Rolul certificatului de securitate pentru magazinele online

Publicat în de

Continuăm seria articolelor semnate de Cristian Iosub despre securitate online cu o privire în detaliu asupra certificatelor SSL și importanța acestora, cu precădere în cazul magazinelor online. Aflăm care este rolul lor, cum funcționează și care sunt diferențele dintre un certificat de securitate gratuit și unul plătit.

Certificatele SSL joacă un rol important în securitate pentru un magazin online. Un certificat Secure Sockets Layer (certificat SSL, cunoscut popular sub denumirea generică de certificat de securitate) este un mic fișier de date instalat pe un server web care permite o conexiune sigură între server și un browser web.

Certificatele SSL pot fi utilizate de către magazinele online care doresc să cripteze tranzacțiile cu carduri de credit, să efectueze transferuri de date, să proceseze autentificări și să găzduiască site-uri web securizate de social media. Bazat pe protocolul Secure Sockets Layer dezvoltat de Netscape (dacă vă aduceți aminte de Netscape suntem amândoi în categorie de risc 😊), certificatele SSL folosesc o cheie criptografică pentru a furniza validarea pentru un server web, în care sunt detaliate numele de domeniu, numele serverului, numele site-ului, numele companiei și locația. Majoritatea certificatelor SSL de astăzi acceptă, de asemenea, protocolul Transport Layer Security (TLS), care este considerat a fi mai sigur decât SSL.

Certificatele SSL sunt emise de la o autoritate de certificare de încredere. Există trei tipuri de certificate

  • certificate SSL de validare extinsă (EV) 
  • certificate SSL de validare a organizației (OV) 
  • certificate SSL de validare a domeniului (DV) 

Când un certificat SSL este instalat pe un server, acesta activează protocolul HTTPS peste portul 443. Utilizarea unui certificat SSL pe un site web este de obicei indicată de o pictogramă cu lacăt micuț și de o adresă URL care începe cu https://.

SSL criptează informații sensibile

Motivul principal pentru care se folosește SSL este păstrarea criptată a informațiilor sensibile pe Internet, astfel încât doar destinatarul de drept să poată avea acces la informația transmisă. Acest lucru este important deoarece informațiile pe care clienții dumneavoastră le trimit pe Internet sunt transmise de la computer la computer pentru a ajunge la serverul de destinație. Orice computer între client și server vă poate vedea / intercepta seria cardului de credit, numele de utilizator și parolele și alte informații sensibile dacă nu este criptat cu un certificat SSL. Când se folosește un certificat SSL, informațiile devin nelegibile tuturor, cu excepția serverului la care trimiteți informațiile. 

SSL oferă autentificare

În plus față de criptare, un certificat SSL corespunzător oferă și autentificare. Aceasta înseamnă că puteți fi sigur că sunt trimise informațiile din partea clientului către serverul potrivit și nu către un impostor care încearcă să îi fure informațiile. De ce este important acest lucru? Natura Internetului înseamnă că clienții dumneavoastră vor trimite adesea informații prin mai multe calculatoare. Oricare dintre aceste computere s-ar putea preface că este site-ul dumneavoastră și poate păcăli utilizatorii să îi transmită informații personale. Este posibil să evitați acest lucru numai obținând un certificat SSL de la un furnizor SSL de încredere.

 De ce sunt importanți furnizorii SSL? Furnizorii SSL de încredere vor emite un certificat SSL numai unei companii verificate care a trecut prin mai multe verificări de identitate. Anumite tipuri de certificate SSL, cum ar fi certificatele SSL EV, necesită mai multă validare decât altele.

SSL oferă încredere

Browserele oferă indicii vizuale, cum ar fi o pictogramă de blocare sau o bară verde, pentru a se asigura că vizitatorii știu când conexiunea lor este securizată. Aceasta înseamnă că vor avea mai multă încredere în magazinul dumneavoastră atunci când vor vedea aceste indicii și vor avea mai multe șanse să cumpere de la dumneavoastră. Furnizorii SSL vă vor oferi, de asemenea, un sigiliu de încredere care va genera mai multă încredere clienților.

Câțiva furnizori de certificate de securitate sunt: SSLS, Comodo, RapidSSL sau chiar propriul furnizor de servicii de găzduire. În general, chiar și companiile de hosting locale intermediază achiziția de certificate de securitate acționând ca un reseller. 

SSL este necesar pentru conformitate PCI

Pentru a accepta informațiile despre cardul de credit pe site-ul dumneavoastră, trebuie să treceți anumite audituri care arată că respectați standardele din industria cardurilor de plată (PCI). Una dintre cerințe este utilizarea corectă a unui certificat SSL.

Google vs Certificatele de securitate

Google a anunțat în urmă cu câțiva ani faptul că, începând cu 01 ianuarie 2017, va penaliza paginile web nesecurizate cu certificat SSL și la scurt timp Firefox s-a alăturat inițiativei. În primă fază, aceste site-uri au fost marcate cu roșu „NOT SECURE” în dreptul numelui de domeniu. Ulterior, deținând o cotă dominantă de piață ca motor de căutare, Google a penalizat site-urile ce nu aveau instalat un certificat de securitate. 

În prezent penalizarea prin scăderea poziției pe care un site este indexat s-a extins și spre site-urile ce nu sunt optimizate mobile. Personal, aș dori să cred că certificatele de securitate au ca scop primar utilizarea în vederea criptării datelor între client și magazinul online, dar majoritatea aleg să instaleze acest certificat doar pentru că ar exista posibilitatea de a fi penalizați de către motoarele de căutare.

Dezavantajele SSL

Cu atât de multe avantaje, de ce nu ar folosi cineva SSL? Există dezavantaje în utilizarea certificatelor SSL? Costul este un dezavantaj evident. Furnizorii SSL trebuie să creeze o infrastructură de încredere și să vă valideze identitatea, astfel încât să existe un cost. Acest lucru a fost atenuat de concurența crescută în industrie și de introducerea de furnizori precum Let’s Encrypt.

În general, dezavantajele utilizării SSL sunt puține și avantajele le depășesc cu mult. Este esențial să utilizați corect SSL pe toate magazinele online. Utilizarea corectă a certificatelor SSL vă va ajuta să vă protejați clienții, să vă protejeze și să vă ajute să vă câștigați încrederea și să vindeți mai mult.

Mituri

Mit: Dacă am instalat un certificat de securitate, magazinul online este protejat împotriva atacurilor cibernetice.

Adevăr: Este important de reținut faptul că un certificat de securitate asigură numai criptarea informațiilor între browserul clientului și serverul pe care este găzduit magazinul online. Absolut toate vulnerabilitățile descrise în articolele precedente sunt în continuare valabile.

Mit: Let’s Encrypt oferă certificate de securitate gratuit și sunt la fel de bune ca unul pe care am plătit 10 dolari.

Adevăr: Există unele certificate SSL gratuite precum Let’s Encrypt, dar acestea oferă cea mai mică protecție. Acestea sunt adăugate în mare parte pentru a respecta politica Google. Deoarece toate site-urile ar trebui să aibă acest nivel suplimentar de securitate.

Let’s Encrypt este o autoritate de certificare gratuită, dezvoltată de către Internet Security Research Group (ISRG), o organizație non-profit. O să vedeți destul de mult, atunci când comparați două certificate de securitate, expresiile Very high assurance, Medium assurance, Low assurance. În practică, autoritatea emitentă garantează că datele nu vor putea fi interceptate prin certificatul de securitate și dacă acest lucru va fi totuși posibil, atunci va despăgubi magazinul online cu sume de 10.000 euro (Essential SSL de la ssls.com) până la 2 milioane de euro (EV SSL tot de la ssls.com). Utilizând însă un certificat de tipul Let’s Encrypt, aceste despăgubiri nu vor fi posibile. În plus, există incompatibilități între certificatele Let’s Encrypt și comunicarea cu sistemele interne ale diverselor soluții software (prin API, servicii web etc.).

 

cristi iosubCristian Iosub

Digital Platforms Manager Conversion Marketing

Cristian Iosub este Digital Platforms Manager la Conversion și are o experiență de peste 15 ani în dezvoltare software si auditor pentru sistemul de management al securității informației. Cu numeroase proiecte la activ, Cristian a coordonat și a dezvoltat software pentru peste 100 de clienți internationali din domenii precum eCommerce, Banking și Retail.

Pe lângă proiectele pe care le coordonează, Cristian administrează principalele platforme dezvoltate de Conversion. Mai exact: Profitshare, platforma de marketing afiliat cu cele mai mari vânzări din România, Conectoo, platforma de email marketing, prin care se trimit lunar in inbox peste 150.000.000 emailuri si CookieBox, platforma de management a cookie-urilor.

 

Nu rata seria de articole cu conținut #CraftedToInspire semnate de specialiști în eCommerce și Digital Marketing, abonează-te la Newsletter-ul GPeC!