Certyfikat SSL jest potrzebny każdej firmie mającej stronę www

SSL jest protokołem sieciowym używanym do bezpiecznych połączeń internetowych, przyjętym jako standard szyfrowania na stronach internetowych. Obecnie jest to podstawowy, najprostszy i najpewniejszy sposób weryfikacji witryny. Może być wykorzystywany w każdej branży i w każdej organizacji.

W przypadku stron WWW, które nie korzystają z certyfikatu SSL, formularze oraz inne informacje są przesyłane do serwera przez sieć otwartym tekstem, a ten stosunkowo łatwo przechwycić. Dlatego każda firma zajmująca się usługami i prowadząca działalność przez Internet, w celu ochrony przetwarzanych danych i transakcji oraz w trosce o bezpieczeństwo klientów, powinna zaopatrzyć się w certyfikaty SSL. Zastosowanie szyfrowania gwarantuje bowiem zachowanie poufności informacji przekazywanych drogą elektroniczną.

Posiadanie certyfikatu SSL przynosi szereg korzyści. Gwarantuje spełnienie wymogów ustawy o ochronie danych osobowych (DzU z 2002 Nr 101, poz. 926, ze zm.), pozwala na szybką ocenę, czy dana witryna jest bezpieczna, broni przed nieuczciwymi próbami przejęcia lub modyfikowania informacji podawanych za pośrednictwem witryny.

Użytkownik korzystający z zabezpieczonej strony ma pewność, że przesyłane informacje nie trafią w niepowołane ręce. Dlatego chętniej dokona zakupów bądź wypełni formularz kontaktowy. Certyfikat SSL potwierdza wiarygodność strony WWW, a przy bardziej zaawansowanych certyfikatach EV – także całej firmy. Klient otrzymuje sygnał, że firma jest poważnym kontrahentem, któremu można zaufać.

Trzy klasy

W praktyce SSL jest rozpoznawany na podstawie ikony kłódki i członu https (zamiast http) w adresie strony WWW. Człon ten jest wpisany w pasek przeglądarki internetowej. W zależności od zastosowanego certyfikatu może się zmieniać kolor paska adresowego.

Istnieją trzy klasy certyfikatów SSL:

– DV (ang. Domain Validation; pol. walidacja domeny),

– OV (ang. Organization Validation; pol. walidacja organizacji/firmy),

– EV (ang. Extended Validation; pol. rozszerzona walidacja).

Przy weryfikacji certyfikatem zapewniającym najwyższy poziom bezpieczeństwa EV SSL pasek adresu jest podświetlony na zielono.

Ochrona miejscowa

Brak symbolu zabezpieczenia nie oznacza jednak, że zabezpieczenia w ogóle nie ma. Ochrona SSL może być stosowana „miejscowo" w strategicznych miejscach witryny z punktu widzenia poufności przesyłanych danych. Kłódkę potwierdzającą aktywne, bezpieczne połączenie z certyfikatem SSL lub inny symbol w pasku przeglądarki można zobaczyć wówczas dopiero po przejściu np. do formularza logowania czy rejestracji. To właśnie proces logowania jest najczęściej zabezpieczanym elementem witryn.

Fragmentaryczne stosowanie SSL nie jest tylko przypadłością firm. Postępuje tak również sektor publiczny. Niewiele szkół, jednostek służby zdrowia, urzędów i wyższych uczelni w całości chroni swoje serwisy i strony internetowe certyfikatem SSL. Bardzo często zabezpieczane są tylko części witryn.

Sesja szyfrowanego połączenia za pomocą SSL pojawia się więc na stronach logowania do elektronicznych skrzynek podawczych, w serwisach szkół i uczelni przy udostępnianiu informacji o uczniach i studentach oraz list ocen. Poza tym pojawia się w zasadzie wszędzie tam, gdzie serwisy internetowe przetwarzają dane osobowe.

Rzecz jasna dostawcy rozwiązań bezpieczeństwa rekomendują ochronę SSL dla całości witryny internetowej. Jest to rozwiązanie tym bardziej słuszne, że służy nie tylko do nawiązywania bezpiecznych połączeń. Symbol kłódki na stronie, a więc całościowej ochrony serwisu, uwiarygodnia go w oczach użytkowników, daje gwarancję, że jesteśmy na pewno na stronie jej prawowitego właściciela.

Niedrogo i bezpiecznie

Certyfikaty SSL nie są drogie. Wciąż pokutuje jednak opinia, że posiadanie ich wiąże się z wysokimi kosztami, których ponoszenie nie bardzo się opłaca.

Tymczasem ośrodki certyfikacyjne oferują klientom wysokiej jakości produkty za rozsądne ceny, które są w zasięgu finansowym każdej firmy.

Jak mówi Mariusz Janczak, koordynator marketingu produktowego w Obszarze Biznesowym Podpis Elektroniczny w Unizeto Technologies, podstawowe zabezpieczenie Connercial SSL kosztuje około 200 zł rocznie. Za 16 zł miesięcznie można więc otrzymać całkowite zabezpieczenie wszystkich danych osobowych i płatniczych, haseł dostępowych oraz informacji handlowych podawanych na stronach WWW.

Przedsiębiorcy powinni poszukać promocji oferowanych przez dostawców rozwiązań, które dodatkowo zmniejszają koszty. Na przykład home.pl oferował w grudniu 2012 roku certyfikat homeSSL Wildcard za 159 zł rocznie zamiast 399 zł, natomiast certyfikat najwyższego bezpieczeństwa True BusinessID EV za 699 zł zamiast 1299 zł.

Warto zwrócić uwagę na to, od kogo kupuje się certyfikat. Instalacja SSL powinna być poprzedzona dokładną weryfikacją samego ośrodka certyfikacyjnego. Sprawdzić należy jego wiarygodność, obowiązujące standardy, obiektywne wyznaczniki poziomu ochrony, np. zdobyte pieczęcie typu WebTrust lub wpis na światową listę zaufanych centrów certyfikacji (CA). Pewnym wyznacznikiem jakości jest także portfolio klientów.

Ciągle za mało

Trudno uwierzyć, że mimo wielu korzyści, jakie można odnieść z posiadania certyfikatu, nie jest on wcale stosowany tak powszechnie, jakby się mogło wydawać. Ilość tego typu zabezpieczeń nie jest duża zarówno w grupie wielkich firm, jak i małych biznesów internetowych oraz e-sklepów.

W 2012 roku Unizeto Technologies, właściciel Certum, pierwszego polskiego centrum certyfikacji, przeprowadził badania na grupie 440 serwisów internetowych prowadzonych przez spółki notowane na warszawskiej giełdzie. Okazało się, że jedynie 11 proc. przebadanych firm dba właściwie o bezpieczeństwo użytkowników serwisów, stosując SSL.

Wśród tych 11 proc. znajdują się głównie spółki z sektora finansowego, które stawiają na najwyższy poziom zabezpieczeń. Aż 58 proc. certyfikatów SSL w tej grupie firm to rozwiązania klasy EV. Są to certyfikaty SSL o najwyższym poziomie zabezpieczeń; tożsamość nabywcy sprawdzana jest podczas kilkuetapowej weryfikacji

Unizeto przyjrzało się również mniejszym firmom. W ramach konkursu „Bezpieczny e-Sklep" przebadało w 2012 roku zabezpieczenie 450 domen sklepów internetowych.

Okazało się, że certyfikaty SSL miało 26 proc. witryn. Ale 60 proc. z nich należało do podstawowej klasy DV (z nazwą domeny), przeznaczonej dla mniejszych e-sklepów, blogów, forów. Kolejne 38 proc. stron posiadało certyfikat klasy OV (zawiera nazwę domeny i organizacji) odpowiedni dla większych sklepów internetowych, administracji, serwerów pocztowych, baz danych. Certyfikatu EV (nazwa domeny i organizacji w certyfikacie; w pasku adresu znajduje się nazwa firmy i wystawcy certyfikatu) o najwyższym poziomie bezpieczeństwa używało 2 proc. e-sklepów. A właśnie taki certyfikat jest najlepszy do ochrony transakcji bankowości elektronicznej.

Nie wszystkie sklepy, które zainwestowały w SSL, wykorzystują protokół https:// na kluczowych stronach sklepu (logowanie, rejestracja, proces zakupu). Część z zainstalowanych certyfikatów nie jest też prawidłowo generowana lub obsługiwana bądź są one nieodpowiedniej jakości.

Jeśli 98 proc. klientów zwraca uwagę na bezpieczeństwo zakupów w e-sklepach, ale tylko jedna czwarta placówek ma certyfikaty SSL, może trzeba pomyśleć w tym roku o lepszym zabezpieczeniu witryn. Warto pamiętać, że według badań przeprowadzonych na rynku amerykańskim (ale zachowania klientów e-sklepów są wszędzie podobne) niemal 65 proc. klientów sklepów internetowych rezygnuje z zakupów, jeśli witryna nie jest opatrzona bezpiecznym certyfikatem.

Czym są certyfikaty SSL

Jest to narzędzie zapewniające ochronę witryn internetowych i gwarantujące zachowanie poufności danych przesyłanych drogą elektroniczną. Pełne bezpieczeństwo jest efektem zastosowania szyfrowania komunikacji między komputerami. Certyfikaty SSL rejestrowane są na określoną nazwę domeny, zawierają informacje o właścicielu domeny, jego adresie itp. Dane te są zabezpieczone kryptograficznie i nie można ich samodzielnie zmienić.

Historia certyfikatów SSL sięga roku 1994, kiedy to firma Netscape stworzyła protokół Secure Socket Layer, służący do bezpiecznej transmisji zaszyfrowanego strumienia danych. Dzięki swojej skuteczności oraz prostej obsłudze i instalacji bardzo szybko znalazł on zastosowanie zwłaszcza przy zabezpieczaniu transakcji realizowanych w bankowości elektronicznej, podczas aukcji internetowych oraz w systemach płatności online.

Certyfikaty SSL są niezbędne dla wszystkich podmiotów udostępniających swoje usługi za pośrednictwem Internetu lub sieci lokalnych w celu zapewnienia:

bezpieczeństwa – szyfrowanie połączeń, bezpieczne przekazywanie danych osobowych,

wiarygodności – potwierdzenie tożsamości strony WWW lub serwera w Internecie,

zaufania – świadczenie usług zgodnie ze światowymi standardami.

Źródło: strona internetowa CERTUM

Powiedzieli:

Robert Paszkiewicz | menedżer ds. nowego biznesu, home.pl

Certyfikatem SSL można zabezpieczyć zarówno całą stronę WWW, jak i wybrany jej fragment, odpowiedzialny na przykład za logowanie, przesyłanie informacji czy administrację. Zakres zabezpieczenia zależy zwykle od osób odpowiedzialnych w danej instytucji za bezpieczeństwo. Ponieważ certyfikaty SSL w wersji OV (Organization Validation) oraz EV (Extended Validation) potwierdzają również tożsamość podmiotu, którego stronę WWW oglądamy, rekomendujemy wykorzystanie protokołu SSL dla całego serwisu WWW. Dzięki temu zapewnione jest nie tylko szyfrowanie informacji, ale także rośnie wiarygodność witryny internetowej.

Tomasz Litarowicz | dyrektor Certum, Powszechnego Centrum Certyfikacji

Zapewnianie bezpieczeństwa to nie tylko ochrona danych. To również świadome kształtowanie pozytywnego wizerunku i prestiżu w środowisku biznesowym.

Choć zagrożenie w postaci ataków hakerskich i ustawowe wymogi ochrony danych osobowych przemawiają za wprowadzeniem skutecznej ochrony serwisów internetowych, dopiero potrzeba zwiększania zaufania i pielęgnowania relacji z potencjalnymi klientami i partnerami stanowi argument decydujący.

Kto powinien korzystać

Certyfikat SSL to rozwiązanie dla firmowego serwera, jeśli:

- pobierasz i przetwarzasz dane osobowe,

- prowadzisz sprzedaż w Internecie,

- publikujesz informacje wymagające uwiarygodnienia,

- prowadzisz aktywną działalność w Internecie,

- przekazujesz swoim współpracownikom i partnerom poufne informacje za pośrednictwem Internetu.

Certyfikat SSL powinien być stosowany przez:

- banki i instytucje finansow

- sklepy internetowe (e-commerce),

- serwisy aukcyjne,

- strony internetowe administracji publicznej (BIP, elektroniczne skrzynki podawcze, systemy obsługi interesantów),

- e-zdrowie – serwisy internetowe przetwarzające i udostępniające dane na temat zdrowia pacjentów,

- biznesowe serwisy internetowe i portale korporacyjne,

- serwisy internetowe szkół i uczelni,

- serwery pocztowe i serwery baz danych,

- aplikacje typu klient–serwer,

- komunikację w ramach sieci intranet i ekstranet,

- zabezpieczenia serwerów udostępniających pliki (SFTP). Źródło: strona internetowa CERTUM

Co zyskujesz dzięki SSL

- Pokazujesz swoim klientom, że korzystając z SSL, traktujesz bezpieczeństwo ich transakcji bardzo poważnie.

- Dzięki połączeniu szyfrowanemu SSL wszyscy mają pewność, że dane przekazywane w trakcie użytkowania witryny nie zostaną przechwycone i wykorzystane przez osoby postronne.

- Twoi klienci mają świadomość, że zabezpieczasz swoją działalność na każdym etapie.

- Klienci chętniej dokonują u ciebie zakupów, wierząc, że ich dane są bezpieczne.

- Jawnie i zupełnie bezpiecznie potwierdzasz swoją tożsamość w sieci.

- Chronisz się przed nadużyciem ze strony oszustów. Twoja domena zyskuje potwierdzenie, że należy tylko do ciebie.

- Jesteś o krok przed konkurencją, udostępniając swoim użytkownikom szyfrowane połączenie.

- Chronisz swoje interesy przed internetowymi oszustami.

- Dbasz o swój wizerunek. Wszystkie szanujące się i znane podmioty w Internecie, takie jak portale aukcyjne, banki czy duże sklepy internetowe, stosują szyfrowane połączenia SSL.

Źródło: strona internetowa CERTUM

Publicystyka

Pozostało 93% artykułu