Sekuriteit is 'n kritieke belangrike faktor in die sukses van enige webwerf. Dit is veral waar vir webwerwe wat PIA moet versamel, of "persoonlik identifiseerbare inligting" van besoekers. Dink aan 'n webwerf wat vereis dat jy 'n sosiale sekerheid nommer, of meer algemeen, 'n e-handelswebwerf inskryf wat jy kredietkaartinligting moet byvoeg om jou aankoop te voltooi. Op webwerwe soos hierdie word sekuriteit nie net van daardie besoekers verwag nie, dit is noodsaaklik vir sukses.
As jy 'n e-handelswebwerf bou, is een van die eerste dinge wat jy moet opstel, 'n sekuriteitsertifikaat, sodat jou bediener data veilig sal wees. Wanneer u dit opstel, het u die opsie om 'n self-ondertekende sertifikaat te skep of 'n sertifikaat wat deur 'n sertifikaatowerheid goedgekeur is, te skep. Kom ons kyk na die verskille tussen hierdie twee benaderings tot die webwerf sekuriteitspunte.
Gelykhede tussen getekende en selfgetekende sertifikate
Of jy nou jou sertifikaat onderteken deur 'n sertifikaatowerheid of dit self teken, daar is een ding wat presies dieselfde is op beide:
- Albei sertifikate sal 'n webwerf genereer wat nie deur derde partye gelees kan word nie. Die data wat gestuur word oor 'n HTTPS- verbinding, of SSL , sal geïnkripteer word ongeag of die sertifikaat onderteken of self onderteken is.
Met ander woorde, beide tipes sertifikate sal die data enkripteer om 'n veilige webwerf te skep. Uit 'n digitale sekuriteitsperspektief is dit stap 1 van die proses.
Hoekom jy 'n sertifiseringsowerheid sou betaal
'N Sertifikaatowerheid vertel aan u kliënte dat hierdie bedienerinligting deur 'n betroubare bron geverifieer is en nie net die maatskappy wat die webwerf besit nie. Daar is basies 'n derdeparty-maatskappy wat die sekuriteitsinligting geverifieer het.
Die mees gebruikte Sertifikaat Owerheid is Verisign. Afhangende van watter CA gebruik word, word die domein geverifieer en word 'n sertifikaat uitgereik. Verisign en ander vertroude KS'e sal die bestaan van die betrokke besigheid en die eienaarskap van die domein verifieer om 'n bietjie meer sekerheid te gee dat die betrokke webwerf wettig is.
Die probleem met die gebruik van 'n self-ondertekende sertifikaat is dat byna elke webblaaier kontroleer of 'n https-verbinding onderteken is deur 'n erkende CA. As die verbinding self-onderteken is, sal dit as moontlike risiko gemerk word en foutboodskappe sal aanmoedig om jou kliënte aan te moedig om nie die webwerf te vertrou nie, al is dit wel veilig.
Gebruik 'n selfgetekende sertifikaat
Aangesien hulle dieselfde beskerming bied, kan jy 'n self-ondertekende sertifikaat gebruik waar jy ook 'n getekende sertifikaat gebruik, maar sommige plekke werk beter as ander.
Self-ondertekende sertifikate is ideaal vir die toets van bedieners . As jy 'n webwerf skep wat jy oor 'n https-verbinding moet toets, hoef jy nie 'n getekende sertifikaat vir daardie ontwikkelingswebwerf te betaal nie (wat waarskynlik 'n interne hulpbron sal wees). Jy moet net jou toetsers vertel dat hul blaaier waarskuwingsboodskappe kan pop.
U kan ook self-ondertekende sertifikate gebruik vir situasies wat privaatheid vereis, maar mense mag dalk nie so bekommerd wees nie. Byvoorbeeld:
- Gebruikersnaam en wagwoord vorms
- Persoonlike, maar nie-finansiële inligting van PIA, inligting
- Op vorms waar die enigste gebruikers mense is wat jou ken en vertrou, soos 'n maatskappy se intranet
Wat dit afkom, is vertroue. As jy 'n self-ondertekende sertifikaat gebruik, sê jy aan jou kliënte: "Vertrou my - ek is wie ek sê ek is." As jy 'n sertifikaat gebruik wat deur 'n KS geteken is, sê jy: "Vertrou my - Verisign stem saam, ek is wie ek sê ek is." As jou webwerf oop is vir die publiek en jy probeer om sake te doen met hulle, is die later 'n baie sterker argument om te maak.
As jy 'n e-handel doen, benodig jy 'n getekende sertifikaat
Dit is moontlik dat jou kliënte jou sal vergewe vir 'n self-ondertekende sertifikaat as al wat hulle gebruik, is om by jou webwerf aan te meld, maar as jy hulle vra om hul kredietkaart of PayPal-inligting in te voer, het jy regtig 'n getekende sertifikaat. Die meeste mense vertrou die getekende sertifikate en sal nie sake doen oor 'n HTTPS-bediener sonder een nie. So as jy iets op jou webwerf verkoop, belê in daardie sertifikaat. Dit is deel van die koste om sake te doen en betrokke te raak by aanlynverkope.
Oorspronklike artikel deur Jennifer Krynin. Geredigeer deur Jeremy Girard.