Jak zabezpieczyć firmę i klientów przed utratą danych?

Czym w skrócie jest certyfikat SSL

SSL to skrót terminu Secure Socket Layer. Jest opracowanym już w 1994 roku przez firmę Netscape narzędziem służącym zabezpieczeniu danych przesyłanych za pośrednictwem internetu, a dokładnie pomiędzy użytkownikiem sieci a serwerem. Zabezpieczenie certyfikatem SSL odbywa się poprzez zaszyfrowanie przesyłanych danych przy użyciu klucza AES (Advanced Encryption Standard - nowoczesny, blokowy szyfr symetryczny - jeden z najpopularniejszych szyfrów na świecie. Został opublikowany w 1997 roku, a jego twórcy to Vincent Rijmen i Joan Daemen).

Jak działa szyfrowanie certyfikatem SSL

Zaszyfrowane przez certyfikat SSL dane przesyłane są za pośrednictwem protokołu HTTPS (właśnie ten skrót na początku adresu strony www – wraz z symbolem kłódeczki -  świadczy o tym, że jest ona zabezpieczona protokołem SSL).

Dodatkowo zabezpieczone przez protokół TLS dane (Transport Layer Security), chronią transmitowane informacje na trzy sposoby:

• szyfrowanie,
• zapewnienie ich integralności, czyli zapobieżenie ich zmianie przez niepowołane podmioty (a nawet gdyby ktoś podjął taką próbę, zostanie ona wykryta),
• uniemożliwienie przekierowaniu na strony www podobne do tej, z których skorzystać chce użytkownik.

Rodzaje certyfikatów SSL

Mimo iż istnieją trzy rodzaje certyfikatów SSL, różnią się one tylko sposobem weryfikacji instytucji, która ich używa. Mówiąc dokładniej, im bardziej zaawansowany certyfikat, tym więcej danych swojego właściciela zawiera. I tak najprostszy z nich:

• SSL DV (Domain Validation) wymaga jedynie weryfikacji samej domeny, którą chroni.
• Bardziej zaawansowany jest SSL OV (Organization Validation), którego uruchomienie musi być poprzedzone weryfikacją wszystkich danych firmy lub instytucji, która go zakupiła. Na szczęście procedura samej weryfikacji jest bardzo prosta: wystarczy wysłać dane firmowe mailem lub faksem i sprawa załatwiona.
• Ostatni rodzaj SSL EV (Extended Vaildation), wymaga również podania wszystkich danych firmowych, ale w języku angielskim.

Procedura wydania certyfikatu SSL EV

Dodatkowo, procedura wydania certyfikatu obejmuje sześć etapów:

1. Organization Authentication Requirements
2. Operational Existence Confirmation
3. Physical Address Confirmation
4. Telephone Number Confirmation
5. Domain Authentication Requirements
6. Order Verification Requirements

Inną cechą, charakteryzującą typ SSL EV jest nazwa instytucji wyświetlająca się obok „kłódeczki” przy adresie strony.

Dlaczego warto mieć certyfikat SSL?

1. Przede wszystkim dlatego, że jego posiadanie świadczy o odpowiedzialności firmy/instytucji i jej trosce o bezpieczeństwo powierzanych im informacji, jako że SSL gwarantuje światowy standard ochrony danych.
2. Wpływa to oczywiście na wizerunek takich firm/instytucji, oraz zaufanie ze strony potencjalnych klientów.
3. SSL ma też bezpośredni wpływ na pozycjonowanie stron; mając certyfikat SSL, strona będzie wyświetlona wyżej od tych, które jej nie mają, gdyż wyszukiwaraka Google traktuje serwis jako bardziej zaufany.
4. Ponadto integracja strony www z Facebook'iem wymaga posiadania rzeczonego certyfikatu.
5. Co więcej, SSL rekomendowany jest przez GIODO.

Polecamy: Elektroniczna dokumentacja podatkowa

Dla kogo certyfikat SSL?

Ten typ zabezpieczeń w szczególności jest rekomendowany dla:

• serwisów aukcyjnych
• banków i innych instytucji finansowych
• sklepów internetowych
• placówek służby zdrowia
• szkół i uczelni
• stron www organów administracji publicznej
• oraz wszelkich serwisów zbierających i przetwarzających dane klientów

A ma to związek z tym, jakie konkretnie dane chronią certyfikaty SSL; są to przypominamy dane osobowe, czyli numery PESEL, numery dowodów osobistych, adresy, numery telefonów, a także hasła i loginy, dane kart płatniczych, informacje o transakcjach internetowych, korespondencje, oraz dane zawierane w formularzach kontaktowych.

B.Fuchs - Kru.pl