Безопасность - критически важный фактор успеха любого веб-сайта. Это особенно справедливо для сайтов, которым необходимо собирать PIA или «личную информацию» от посетителей. Подумайте о сайте, в котором вам необходимо ввести номер социального страхования или, чаще всего, сайт электронной коммерции, для которого вам необходимо добавить информацию о кредитной карте, чтобы завершить покупку. На таких сайтах безопасность не только ожидается от этих посетителей, но и для успеха.
Когда вы создаете сайт электронной торговли, одной из первых вещей, которую вам нужно будет настроить, является сертификат безопасности, чтобы ваши данные сервера были безопасными. Когда вы это настроите, у вас есть возможность создать самозаверяющий сертификат или создать сертификат, одобренный центром сертификации. Давайте рассмотрим различия между этими двумя подходами к сертификатам безопасности веб-сайта.
Сходства между подписанными и самоподписанными сертификатами
Получаете ли вы свой сертификат, подписанный центром сертификации, или подписываете его самостоятельно, есть одно и то же:
- Оба сертификата создадут сайт, который не может быть прочитан третьими лицами. Данные передаются по HTTPS-соединению или SSL и будут зашифрованы независимо от того, подписан ли сертификат или самоподписан.
Другими словами, оба типа сертификатов будут шифровать данные для создания защищенного веб-сайта. С точки зрения цифровой безопасности это шаг 1 процесса.
Почему вы будете платить сертификат
Центр сертификации сообщает вашим клиентам, что эта информация сервера была проверена доверенным источником, а не только компанией, которая владеет веб-сайтом. В принципе, есть сторонняя компания, которая проверила информацию о безопасности.
Обычно используемым центром сертификации является Verisign. В зависимости от того, какой CA используется, домен проверяется и выдается сертификат. Verisign и другие доверенные ЦС будут проверять существование рассматриваемого бизнеса и права собственности на домен, чтобы обеспечить немного большую безопасность, что данный сайт является законным.
Проблема с использованием самозаверяющего сертификата заключается в том, что почти каждый веб-браузер проверяет, что соединение https подписывается признанным ЦС. Если соединение самоподписано, это будет помечено как потенциально опасное, и появятся сообщения об ошибках, побуждающие ваших клиентов не доверять сайту, даже если это действительно безопасно.
Использование самоподписанного сертификата
Поскольку они обеспечивают такую же защиту, вы можете использовать самозаверяющий сертификат везде, где вы бы использовали подписанный сертификат, но некоторые места работают лучше, чем другие.
Самозаверяющие сертификаты отлично подходят для тестирования серверов. Если вы создаете веб-сайт, который необходимо протестировать по https-соединению, вам не нужно платить за подписанный сертификат для этого сайта разработки (который, вероятно, будет внутренним ресурсом). Вам просто нужно сообщить своим тестерам, что их браузер может вызывать предупреждающие сообщения.
Вы также можете использовать самозаверяющие сертификаты для ситуаций, требующих конфиденциальности, но люди могут не беспокоиться об этом. Например:
- Имя пользователя и пароль
- Сбор личной, но нефинансовой информации PIA, информации
- В тех формах, где единственными пользователями являются люди, которые знают и доверяют вам, например, корпоративную интрасеть
То, к чему это приводит, - это доверие. Когда вы используете самозаверяющий сертификат, вы говорите своим клиентам: «Поверьте мне, я тот, кого я говорю». Когда вы используете сертификат, подписанный CA, вы говорите: «Поверьте мне, Verisign согласен, что я тот, кого я говорю». Если ваш сайт открыт для публики, и вы пытаетесь вести с ними дело, последнее - гораздо более сильный аргумент.
Если вы занимаетесь электронной коммерцией, вам нужен подписанный сертификат
Возможно, ваши клиенты простят вас за самозаверяющий сертификат, если все, что они используют для этого, это войти на ваш сайт, но если вы попросите их ввести свою кредитную карту или информацию Paypal, то вам действительно нужна подписанная сертификат. Большинство людей доверяют подписанным сертификатам и не осуществляют бизнес через HTTPS-сервер без него. Поэтому, если вы пытаетесь продать что-то на своем веб-сайте, инвестируйте в этот сертификат. Это часть затрат на ведение бизнеса и участие в онлайн-продаже.
