליך לעשות הוא לומר לבודקים שהדפדפן שלהם עשוי להזהיר הודעות אזהרה.
תוכל גם להשתמש באישורים חתומים עצמית במצבים המחייבים פרטיות, אך ייתכן שאנשים אינם מודאגים. לדוגמה:
- שם משתמש וסיסמה
- איסוף אישי, אבל לא פיננסיים של PIA, מידע
- בטפסים שבהם המשתמשים היחידים הם אנשים שמכירים אותך וסומכים עליך, כמו אינטראנט של חברה
מה זה מסתכם הוא אמון. כאשר אתה משתמש בחתימה עצמית חתום, אתה אומר ללקוחות שלך "תאמין לי - אני מי שאני אומר שאני." כאשר אתה משתמש בתעודה חתומה על ידי CA, אתה אומר, "תאמין לי - Verisign מסכים אני מי שאני אומר שאני." אם האתר שלך פתוח לציבור ואתה מנסה לעשות עסקים איתם, המאוחר הוא טיעון הרבה יותר חזק לעשות.
אם אתה עושה מסחר אלקטרוני, אתה צריך אישור חתום
זה אפשרי הלקוחות שלך יסלח לך על אישור עצמי חתום אם כל מה שהם משתמשים בו היא להיכנס לאתר האינטרנט שלך, אבל אם אתה מבקש מהם להזין את כרטיס האשראי שלהם או מידע Paypal, אז אתה באמת צריך חתימה תְעוּדָה. רוב האנשים סומכים על האישורים החתומים ולא יעשו עסקים בשרת HTTPS ללא איש. אז אם אתה מנסה למכור משהו באתר האינטרנט שלך, להשקיע את האישור. זה חלק מהעלות של עושה עסקים להיות עוסקת במכירה מקוונת.
מאמר מקורי מאת ג'ניפר קרינין. בעריכת ג'רמי ג'יררד.