Czytasz właśnie drugą część cyklu poświęconego cyfrowemu bezpieczeństwu w startupach i małych firmach. Jeśli jeszcze nie miałeś okazji przeczytać pierwszej części, koniecznie kliknij tutaj.
fot. unsplash.com
Wydaje nam się, że jeśli zainwestowaliśmy w program antywirusowy, a nasza sieć posiada zaporę firewall, z czystym sumieniem możemy stwierdzić, że jesteśmy odpowiednio zabezpieczeni przed atakami hackerskimi. A jak wygląda kwestia ochrony danych zbieranych i przesyłanych za pośrednictwem serwisów internetowych?
Niezależnie od tego czy jesteś zwykłym użytkownikiem internetu, korzystającym z usług online jak na przykład zakupy w sieci lub bankowość internetowa, czy też jesteś właścicielem lub administratorem strony www, z pewnością nie raz spotkałeś się z terminem certyfikat SSL. Czym tak naprawdę jest ten tajemniczy certyfikat i w jaki sposób może Ci pomóc w ochronie Twoich danych lub danych Twoich klientów?
Czym jest i w jaki sposób działa SSL?
Certyfikat SSL (ang. Secure Socket Layer) zwany również certyfikatem cyfrowym to standardowy protokół bezpieczeństwa służący do nawiązywania zaszyfrowanych połączeń między serwerem a stroną internetową. Wykorzystanie technologii SSL gwarantuje, że wszystkie przesyłane informacje takie jak dane osobowe lub numery kart kredytowych pozostają zaszyfrowane.
Certyfikat SSL w zależności od jego klasy może zawierać nazwę domeny, informacje dotyczące podmiotu rejestrującego, datę wygaśnięcia protokołu SSL oraz dane urzędu certyfikacji, który ten certyfikat wystawił. Za każdym razem, kiedy przeglądarka zainicjuje połączenie z witryną zabezpieczoną protokołem SSL, najpierw pobierze certyfikat SSL strony, aby sprawdzić, czy jest on nadal ważny.
Szyfrowanie danych odbywa się za pomocą kluczy. Im dłuższe są klucze, tym dane trudniej jest rozszyfrować. Do najpopularniejszych należą klucze SSL 128 i 256 bitowe.
Rodzaje SSL
Wyróżniamy trzy rodzaje certyfikatów SSL:
- Certyfikaty klasy DV (ang. Domain Validation) – zapewniają najprostszy tryb uwierzytelniania, weryfikując prawo do posiadania domeny, bez informacji o jej właścicielu.
- Certyfikaty klasy OV (ang. Organization Validation) – weryfikują zarówno prawo do posiadania domy, jak również dane podmiotu zamawiającego certyfikat.
- Certyfikaty klasy EV (ang. Extended Validation) – oznaczają największy poziom weryfikacji, kompleksowo sprawdzając tożsamość firmy wnioskującej o wydanie certyfikatu. Stosowany jest przede wszystkim przez duże przedsiębiorstwa oraz banki.
W jaki sposób klienci mogą sprawdzić czy moja witryna posiada szyfrowania SSL?
Informacje o zabezpieczeniu witryny certyfikatem SSL widoczne są na pierwszy rzut oka i zawarte w jednym miejscu: w pasku adresu przeglądarki. O posiadaniu tego typu ochrony świadczą:
- URL witryny korzystającej z szyfrowania SSL rozpoczyna się od „https: //” zamiast „http:// „
- W pasku adresu przeglądarki widoczny jest również znaczek kłódki
- W przypadku certyfikatu klasy EV w pasku adresu pojawia się kolor zielony
Zalety stosowania certyfikatów SSL
Dość teorii. Pora przyjrzeć się powodom, dla których powinieneś zdecydować się na zakup certyfikatów SSL. Zapamiętaj jedno. Nie istnieje firma zbyt mała na to, aby z nich korzystać!
1. Bezpieczeństwo danych oraz ochrona przed phishingiem
Niezależnie od tego, czy są to dane osobowe, numery kart płatniczych czy zwykły kod promocyjny, certyfikat SSL chroni informacje, które przesyłane są z i do Twojej witryny. Co ważne, szyfrowanie SSL zabezpieczające dane nigdy nie zostało złamane!
Jeśli Twoi klienci wprowadzają nazwę użytkownika i hasło, aby zalogować się do witryny bez certyfikatu SSL, osoba atakująca może z łatwością zobaczyć te dane w postaci przejrzystego tekstu. Taka sytuacja nie tylko umożliwia podszywanie się pod użytkownika, ale stanowi poważniejsze zagrożenie. Ponieważ internauci często używają tego samego hasła na wielu stronach, w tym również bankowości online, istnieje ryzyko, że hacker uzyska dostęp także do innych kont swojej ofiary.
Zastosowanie certyfikatów SSL ma jeszcze jedną zaletę. Pozwala ochronić dane klientów przed phishingiem. Czym jest ta tajemniczo brzmiąca nazwa? Phishing to nic innego jak forma internetowego oszustwa, polegającego na próbie wyłudzenia poufnych informacji. Najczęściej hackerzy rozsyłają do potencjalnych ofiar fałszywą wiadomość z prośbą o aktualizację danych lub zapłatę rachunku. Zawarty w mailu link odsyła do strony łudząco podobnej do witryny z jakiej użytkownik korzysta na co dzień. Z jednym wyjątkiem. Taki serwis nie posiada oznaczeń w pasku adresu, świadczących szyfrowaniu SSL.
Brak widocznej kłódki bezpieczeństwa, daje dużą szansę na to, że klienci w porę zorientują się iż padli ofiarą internetowych oszustów.
2. Zdobycie zaufania klientów
Oprócz gwarancji bezpieczeństwa, jedną z głównych zalet certyfikatów SSL jest to, że z pewnością pomogą zdobyć zaufanie osób korzystających z Twojego serwisu internetowego. Klienci dostarczają Ci bardzo ważnych i osobistych danych, które m.in. umożliwiają dostęp do ich pieniędzy. Sytuacja, w której hacker uzyska dostęp do informacji o karcie kredytowej Twojego klienta, może być katastrofalna w skutkach dla obu stron – poszkodowana osoba straci swoje pieniądze, Ty lojalność i zaufanie klienta. Osoby korzystające z twoich usług muszą wiedzieć, że cenisz sobie ich bezpieczeństwo i prywatność i poważnie podchodzisz do ochrony ich danych.
3. Potwierdzenie wiarygodności
Wielu przedsiębiorców w dalszym ciągu uważa, że protokół SSL jest im potrzebny tylko wtedy, gdy w swoim serwisie dokonują transakcji finansowych lub zbierają dane klientów. Pamiętaj, nawet jeśli za pośrednictwem strony internetowej nie przesyłasz poufnych danych, potrzebujesz SSL. Powód jest prozaiczny. Wszystkie popularne przeglądarki internetowe tym Chrome, Safari czy Firefox zaczęły oznaczać witryny nie posiadające certyfikatu SSL jako niezabezpieczone (No-Secure). Taka informacja może negatywnie wpłynąć na Twoją reputację w sieci. Klient z pewnością nie zdecyduje się na dokonanie transakcji za pośrednictwem potencjalnie niebezpiecznej strony.
4. Korzystanie z płatności online
Jeśli na swojej witrynie posiadasz usługę płatności online, jesteś zobowiązany do posiadania certyfikatu SSL. Jest to wymóg Payment Card Industry Data Security Standard stawiany wszystkim przedsiębiorcom internetowym.
Ale szyfrowanie w przypadku transakcji online to nie tylko kwestia konieczności. Odpowiednie zabezpieczenia mogą także pozytywnie wpłynąć na Twoje obroty. W jaki sposób? Klienci pewni tego, że ich pieniądze są bezpieczne chętniej dokonują zakupów. W serwisach korzystających z certyfikatów SSL zaobserwowano zwiększony współczynnik konwersji. Co ciekawe, na odpowiednio zabezpieczonych stronach konsumenci są również gotowi wydawać wyższe kwoty.
5. Pozycjonowanie
Protokoły SSL nie tylko pozytywnie wpływają na ochronę danych. Korzystanie z nich może dawać również inne korzyści. Jakie? Kolejną zaletą posiadania certyfikatu SSL jest poprawa pozycji Twojej witryny w wyszukiwarkach. Zgodnie z ogólną inicjatywą, Google daje stronom internetowym z zaszyfrowanymi połączeniami niewielki wzrost w rankingu. Chociaż różnica z pewnością nie jest znacząca, posiadanie SSL na pewno da Ci przewagę nad konkurentami, którzy jeszcze nie posiadają certyfikatów.
6. Bezpieczeństwo subdomen
Protokół SSL gwarantuje bezpieczeństwo wszystkich Twoich subdomen. Specjalny rodzaj certyfikatu SSL znany jako Wildcard pozwala zabezpieczyć dowolną liczbę subdomen w domenie.
W jaki sposób mogę uzyskać certyfikat SSL ?
Najłatwiejszym sposobem uzyskania certyfikatu SSL jest jego zakup u providera usług hostingowych. Nabywając domenę bardzo często otrzymasz propozycję dokupienia go w pakiecie lub otrzymasz możliwość jego użytkowania przez określony czas (zazwyczaj na rok) całkiem za darmo. Certyfikat możesz także kupić bezpośrednio u autoryzowanych wystawców. Na rynku dostępnych jest także wiele darmowych rozwiązań m.in. Let’s Encrypt lub StartSSL, jednak posiadają one pewne ograniczenia.
Implementacja protokołu jest niezwykle prosta. Często wykona ją za Ciebie dostawca usług.
Podsumowanie
W zasadzie nie istnieją powody, dla których nie miałbyś nie korzystać z certyfikatów SSL. Korzyści z ich stosowania są nieocenione, natomiast straty jakie powoduje ich brak mogą być katastrofalne w skutkach.
–
Autor:
Sebastian Matera
Prezes Zarządu/Udziałowiec ZdalnyAdmin.com.pl
Doświadczenie zawodowe zaczął zbierać już w wieku 18 lat, gdy odpowiadał za sprzedaż usług w zakresie wytwarzania dedykowanego oprogramowania, dostaw i wdrożeń oprogramowania firmy Comarch. Pracował jako dyrektor handlowy w Kolibro i tam obsługiwał m.in. Ferrero Polska. Obecnie jest liderem w Zdalny Admin, gdzie pomaga klientom wdrażać procedury związane z RODO, dba o ciągłość działania serwerów i przeprowadza skuteczne testy penetracyjne.