Więcej
Rośnie poziom bezpieczeństwa stron internetowych

Rośnie poziom bezpieczeństwa stron internetowych

01-08-2014 16:46:05 main_photo

 

Robiąc zakupy online, korzystając z bankowości internetowej, czy też logując się do serwisów społecznościowych można zauważyć, że adresy większości z tych stron różnią się od standardowych. Zamiast od http:// zaczynają się od https://, a pasek adresu jest zielony. Co sprawia, że już na pierwszy rzut oka strony te są tak wyjątkowe?

 

Jest to szczególna ochrona, jakiej podlegają dane przesyłane przez użytkowników na tego typu strony. Powyższe oznaczenia dają do zrozumienia, że strona posiada certyfikat SSL wykorzystujący technologię szyfrującą połączenie pomiędzy serwerem a odbiorcą. Takich stron jest coraz więcej, ponieważ rośnie świadomość dotycząca bezpieczeństwa online, a zarazem ceny certyfikatów są dużo niższe i bardziej przystępne, niż jeszcze kilka lat temu. Dzięki temu w latach 2011-2013 odsetek e-sklepów w Polsce, które korzystają z technologii SSL wzrósł ponad dwukrotnie - z 21% do 45%.

 

Jak to działa?

Po wejściu na stronę zabezpieczoną SSL (1), użytkownik otrzymuje klucz publiczny (2). Zostaje on wykorzystany do stworzenia jednorazowego klucza szyfrującego (3). Następnie serwer za pomocą otrzymanego klucza ustanawia szyfrowane połączenie, pozwalające na bezpieczną wymianę danych (4). Cały proces trwa ułamki sekund i stworzone w ten sposób połączenie jest doskonale chronione przed hakerami i złośliwym oprogramowaniem.

SSLscheme

Uproszczony schemat szyfrowania SSL

 

Gdzie wykorzystuje się certyfikaty SSL?

Zakres zastosowań technologii SSL jest bardzo szeroki. Zabezpiecza ona pieniężne transakcje online, szyfruje dane umożliwiające logowanie do wszelkiego rodzaju serwisów internetowych, a także zapewnia prywatność korespondencji elektronicznej. Certyfikat SSL uwierzytelnia również stronę www, potwierdzając jej autentyczność. Podsumowując: chroni m. in. przed kradzieżą haseł, numerów kart i kont bankowych, a także wszelkich danych, które mogą zostać wykorzystane do nielegalnych działań lub do logowania się w sieci.

 

Świadectwo szyfrowania danych jest doceniane przez sklepy i serwisy internetowe nie tylko jako przystępny sposób zyskania wiarygodności w oczach klientów, ale także jako narzędzie ułatwiające spełnienie wymogów Ustawy o ochronie danych osobowych. Art. 36 ustawy nakłada na administratora obowiązek zabezpieczenia wrażliwych danych m.in. przed ich nieuprawnionym ujawnieniem, zmianą, uszkodzeniem lub zniszczeniem.

 

Protokół HTTPS powinien być obecny wszędzie tam, gdzie użytkownicy zostawiają swoje dane. Nie tylko podczas logowania, ale również przy wypełnianiu różnego rodzaju formularzy i kwestionariuszy. Najwygodniejszym rozwiązaniem, zarówno z punktu widzenia administratora serwisu jak i korzystających, jest zastosowanie certyfikatu SSL już na stronie głównej. Pozwoli to uniknąć sytuacji, w której hakerzy umieszczają na stronie fragment kodu, który po kliknięciu linku przenosi nas na odpowiednio spreparowaną stronę, łudząco podobną do oryginalnej. Technologia SSL zabezpieczająca stronę główną gwarantuje, że wszystkie linki umieszczone w serwisie są bezpieczne.

e-sklepy z SSL

Odsetek e-sklepów chronionych certyfikatem SSL systematycznie rośnie

 

SSL jest nieodzowny w przypadku instytucji finansowych, sklepów internetowych, serwisów aukcyjnych, instytucji publicznych i sieci firmowych.

 

Wybór optymalnego certyfikatu

Oferta certyfikatów SSL jest naprawdę szeroka i znalezienie odpowiedniego do indywidualnych wymagań jest dość prostym zadaniem, m.in. dzięki obecności porównywarek internetowych, takich jak CertyfikatySSL.pl (https://certyfikatyssl.pl). Pierwszym krokiem powinno być więc podjęcie decyzji do jakich celów certyfikat będzie służyć.

 

Podstawowe certyfikaty służą do ochrony pojedynczej domeny. Posiadacze wielu stron pod różnymi adresami powinni wybrać certyfikat multi-domain chroniący nawet kilkaset takich stron. Natomiast certyfikaty typu wildcard będą optymalne w przypadku serwisów z wieloma subdomenami (np. sklep.przykład.pl, login.przykład.pl).

 

Następnym krokiem będzie wybór walidacji, czyli sposobu potwierdzenia wiarygodności wnioskodawcy. W zależności od weryfikacji dzielą się one na: domenową (DV), organizacyjną (OV) i rozszerzoną (EV).

 

Najszybszą metodą uzyskania certyfikatu SSL jest walidacja w oparciu o prawo własności domeny (DV). Cała weryfikacja odbywa się drogą elektroniczną i może trwać zaledwie kilka minut.

 

W przypadku certyfikatów OV wystawca sprawdza prawo aplikanta do używania danej domeny, a dodatkowo weryfikuje także firmę. Weryfikacja danych odbywa się na podstawie dokumentów przesłanych przez wnioskodawcę.

greenbar

Obecność certyfikatu EV jest natychmiast dostrzegalna w przeglądarce

 

Certyfikaty EV o rozszerzonej walidacji to gwarancja najwyższej jakości zabezpieczeń i świadectwo spełnienia procedur związanych z uzyskaniem certyfikatu SSL. Proces ich wydawania jest uregulowany specjalnymi wytycznymi i obejmuje poza sprawdzeniem prawa wnioskodawcy do domeny również skrupulatną weryfikację firmy, włącznie z kontaktem telefonicznym. Ten typ certyfikatu, oprócz szyfrowania danych umożliwia użytkownikom serwisu wgląd w szczegółowe dane dotyczące właściciela strony i certyfikatu, a pasek adresowy w przeglądarce wyświetla się na zielono.

porównanie cen

Porównanie cen certyfikatów wybranych wystawców zależnie od walidacji. Wszystkie ceny netto przy zakupie na jeden rok. 

 

Poza ochroną samej strony www warto pamiętać także, że wiele prywatnych danych przesyłanych jest poczta elektroniczną. Certyfikaty do ochrony poczty e-mail (tzw. S/MIME) potwierdzają tożsamość nadawcy i szyfrują wiadomości, które dzięki temu mogą zostać odczytane tylko przez właściwego adresata.

 

Wybór dokonany, co dalej?

Po wyborze i zamówieniu certyfikatu niezbędne jest utworzenie pliku CSR (Certificate Signing Request). Plik CSR zawiera wszystkie dane pozwalając stworzyć certyfikat i przypisać go do konkretnej strony www i organizacji. Niektóre serwisy np. CertyfikatySSL.pl oferują szereg narzędzi (https://certyfikatyssl.pl/ssl-tools.html), ułatwiając uzyskanie pozyskanie i obsługę certyfikatu SSL.

 

Po zainstalowaniu certyfikatu należy go przetestować w celu potwierdzenia poprawności instalacji i prawidłowego działania. Najprostszym ze sposobów jest otwarcie strony w różnych przeglądarkach internetowych. Teraz pozostaje już tylko zadbać o bezpieczeństwo posiadanego certyfikatu, które zależy w dużej mierze od sposobu, w jaki obchodzimy się z jego kluczem prywatnym. Każdy, kto ma dostęp do klucza może odszyfrować dane przesyłane z i do serwera. W związku z tym należy zadbać o odpowiednie jego zabezpieczenie. W tym celu należy zapewnić dostęp do niego tylko osobom uprawnionym. Nie wolno trzymać go w łatwo dostępnym miejscu (np. na pulpicie komputera), nikomu nie udostępniać, nie przesyłać nieszyfrowanymi kanałami i pamiętać, że podobnie, jak w przypadku PIN-u do karty, czy hasła do bankowości mobilnej, nikt nigdy nie zapyta o jego podanie, chyba że będzie miał podejrzane zamiary.

 

Gdzie kupić certyfikat SSL?

Zakupu warto dokonać u sprawdzonego i wiarygodnego sprzedawcy, który w swojej ofercie ma produkty najbardziej uznanych światowych wystawców certyfikatów, co świadczy nie tylko o ich zaufaniu do niego, ale dodatkowo oznacza, że oferta dostępnych certyfikatów jest wyjątkowo szeroka. Podczas wyboru miejsca zakupu należy wziąć pod uwagę wsparcie sklepu przy doborze optymalnego certyfikatu i jego instalacji. Obszerny dział pomocy i łatwo dostępne wsparcie asystentów do znak, że jesteśmy w dobrym miejscu.

Najnowsze wpisy

Jak wybrać odpowiedni certyfikat SSL
14-06-2019 12:23:12

Strony bez certyfikatu SSL są oznaczane przez przeglądarki internetowe jako “niezabezpieczone”. Pytanie nie brzmi więc “czy zainstalować certyfikat SSL”, ale “który certyfikat jest odpowiedni dla mojej strony?”. Wybór nie tak łatwy jak by się mogło wydawać. Możesz uniknąć wielu komplikacji i osiągnąć sukces online, jeśli Twój wybór będzie przemyślany.

Jak wybrać odpowiedni certyfikat SSL
Fakty o darmowych certyfikatach SSL
30-04-2019 11:48:35

Budując zaufanie do firmy lub organizacji, należy pamiętać o konieczności zapewnienia bezpieczeństwa on-line swoim potencjalnym klientom. Jednym z narzędzi służących do zabezpieczenia danych, a tym samym budowania pozytywnego wizerunku organizacji, są certyfikaty SSL. Co do tego nie ma wątpliwości. Od pewnego czasu dostępne są także darmowe certyfikaty SSL, które w zamyśle miały na celu przybliżyć użytkownikom wiedzę na temat szyfrowania danych w sieci. W efekcie niestety niektóre certyfikaty SSL ułatwiły cyber-przestępcom kradzież informacji poprzez phishing, gdyż wydawane były bez weryfikacji kto jest abonentem domeny, nie wspominając już o weryfikacji podmiotu, dla którego certyfikat miał być wystawiony.

Fakty o darmowych certyfikatach SSL
Już 58% stron stosuje certyfikat SSL
02-04-2019 08:41:30

Liczba stron zabezpieczonych certyfikatem SSL rośnie z roku na rok. Czy na pewno? A jeśli tak to jak szybko? I czy faktycznie ruch po HTTP przejdzie niebawem do historii? Z pomocą przychodzi najnowsza analiza “Alexa Top 1 Million sites” z lutego 2019 przetworzona przez Scotta Helme - badacza bezpieczeństwa w internecie.

Już 58% stron stosuje certyfikat SSL
więcej wpisów