Подписанные и самоподписанные сертификаты

Безопасность является критически важным фактором успеха любого веб-сайта. Это особенно верно для сайтов, которые должны собирать PIA или «личную информацию» от посетителей. Подумайте о сайте, который требует от вас ввести номер социального страхования, или, чаще, сайт электронной коммерции, к которому вам нужно добавить информацию о кредитной карте, чтобы совершить покупку. На таких сайтах безопасность ожидается не только от этих посетителей, но и для успеха.

Когда вы создаете сайт электронной коммерции, первое, что вам нужно настроить, – это сертификат безопасности, чтобы данные вашего сервера были в безопасности. Когда вы настраиваете это, у вас есть возможность создать самоподписанный сертификат или создать сертификат, утвержденный центром сертификации. Давайте посмотрим на различия между этими двумя подходами к сертификатам безопасности веб-сайтов.

Сходства между подписанными и самоподписанными сертификатами

Получаете ли вы сертификат, подписанный центром сертификации, или подписываете его самостоятельно, есть одна вещь, которая абсолютно одинакова на обоих:

  • Оба сертификата создают сайт, который не может быть прочитан третьими лицами. Данные отправляются через HTTPS-соединение или SSL и будут зашифрованы независимо от того, подписан сертификат или самоподписан.

Другими словами, оба типа сертификатов будут шифровать данные для создания безопасного веб-сайта. С точки зрения цифровой безопасности это первый шаг процесса.

Почему вы платите за сертификат

Центр сертификации сообщает вашим клиентам, что эта информация о сервере была проверена доверенным источником, а не только компанией, которая владеет веб-сайтом. В основном, существует сторонняя компания, которая проверила информацию о безопасности.

Обычно используемым центром сертификации является Verisign. В зависимости от того, какой CA используется, домен проверяется и выдается сертификат. Verisign и другие доверенные центры сертификации будут проверять существование рассматриваемой компании и право собственности на домен, чтобы обеспечить немного большую безопасность, чем рассматриваемый сайт.

Проблема с использованием самозаверяющего сертификата заключается в том, что почти каждый веб-браузер проверяет, что соединение https подписано признанным центром сертификации. Если соединение является самозаверяющим, оно будет помечено как потенциально опасное, и появятся сообщения об ошибках, призывающие ваших клиентов не доверять сайту, даже если он действительно безопасен.

Использование самоподписанного сертификата

Поскольку они обеспечивают одинаковую защиту, вы можете использовать самозаверяющий сертификат везде, где вы используете подписанный сертификат, но некоторые места работают лучше, чем другие.

Самозаверяющие сертификаты отлично подходят для тестирования серверов. Если вы создаете веб-сайт, который необходимо протестировать через соединение https, вам не нужно платить за подписанный сертификат для этого сайта разработки (который, вероятно, будет внутренним ресурсом). Вам просто нужно сообщить своим тестерам, что их браузер может выдавать предупреждающие сообщения.

Вы также можете использовать самозаверяющие сертификаты в ситуациях, требующих конфиденциальности, но люди могут не беспокоиться об этом. Например:

  • Формы имени пользователя и пароля
  • Сбор личной, но не финансовой информации ПИА, информации
  • В формах, где единственными пользователями являются люди, которые знают вас и доверяют вам, например, в интранете компании

То, к чему это сводится, является доверием. Когда вы используете самозаверяющий сертификат, вы говорите своим клиентам: «Поверь мне – я тот, кем я себя говорю». Когда вы используете сертификат, подписанный центром сертификации, вы говорите: «Поверьте мне – Verisign согласен, что я тот, кем я себя говорю». Если ваш сайт открыт для публики и вы пытаетесь вести с ними бизнес, последний аргумент является гораздо более сильным аргументом.

Если вы занимаетесь электронной коммерцией, вам нужен подписанный сертификат

Возможно, ваши клиенты простят вам самозаверяющий сертификат, если все, для чего они его используют, – это войти на ваш сайт, но если вы просите их ввести данные своей кредитной карты или Paypal, то вам действительно нужен подписанный сертификат сертификат. Большинство людей доверяют подписанным сертификатам и без них не смогут вести бизнес через HTTPS-сервер. Поэтому, если вы пытаетесь что-то продать на своем сайте, инвестируйте в этот сертификат. Это часть затрат на ведение бизнеса и участие в онлайн-продажах.

Оцените статью
Solutics.ru
Добавить комментарий