fbpx

Enigma – słynna maszyna szyfrująca – pozwalała podczas działań wojennych przesyłać rozkazy w taki sposób, aby wrogie wojska nie miały możliwości odczytać ich treści. Dane były przez nadawcę kodowane według klucza, który posiadał tylko odbiorca. Osoba trzecia, nawet jeśli udało jej się przechwycić zawartość komunikatu, widziała tylko ciąg niepowiązanych ze sobą znaków. Jeśli masz stronę internetową, to także powinieneś szyfrować na niej dane. Ale nie, nie musisz instalować w swoim biurze Enigmy – wystarczy certyfikat SSL.

Kto zna Twoje hasło do poczty?

O SSL, czyli Secure Sockets Layer, pisaliśmy tydzień temu. To certyfikat potwierdzający, że dane na Twojej stronie są szyfrowane, czyli przesyłane pomiędzy klientem a serwerem w sposób uniemożliwiający ich podsłuchanie oraz modyfikację. Zasada działania protokołu SSL jest prosta – wprowadzone przez użytkownika dane poprzez przeglądarkę internetową są kodowane i wysyłane do serwera, serwer posiada klucz do ich odszyfrowania, więc przesłane żądanie odczytuje właściwie. Następnie to serwer koduje treści i wysyła je do przeglądarki. Teraz odszyfrowuje je przeglądarka i wyświetla w sposób zrozumiały dla użytkownika. I tak za każdym razem. Czyli jeśli logujesz się do Twojej poczty, to nikt, oprócz serwera, nie będzie wiedział, że Twoje hasło to „qwerty1234”.

Certyfikat SSL? Google to lubi!

Certyfikat SSL to przede wszystkim bezpieczeństwo. Informujesz użytkowników swojej strony, że ich dane traktujesz w sposób poufny. Mogą być spokojni, gdy np. płacą kartą kredytową w Twoim sklepie internetowym czy podają adres wysyłki. To jednocześnie buduje wiarygodność marki, bo Klient nie zastanawia się, komu właśnie powierzył swoje dane i czy tym samym nie wziął akurat chwilówki lub zasilił konta bankowego hakera zza oceanu. Dodatkowo, wyszukiwarka Google docenia, że dbasz o bezpieczeństwo na swojej stronie i pozycjonuje ją o wiele lepiej niż stronę bez zabezpieczeń. A im Twój serwis jest wyżej w wynikach wyszukiwania, tym korzystniej dla Twojego biznesu. Tego wyjaśniać nie trzeba nikomu.

A RODO to uwielbia!

Wprawdzie w Rozporządzeniu o Ochronie Danych Osobowych hasło SSL się nie pojawia, ale Artykuł 32. powyższej regulacji mówi wprost o obowiązku szyfrowania danych osobowych spoczywającym na ich administratorze i podmiocie przetwarzającym. Powyższe wymagania w zakresie przetwarzania danych na stronach internetowych spełnia jedynie… SSL. No i bez SSL nie obsłużysz w swoim serwisie płatności. Payment Card Industry Data Security Standard (PCI DSS) to norma bezpieczeństwa opracowana między innymi przez takie instytucje płatnicze jak Visa i Master Card. Jednym z jej wymogów, który musisz realizować, aby w Twoim serwisie można było dokonywać płatności kartą, jest właśnie posiadanie certyfikatu SSL.

Biorę, biorę! Tylko który?

Prowadzisz małą firmę usługową pod adresem zbyszekmajsterkowicz.pl i zależy Ci na ochronie tylko tej jednej domeny. Możesz skorzystać z certyfikatu typu single domain. Ale pamiętaj, że jeśli zechcesz prowadzić na niej bloga na temat technik kładzenia glazury pod adresem blog.zbyszekmajsterkowicz.pl, to Twój certyfikat już na tej subdomenie nie będzie działał. W tym przypadku rozwiązaniem jest zabezpieczenie w postaci certyfikatu typu wildcard – taki certyfikat obejmie domenę główną oraz wszystkie subdomeny. Chyba że potrzebujesz SSL dla pięciu różnych domen – wtedy możesz zamiast pięcioma certyfikatami single domain, posłużyć się jednym typu multi domain.

Pozostaje jeszcze tylko określić, jaki zakres ochrony będzie dla Ciebie odpowiedni. Certyfikatem podstawowym jest certyfikat DV (Domain Vaidation) – najszybszy i najtańszy, jednak tu nikt nie weryfikuje firmy, której strona jest w DV wyposażona, sprawdzana jest jedynie domena, a przy adresie pojawia się ikona zielonej kłódki. Ta ikona pojawia się oczywiście też przy certyfikatach wyższego rzędu.

Kolejny, rozszerzony rodzaj uwierzytelnienia to OV (Organization Validation). W tym wypadku instytucja certyfikująca zweryfikuje nie tylko domenę, ale także firmę, która zawnioskowała o wydanie certyfikatu. Nazwa tej firmy wyświetli się po kliknięciu na wspomnianą zieloną kłódkę.

Certyfikatem najwyższego rzędu jest EV (Extended Validation). Tu proces weryfikacji podmiotu wnioskującego jest o wiele bardziej złożony, a sprawdzane są między innymi dane urzędowe. Tego typu certyfikaty stosują na przykład instytucje finansowe. Użytkownik odwiedzający stronę zabezpieczoną przez EV widzi obok zielonej kłódki nazwę firmy, jednocześnie ma pewność, że w zakresie SSL strona została zabezpieczona w możliwie najlepszy sposób.

Obecnie posiadanie certyfikatu SSL staje się standardem, dlatego prowadząc działalność w sieci, warto zainwestować w odpowiednie zabezpieczenie domeny. Troska i dbałość o bezpieczeństwo danych z pewnością przełoży się na wzrost zaufania klientów, a to – bezsprzecznie – jeden z najistotniejszych elementów budujących sukces firmy.

Ewelina Świętczak

Frontend Developer

Poznajmy się bezpośrednio.
Zapraszam Cię do kontaktu.
dziendobry@netins.it