Aktualności
Tech
Audio
Rozrywka
Podcast
![DailyWeb testuje: [WYWIAD] Które języki tłumaczy się najtrudniej? O AI, pięknych urządzeniach, projektowaniu produktów dla seniorów i młodych – rozmawiamy z Kamilem Cupiałem z VASCO](https://alfred.dailyweb.pl/wp-content/uploads/2022/01/wywiad-1-300x250.png)
Testujemy
(249)
WideoCzy kiedykolwiek zastanawiałeś się, dlaczego niektóre strony internetowe wyświetlają ikonkę kłódki w pasku adresu, podczas gdy na innych pojawia się komunikat o niebezpieczeństwie? Ikona ta informuje, że strona, którą odwiedzasz, jest chroniona certyfikatem SSL, a to z kolei wpływa na Twoje bezpieczeństwo w sieci oraz na ochronę danych, jakie podajesz podczas dokonywania zakupów online. Natomiast to jaki poziom zabezpieczeń oferuje możemy sprawdzić dopiero najechaniu w symbol. W tym tekście chcemy przedstawić Ci jak działa certyfikat SSL i dlaczego poziom walidacji jest tak istotny dla bezpieczeństwa w sieci.
Z tego artykułu dowiesz się:
-
czym jest i o czym informuje obecność certyfikatu SSL?,
jak działa certyfikat SSL?,
jakie typy zabezpieczeń wyróżniamy?,
dlaczego DV nie wystarczy w e-commerce?,
o zmianach w zakresie bezpieczeństwa, jakie wprowadza Google.
Certyfikat SSL. Co to jest?
Certyfikat SSL (Secure Sockets Layer) to protokół zabezpieczający transmisję danych między Twoją przeglądarką a serwerem, na jakim znajduje się dana strona internetowa. Głównym celem certyfikatów SSL jest zapewnienie poufności, integralności i uwierzytelnienia danych przesyłanych przez sieć. Obecność certyfikatu na stronie potwierdza informacje dotyczące autentyczności wybranych szczegółów związanych ze stroną (domeną), bądź szerzej z firmą, jakie użytkownik widzi po kliknięciu symbolu kłódki w pasku przeglądarki.
Kiedy decydujesz się na zakup w sieci, w trakcie transakcji, przekazujesz swoje dane osobowe i płatnicze, takie jak numer karty kredytowej, telefonu, adres itp. W przypadku stron z certyfikatem SSL, dane te są szyfrowane, co oznacza, że są bezpieczne podczas przesyłania ich między Twoją przeglądarką a serwerem sklepu internetowego. Szyfrowanie uniemożliwia potencjalnym intruzom przechwycenie i odczytanie tych informacji.
Ważne jest, aby zwracać uwagę na obecność certyfikatu SSL podczas korzystania z różnych stron internetowych, zwłaszcza podczas dokonywania transakcji online. Strony internetowe z certyfikatem SSL, a zatem te chronione, rozpoznasz po ikonie kłódki w pasku adresu lub po adresie rozpoczynającym się od „https” zamiast „http”. W myśl tej zasady i wzmacniania bezpieczeństwa użytkowników, Google od kilku lat oznacza strony bez SSL jako niebezpieczne. To ważne działanie, mające na celu ochronę użytkowników przed potencjalnymi zagrożeniami związanymi z przesyłaniem danych przez niezabezpieczone połączenia internetowe. Google zapowiedziało, że wkrótce podejmie kolejne kroki w zakresie wzmacniania bezpieczeństwa. Jakie? O tym powiemy szerzej w dalszej części tego tekstu.
Jak działa certyfikat SSL?
Wiemy już, czym jest certyfikat SSL, teraz przyjrzyjmy się mechanizmowi jego działania. Wspomnieliśmy już, że SSL jest wykorzystywany do zapewnienia bezpiecznej transmisji danych między przeglądarką użytkownika a serwerem, na którym znajduje się odwiedzana strona internetowa. Ale jak to dokładnie działa? Każda sesja SSL opiera się na wykorzystaniu pary kluczy: klucza publicznego i klucza prywatnego. Klucz publiczny wykorzystywany jest do szyfrowania przesyłanych informacji, które następnie mogą być odszyfrowane tylko przy użyciu odpowiadającego mu klucza prywatnego.
W momencie kiedy połączenie jest szyfrowane, podawane przez Ciebie dane takie jak numer karty, czy adres są przesyłane na serwer w formie zaszyfrowanej. To oznacza, że nawet jeśli ktoś próbowałby przechwycić te informacje, nie byłby w stanie ich odczytać bowiem zobaczy tylko nic nie mówiący ciąg znaków. Każdy certyfikat SSL, który jest wydawany przez Urząd Certyfikacji (ang. CA – certificate authority), przypisany jest do konkretnego serwera i domeny internetowej.
Twoje odwiedzenie strony internetowej z certyfikatem SSL inicjuje proces negocjacji SSL między przeglądarką a serwerem. Przeglądarka wysyła żądanie do serwera. W tym samym czasie w pasku adresu zauważasz zmianę, pojawia się kłódka, sygnalizując połączenie z zaufaną witryną. Wszystko to oznacza, że z wykorzystaniem unikalnego klucza nawiązałeś bezpieczne połączenie dla bieżącej sesji przeglądania strony internetowej. Serwer przy pomocy klucza prywatnego odszyfrowywuje klucz sesji.
Rodzaje certyfikatów SSL
Mówiąc o certyfikatach SSL i obszarach zabezpieczenia, jakie oferują, wyróżniamy 3 poziomy walidacji. Podstawową formą ochrony jest certyfikat o poziomie walidacji DV (ang. Domain Validation), który potwierdza jedynie autentyczność domeny. Najsilniejszym zabezpieczeniem zaś są certyfikaty EV (ang. Extended Validation), gdzie przeprowadzana jest także dokładna weryfikacja organizacji.
Domain Validated (DV)
Certyfikaty DV to podstawowa forma zabezpieczenia, jaka oferuje jedynie weryfikację autentyczności domeny. Walidacja odbywa się automatycznie. Proces weryfikacji polega na potwierdzeniu, że osoba ubiegająca się o certyfikat ma kontrolę nad domeną. Ten typ walidacji potwierdza jedynie bezpieczeństwo danej strony, jednak nie zapewnia użytkownikowi informacji na temat podmiotu, który się o niego ubiega.
Organization Validation (OV)
Certyfikaty OV oferują wyższy poziom uwierzytelniania niż certyfikaty DV. Oprócz potwierdzenia autentyczności domeny, przeprowadzana jest weryfikacja organizacji, która jest właścicielem strony internetowej. W ten sposób wyświetlane są szczegółowe informacje o nazwie i danych firmy. a także użytkownik ma pewność, że dany podmiot jest właścicielem serwisu.
Certyfikat EV (EV)
Certyfikaty EV są najwyższą formą ochrony, oferują poszerzoną weryfikację właściciela domeny. Przeprowadzana jest dokładna weryfikacja organizacji, a także jest spełniony rygorystyczny standard weryfikacyjny ustalony przez wydawców certyfikatów. Aby uzyskać rozszerzoną walidację, podmiot musi przejść przez trzy etapy weryfikacji, obejmujące: sprawdzanie danych rejestracyjnych firmy, umów spółki oraz uprawnienia do posługiwania się konkretną domeną.
DV w e-commerce nie wystarczy
Obecność certyfikatu SSL podczas zakupów internetowych jest standardem. Jednak podczas dokonywania zakupów online, powinniśmy zwracać uwagę nie tylko na to, czy dany sklep posiada certyfikat, ale także na jego walidację, czyli poziom zabezpieczenia, jaki oferuje. W szczególności w przypadku sklepów internetowych, gdzie w formularzu zakupowym podajemy nasze wrażliwe dane, rodzaj certyfikatu nabiera szczególnego znaczenia. Według naszych cyklicznych badań, dominującą formą walidacji podczas wyboru certyfikatu SSL jest Domain Validation.
W przypadku sklepów internetowych i transakcji e-commerce, kwestie bezpieczeństwa i zaufania odgrywają kluczową rolę. Certyfikat DV, potwierdzający jedynie autentyczność domeny, nie jest wystarczający dla zapewnienia bezpieczeństwa transakcji online. Owszem, certyfikat DV poświadcza, że strona internetowa jest skojarzona z daną domeną, ale nie mamy żadnych dodatkowych informacji na temat organizacji lub podmiotu, dla którego został wydany. Bez odpowiedniego poziomu uwierzytelnienia i weryfikacji podmiotu, istnieje ryzyko, że nieuprawnione osoby lub podmioty mogą te dane przechwycić i wykorzystać. Ważne jest, aby e-commerce utrzymywało wysoki poziom bezpieczeństwa, co przekłada się na zaufanie klientów i powodzenie biznesu online. Dlatego, w przypadku e-commerce, zalecamy rozważenie użycia certyfikatów SSL z wyższym poziomem walidacji, takich jak certyfikaty OV (Organization Validation) lub EV (Extended Validation) – mówi Ela Kornaś. Head of Domains and SSL w cyber_Folks
Ikonę kłódki w pasku przeglądarki często interpretujemy błędnie. Na jej podstawie twierdzimy, że witryna, jaką odwiedzamy jest godna zaufania, podczas gdy jej obecność mówi nam jedynie, że nawiązujemy bezpieczne połączenie. Nie możemy nic powiedzieć o tożsamości jej właściciela. Tę informację zobaczymy wyraźnie w certyfikacie typu EV.
Dlatego właśnie w przypadku e-commerce zaleca się stosowanie certyfikatów o wyższej walidacji. Certyfikaty DV oferują tylko podstawową weryfikację domeny, która potwierdza jedynie to, że osoba ubiegająca się o certyfikat ma kontrolę nad domeną. Brak weryfikacji organizacji i danych rejestrowych firmy sprawia, że użytkownicy nie mają pewności co do wiarygodności i autentyczności sprzedawcy.
Certyfikaty SSL z wyższym poziomem weryfikacji, takie jak certyfikaty OV (Organization Validated) lub EV (Extended Validation), zapewniają dodatkowe informacje o organizacji.
To zwiększa zaufanie użytkowników do strony internetowej, potwierdzając jednocześnie wiarygodność sprzedawcy.
Google wprowadza zmiany
Powiedzmy sobie szczerze, kto z nas sprawdza poziom walidacji certyfikatu przeglądając daną stronę? Czy nie kończymy naszych działań jedynie na upewnieniu się, że strona posiada SSL? Naprzeciw tym działaniom wychodzi Google i zapowiada zastąpienie ikony kłódki bezpieczeństwa. Już od września br. w pasku przeglądarki zauważymy nowy symbol.
Działanie Chrome jest odpowiedzią na rosnące wymagania dotyczące rozwoju standardów bezpieczeństwa witryn. Usunięcie ikony kłódki bezpieczeństwa ma na celu zwiększenie świadomości użytkowników oraz ułatwienie zrozumienia informacji jaką posiadamy o witrynie.
Działania już trwają. Obecna jeszcze ikona kłódki informuje nas jedynie o tym, że połączenie z daną stroną jest zabezpieczone. Nie mówi nic o tym, czy strona jest bezpieczna i chroniona, a zatem czy tożsamość podmiotu jest zweryfikowana.
Wprowadzenie zmiany symbolu przez Google jest dobrym krokiem ku podnoszeniu standardów bezpieczeństwa w Internecie, jak również samego promowania świadomego korzystania z witryn internetowych. To jest szczególnie istotne w przypadku witryn e-commerce, gdzie klienci muszą mieć pewność co do bezpieczeństwa swoich danych osobowych i płatności. Chrome decyduje się na zmianę symbolu, aby zachęcić nas – jako użytkowników do sprawdzania poziomu walidacji certyfikatu SSL na stronie, jeszcze zanim dokonamy na niej aktywności. Nie możemy polegać wyłącznie na ikonie kłódki jako wskaźniku bezpieczeństwa – mówi Ela Kornaś. Head of Domains and SSL w cyber_Folks
Więcej o zbliżających się zmianach przeczytasz w artykule cyber_Folks.
Rodzaj certyfikatu a ataki
W ubiegłym roku zanotowano ponad 4,7 miliona ataków phishingowych.[1] W samej Polsce CERT spośród 322 tysięcy zgłoszonych incydentów, 39 tysięcy zaklasyfikował jako phishing.[2] Z badań SOCRadar wynika, że certyfikaty SSL są używane przez ponad połowę podszywających się domen (55%).[3] Co więcej, jak zaznacza PhisLabs blisko 95% atakujących używa certyfikatu o najniższym poziomie walidacji.[4]
Certyfikaty DV (Domain Validation) oferują jedynie podstawową walidację domeny, dopiero te o poziomie walidacji OV czy EV weryfikują nie tylko prawo do domeny, ale również podmiot, ubiegający się o wystawienie certyfikatu. Z punktu widzenia e-commerce, mogą być szczególnie ważne, ponieważ umożliwiają klientom sprawdzenie tożsamości sklepu internetowego przed dokonaniem transakcji. Wpływają również na wizerunek marki, budując zaufanie klientów i zwiększając ich poczucie bezpieczeństwa podczas dokonywania zakupów online.
–
W przypadku sklepów internetowych i transakcji e-commerce, zagadnienia związane z bezpieczeństwem i zaufaniem mają kluczowe znaczenie. Certyfikat DV, który potwierdza autentyczność domeny, nie jest wystarczający, aby zapewnić bezpieczeństwo przeprowadzanej transakcji. Mimo że certyfikat DV potwierdza, że strona jest skojarzona z daną domeną, nie dostarcza dodatkowych informacji na temat organizacji lub podmiotu, dla którego został wydany. Brak odpowiedniego uwierzytelnienia i weryfikacji podmiotu stwarza ryzyko przechwycenia danych przez nieuprawnione osoby lub podmioty. Dokonując zakupów internetowych, wymagana jest większa ochrona danych. W tym celu e-commerce powinno korzystać z certyfikatów o wyższej walidacji OV lub EV. Ofertę certyfikatów SSL sprawdzisz na cyberFolks.pl
z klientem. Na co dzień zajmuję się kreowaniem
wizerunku i świadomości marki w komunikacji on i off –line.
Artykuł sponsorowany, dostarczony przez zewnętrznego partnera.