Więcej
Rośnie poziom bezpieczeństwa stron internetowych

Rośnie poziom bezpieczeństwa stron internetowych

01-08-2014 16:46:05 main_photo

 

Robiąc zakupy online, korzystając z bankowości internetowej, czy też logując się do serwisów społecznościowych można zauważyć, że adresy większości z tych stron różnią się od standardowych. Zamiast od http:// zaczynają się od https://, a pasek adresu jest zielony. Co sprawia, że już na pierwszy rzut oka strony te są tak wyjątkowe?

 

Jest to szczególna ochrona, jakiej podlegają dane przesyłane przez użytkowników na tego typu strony. Powyższe oznaczenia dają do zrozumienia, że strona posiada certyfikat SSL wykorzystujący technologię szyfrującą połączenie pomiędzy serwerem a odbiorcą. Takich stron jest coraz więcej, ponieważ rośnie świadomość dotycząca bezpieczeństwa online, a zarazem ceny certyfikatów są dużo niższe i bardziej przystępne, niż jeszcze kilka lat temu. Dzięki temu w latach 2011-2013 odsetek e-sklepów w Polsce, które korzystają z technologii SSL wzrósł ponad dwukrotnie - z 21% do 45%.

 

Jak to działa?

Po wejściu na stronę zabezpieczoną SSL (1), użytkownik otrzymuje klucz publiczny (2). Zostaje on wykorzystany do stworzenia jednorazowego klucza szyfrującego (3). Następnie serwer za pomocą otrzymanego klucza ustanawia szyfrowane połączenie, pozwalające na bezpieczną wymianę danych (4). Cały proces trwa ułamki sekund i stworzone w ten sposób połączenie jest doskonale chronione przed hakerami i złośliwym oprogramowaniem.

SSLscheme

Uproszczony schemat szyfrowania SSL

 

Gdzie wykorzystuje się certyfikaty SSL?

Zakres zastosowań technologii SSL jest bardzo szeroki. Zabezpiecza ona pieniężne transakcje online, szyfruje dane umożliwiające logowanie do wszelkiego rodzaju serwisów internetowych, a także zapewnia prywatność korespondencji elektronicznej. Certyfikat SSL uwierzytelnia również stronę www, potwierdzając jej autentyczność. Podsumowując: chroni m. in. przed kradzieżą haseł, numerów kart i kont bankowych, a także wszelkich danych, które mogą zostać wykorzystane do nielegalnych działań lub do logowania się w sieci.

 

Świadectwo szyfrowania danych jest doceniane przez sklepy i serwisy internetowe nie tylko jako przystępny sposób zyskania wiarygodności w oczach klientów, ale także jako narzędzie ułatwiające spełnienie wymogów Ustawy o ochronie danych osobowych. Art. 36 ustawy nakłada na administratora obowiązek zabezpieczenia wrażliwych danych m.in. przed ich nieuprawnionym ujawnieniem, zmianą, uszkodzeniem lub zniszczeniem.

 

Protokół HTTPS powinien być obecny wszędzie tam, gdzie użytkownicy zostawiają swoje dane. Nie tylko podczas logowania, ale również przy wypełnianiu różnego rodzaju formularzy i kwestionariuszy. Najwygodniejszym rozwiązaniem, zarówno z punktu widzenia administratora serwisu jak i korzystających, jest zastosowanie certyfikatu SSL już na stronie głównej. Pozwoli to uniknąć sytuacji, w której hakerzy umieszczają na stronie fragment kodu, który po kliknięciu linku przenosi nas na odpowiednio spreparowaną stronę, łudząco podobną do oryginalnej. Technologia SSL zabezpieczająca stronę główną gwarantuje, że wszystkie linki umieszczone w serwisie są bezpieczne.

e-sklepy z SSL

Odsetek e-sklepów chronionych certyfikatem SSL systematycznie rośnie

 

SSL jest nieodzowny w przypadku instytucji finansowych, sklepów internetowych, serwisów aukcyjnych, instytucji publicznych i sieci firmowych.

 

Wybór optymalnego certyfikatu

Oferta certyfikatów SSL jest naprawdę szeroka i znalezienie odpowiedniego do indywidualnych wymagań jest dość prostym zadaniem, m.in. dzięki obecności porównywarek internetowych, takich jak CertyfikatySSL.pl (https://certyfikatyssl.pl). Pierwszym krokiem powinno być więc podjęcie decyzji do jakich celów certyfikat będzie służyć.

 

Podstawowe certyfikaty służą do ochrony pojedynczej domeny. Posiadacze wielu stron pod różnymi adresami powinni wybrać certyfikat multi-domain chroniący nawet kilkaset takich stron. Natomiast certyfikaty typu wildcard będą optymalne w przypadku serwisów z wieloma subdomenami (np. sklep.przykład.pl, login.przykład.pl).

 

Następnym krokiem będzie wybór walidacji, czyli sposobu potwierdzenia wiarygodności wnioskodawcy. W zależności od weryfikacji dzielą się one na: domenową (DV), organizacyjną (OV) i rozszerzoną (EV).

 

Najszybszą metodą uzyskania certyfikatu SSL jest walidacja w oparciu o prawo własności domeny (DV). Cała weryfikacja odbywa się drogą elektroniczną i może trwać zaledwie kilka minut.

 

W przypadku certyfikatów OV wystawca sprawdza prawo aplikanta do używania danej domeny, a dodatkowo weryfikuje także firmę. Weryfikacja danych odbywa się na podstawie dokumentów przesłanych przez wnioskodawcę.

greenbar

Obecność certyfikatu EV jest natychmiast dostrzegalna w przeglądarce

 

Certyfikaty EV o rozszerzonej walidacji to gwarancja najwyższej jakości zabezpieczeń i świadectwo spełnienia procedur związanych z uzyskaniem certyfikatu SSL. Proces ich wydawania jest uregulowany specjalnymi wytycznymi i obejmuje poza sprawdzeniem prawa wnioskodawcy do domeny również skrupulatną weryfikację firmy, włącznie z kontaktem telefonicznym. Ten typ certyfikatu, oprócz szyfrowania danych umożliwia użytkownikom serwisu wgląd w szczegółowe dane dotyczące właściciela strony i certyfikatu, a pasek adresowy w przeglądarce wyświetla się na zielono.

porównanie cen

Porównanie cen certyfikatów wybranych wystawców zależnie od walidacji. Wszystkie ceny netto przy zakupie na jeden rok. 

 

Poza ochroną samej strony www warto pamiętać także, że wiele prywatnych danych przesyłanych jest poczta elektroniczną. Certyfikaty do ochrony poczty e-mail (tzw. S/MIME) potwierdzają tożsamość nadawcy i szyfrują wiadomości, które dzięki temu mogą zostać odczytane tylko przez właściwego adresata.

 

Wybór dokonany, co dalej?

Po wyborze i zamówieniu certyfikatu niezbędne jest utworzenie pliku CSR (Certificate Signing Request). Plik CSR zawiera wszystkie dane pozwalając stworzyć certyfikat i przypisać go do konkretnej strony www i organizacji. Niektóre serwisy np. CertyfikatySSL.pl oferują szereg narzędzi (https://certyfikatyssl.pl/ssl-tools.html), ułatwiając uzyskanie pozyskanie i obsługę certyfikatu SSL.

 

Po zainstalowaniu certyfikatu należy go przetestować w celu potwierdzenia poprawności instalacji i prawidłowego działania. Najprostszym ze sposobów jest otwarcie strony w różnych przeglądarkach internetowych. Teraz pozostaje już tylko zadbać o bezpieczeństwo posiadanego certyfikatu, które zależy w dużej mierze od sposobu, w jaki obchodzimy się z jego kluczem prywatnym. Każdy, kto ma dostęp do klucza może odszyfrować dane przesyłane z i do serwera. W związku z tym należy zadbać o odpowiednie jego zabezpieczenie. W tym celu należy zapewnić dostęp do niego tylko osobom uprawnionym. Nie wolno trzymać go w łatwo dostępnym miejscu (np. na pulpicie komputera), nikomu nie udostępniać, nie przesyłać nieszyfrowanymi kanałami i pamiętać, że podobnie, jak w przypadku PIN-u do karty, czy hasła do bankowości mobilnej, nikt nigdy nie zapyta o jego podanie, chyba że będzie miał podejrzane zamiary.

 

Gdzie kupić certyfikat SSL?

Zakupu warto dokonać u sprawdzonego i wiarygodnego sprzedawcy, który w swojej ofercie ma produkty najbardziej uznanych światowych wystawców certyfikatów, co świadczy nie tylko o ich zaufaniu do niego, ale dodatkowo oznacza, że oferta dostępnych certyfikatów jest wyjątkowo szeroka. Podczas wyboru miejsca zakupu należy wziąć pod uwagę wsparcie sklepu przy doborze optymalnego certyfikatu i jego instalacji. Obszerny dział pomocy i łatwo dostępne wsparcie asystentów do znak, że jesteśmy w dobrym miejscu.

Najnowsze wpisy

Zmiany w weryfikacji domeny dla certyfikatów typu Wildcard
29-09-2021 12:13:28

Od listopada zmianie ulegają metody weryfikacji domeny dla realizacji certyfikatu SSL Wildcard. Teraz ubiegając się o certyfikat SSL bądź dokonując jego odnowienia, będziesz musiał wybrać weryfikację domeny za pomocą DNS lub poczty e-mail.

Zmiany w weryfikacji domeny dla certyfikatów typu Wildcard
Tryb domyślnego HTTPS w Chrome
30-07-2021 13:14:39

Google Chrome nie spoczywa w walce o wprowadzenie HTTPS jako obowiązującego standardu. Po ostrzeżeniach w pasku przeglądarki przyszła kolej na ostateczny argument, który ma przekonać opornych. I to jeszcze w tym roku.

Tryb domyślnego HTTPS w Chrome
Firefox wprowadził tryb HTTPS-only
21-01-2021 14:17:11

Pod koniec zeszłego roku na rynku zadebiutowała nowa wersja przeglądarki – Firefox ’83. Użytkownicy znajdą w niej sporo aktualizacji i nowości. Jedną z wprowadzonych zmian, ku większemu bezpieczeństwu i zaufaniu użytkowników, jest tryb HTTPS-Only.

Firefox wprowadził tryb HTTPS-only
więcej wpisów

cyber_Folks S.A. – Ustawienia plików cookies

Lubisz dobre ciastka? My też! Niektóre pliki cookies są wymagane do prawidłowego działania strony. Zaakceptuj także dodatkowe pliki cookies, związane z wydajnością usług, serwisami społecznościowymi i marketingiem. Pliki cookie służą także do personalizacji reklam. Dzięki nim otrzymasz najlepsze doświadczenie naszej strony internetowej, którą stale doskonalimy. Udzielona dobrowolnie zgoda w każdej chwili może być wycofana lub zmodyfikowana. Więcej informacji o wykorzystywanych plikach cookies znajdziesz w naszej polityce prywatności. Jeśli wolisz określić swoje preferencje precyzyjnie – zapoznaj się z rodzajami plików cookies poniżej.

Funkcjonalne (zawsze aktywne)

To niezbędne do funkcjonowania strony pliki cookies. Strona nie będzie działać w pełni prawidłowo bez akceptacji tego rodzaju ciastek. Przykład: Plik cookie, który zapisuje Twoją zgodę lub sprzeciw, jest potrzebny, abyśmy wiedzieli, czy mamy Twoją zgodę na określone działania na stronie, pozwolą również zalogować się do Panelu Klienta, złożyć zamówienie lub skontaktować się z nami przez chat.

Analityczno-wydajnościowe

Umożliwią zebranie informacji o sposobie korzystania ze strony. Te pliki pozwolą nam na zliczanie wizyt i źródeł ruchu w naszej witrynie, dzięki czemu możemy mierzyć i usprawniać jej działanie, a także dowiedzieć się, które strony są najbardziej, a które najmniej popularne, oraz zrozumieć jak odwiedzający poruszają się po naszej witrynie. Pomagają nam w analizie wydajności strony i zbieraniu syntetycznych informacji. Przykład: Możemy wykonywać mapy ciepła, dzięki czemu wiemy, które treści są czytelne, a które nie, a to pozwala na lepsze zaprojektowanie strony. Dzięki nim widzimy także, które wpisy blogowe były czytane częściej, a które rzadziej, co pozwala nam opracowywać bardziej interesujące treści. Głównym narzędziem z jakiego korzystamy jest Google Analytics.

Społecznościowe

To pliki cookies dotyczące platform społecznościowych umożliwią powiązania Cię z Twoimi kontami w mediach społecznościowych. Możesz w nich udostępniać treści pochodzące z naszej strony. Pliki sieci społecznościowych (pochodzące od podmiotów zewnętrznych, np. Facebooka) zbierają informacje w celu zapewnienia spersonalizowanych treści reklamowych. Przykładowo: Reklamy w Twoich mediach społecznościowych są lepiej dopasowane do Ciebie i zmniejszasz szansę na bombardowanie reklamami już kupionych usług lub produktów.

Marketingowe

To pliki związane z działaniem systemów automatyzacji marketingu oraz rozliczalnością reklam. Dzięki nim ograniczamy np. liczbę wyświetleń danej reklamy. Pozwalają nam także wykonywać testy porównawcze, dzięki którym stale doskonalimy działanie naszej strony. Testując wiele układów strony możemy łatwiej uzyskać taki, który zapewnia najlepszą czytelność dla użytkowników. Komunikacja staje się również bardziej spersonalizowana. Przykładowo: możemy podpowiedzieć Ci artykuł na temat tego, jak znaleźć nazwę domenową, kiedy widzimy, że szukasz domeny i trudno Ci znaleźć pasującą nazwę. Możemy też np. wyświetlić Ci podpowiedź, dotyczącą logowania, jeśli widzimy kilka nieudanych prób z rzędu. Na podstawie informacji z tych plików cookie i aktywności w innych serwisach budowany jest Twój profil zainteresowań. Głównie korzystamy z sieci reklamowej Google oraz Facebook.