În articolul precedent, Ce este un certificat SSL?, am oferit o imagine de ansamblu asupra tehnologiei utilizate pentru a asigura comunicațiile între utilizatori, cum ar fi browserul dvs si serverele, cum ar fi serverele utilizate pentru a găzdui paginile web pe care le vizitați. Siguranța în materie de comunicare este importantă nu numai pentru site-urile de comerț electronic care pot primi informații sensibile, cum ar fi datele cardurilor de credit, dar și pentru confidențialitatea utilizatorilor în general. Site-urile web care utilizează SSL pentru a cripta traficul se asigura astfel că informațiile cum ar fi datele de conectare ale utilizatorilor și parolele sau conținutul mesajelor private nu pot fi citite de o terță parte în timp ce aceste informații se află în tranzit între client și server.
Prezentare generală a certificatelor SSL
După cum am discutat în articolul precedent, browserele și aplicațiile de email se bazează pe un sistem de încredere deja existent înainte de a stabili o comunicație sigură cu un server. Încrederea aici înseamnă doar autenticitatea, în sensul că serverul web cu care software-ul dvs interacționează este de fapt cine pretinde că este.
Autoritatiele de certificare sau CA pe scurt sunt organizații terțe care eliberează certificate SSL proprietarilor de site-uri web. Aceste certificate sunt semnate criptografic de cheia privată a CA, împiedicându-le astfel să fie falsificate. Când browserul dvs se conectează la un site web care deține SSL, serverul web îi prezintă certificatul sau SSL, iar browserul verifică apoi certificatul într-o lista de CA-uri existentă. Dacă certificatul a fost emis de una dintre autoritățile din lista de încredere, browserul dvs va continua să acceseze site-ul web și va afișa, de obicei, un lacăt, care semnifică o conexiune securizată și autenticitatea serverului, în bara de adrese. Puteți inspecta certificatul prin browserul dvs făcând clic pe pictograma de blocare din bara de adrese. Captura de ecran de mai jos este pentru nav.ro în Firefox.
Dacă browserul dvs vă prezintă un avertisment despre certificatul SSL al unui site web, cauza ar putea fi una sau mai multe probleme, deși nu înseamnă neapărat că acea legătură este necriptata. Cauzele ar putea fi că certificatul SSL a expirat, că nu a fost emis numele de domeniu în cauza, că a fost instalat incorect sau că nu a fost semnat de un CA de încredere. Ar mai putea însemna, de asemenea, că traficul tău a fost deturnat de un „pirat” care ți-a prezentat în browser un certificat fals. În general, nu trebuie să ignorați niciodată aceste avertismente decât dacă sunteți absolut sigur de ceea ce faceți. Din păcate, mulți utilizatori le ignora, dar deoarece educația cu privire la importanța securității crește odată cu trecerea timpului, aceste statistici sunt în scădere, iar un certificat slab poate afecta grav încrederea și traficul pe un site web.
Tipurile de certificate SSL
În mod evident, certificatele SSL reprezintă o parte importantă a siguranței și a securității din mediul online. Dacă sunteți un proprietar de site care are în vedere obținerea unui astfel de certificat, este foarte important să știți câte ceva despre diferitele tipuri de certificate disponibile.
DV SSL
Primul și cel mai comun tip de certificat se numește Certificat de validare a domeniului (DV) SSL. Un SSL DV este doar unul în care CA a efectuat cea mai de baza validare pentru a vă asigura că dețineți sau controlați numele domeniului pentru care va fi emis certificatul. Acest lucru se face prin trimiterea unui email de verificare către contactul administrativ enumerat într-o informație de tip WHOIS a unui domeniu sau prin crearea de către proprietar a unei înregistrări DNS speciale pe care CA o poate căuta ulterior pentru a verifica dacă într-adevăr controlezi acel domeniu. Domeniile cu certificat SSL DV vor afișa un blocaj, de obicei verde, în bara de adrese a browser-ului dvs.
SSL-urile DV sunt de obicei emise pentru un singur domeniu, cum ar fi „nav.ro” dar pot fi configurate pentru a suporta, de asemenea, „www.nav.ro”, care tehnic este un subdomeniu.
OV SSL
Cel de-al doilea tip de certificat este cunoscut sub denumirea de certificat de validare organizație (OV) SSL. OV SSL-urile necesită un proces de validare mai riguros pentru a fi emise și, prin urmare, sunt mai costisitoare și durează mai mult până sunt emise. Proprietatea unui domeniu este verificată prin validarea acreditărilor organizaționale actuale, cum ar fi verificarea adresei fizice a unei afaceri cât și a datelor de identificare ale acesteia în baze de date guvernamentale. Aceste certificate vor conține informații care să ateste că sunt certificate SSL OV în detaliile acestora cum ar fi cele utilizate de Wikipedia afișate mai jos, dar altfel vor afișa același lacăt verde în bara de adrese, la fel ca SSL-urile DV. Scopul SSL-urilor OV este de a stabili faptul că serverul cu care comunică browserul dvs este cine pretinde că este, ci și faptul că aparține organizației actuale care rulează site-ul web.
EV SSL
Deoarece majoritatea browserelor nu oferă o diferențiere vizuală în bară de adrese între SSL-urile DV și OV și astfel nu indică în mod clar faptul că site-urile care utilizează SSL-urile OV sunt cele mai de încredere, a fost dezvoltat un alt tip de SSL. Acest tip este cunoscut sub numele de Certificatul SSL cu validare extinsă (EV) și implică un proces de verificare și mai riguros decât SSL OV. Pe lângă demonstrarea identității juridice și a locației fizice a organizației sau a întreprinderii, se stabilește autoritatea persoanei care controlează site-ul si acționează în numele organizației având drept de semnătură. Site-urile web cu acest tip de SSL instalat vor afișa numele entității juridice în bara de adrese a browserului, la fel ca în cazul NAV Communications în imaginea de mai jos. EV SSL-urile tind să fie foarte scumpe și sunt, în general, utilizate numai de corporații mai mari în cazul cărora browse-ele vor demonstra clar că acestea sunt în spatele site-ului, și nu altcineva.
Este important să rețineți că scopul certificatelor SSL este acela de a stabili identitatea serverului, organizației sau a afacerii ce conduc site-ul web. Ele sunt pentru stabilirea încrederii, sau autenticității descrise mai devreme. În timp ce procesul de verificare crește în materie de dificultate între SSL-urile DV, OV și EV, acestea nu ar trebui să fie interpretate că și diferite în nivelul de criptare.
Industria providerilor de SSL-uri
CA-urile sunt adesea denumite furnizor SSL în industria de găzduire web și aveți multe locuri de unde să alegeți. Fiecare furnizor SSL oferă unul sau mai multe dintre cele trei tipuri de certificare SSL de baza descrise mai sus. Mulți furnizori oferă, de asemenea, certificate multi-domeniu și certificate de tip „wildcard”, ceea ce înseamnă că un SSL este valabil pentru toate subdomeniile unui domeniu, cum ar fi blog.example.com, store.example.com și așa mai departe.
Majoritatea furnizorilor SSL garantează sume mari de bani pentru certificatul SSL pe care îl eliberează. Aceste garanții sunt de fapt pentru vizitatorii site-ului, nu pentru proprietar. Deoarece certificatele SSL au rolul de a certifica identitatea proprietarului site-ului, astfel încât vizitatorii să poată avea încredere că traficul lor către website nu a fost interceptat, scopul acestor garanții fiind acela de a acoperi costul pe care un vizitator l-ar putea pierde dacă efectuează tranzacții pe un site fraudulos care a fost validat incorect de către furnizor.
Cititorii ar trebui să rețina că asta nu înseamnă că un site cu SSL nu poate face afaceri frauduloase. Pur și simplu înseamnă că un CA a validat cumva indentitatea proprietarului, de obicei prin email, confirmând controlul asupra domeniului. Garanțiile sunt valabile numai dacă un vizitator a pierdut bani pe un site validat incorect. Deoarece validarile incorecte nu se întâmplă niciodată, garanțiile SSL sunt, in general, decât marketing.
În ceea ce privește browserele, un certificat emis de un furnizor de servicii SSL de încredere este la fel de valabil că cel eliberat de un alt furnizor de servicii SSL. Dar asta nu înseamnă neapărat că ar trebui să mergeți cu cea mai ieftină, disponibilă din orice colț aleatoriu al internetului. CA-urile sunt într-adevăr veriga slabă în sistemul de securitate web. Sau că unul dintre ei este compromis, încrederea pe care noi (sau browserele noastre) o punem în ele va fi subminată.
Atacatorii care au compromis o CA sunt capabili să emită certificate false, ceea ce le permite să se deghizeze în orice nume de domeniu și să îl prezinte că fiind autentic. Iar în acest caz vor fi capabili să vă intercepteze traficul, acest lucru nefiind foarte dificil și, bineînțeles, a mai fost făcut când a fost emis un certificat fals pentru *.google.com și folosit pentru a intercepta traficul cetățenilor iranieni.
Că regulă generală, trebuie să cumpărați certificatul dvs SSL de la unul dintre furnizorii mai mari și mai cunoscuți, unde securitatea internă va face toată diferența. De asemenea, nu ar trebui să alegeți un furnizor dintr-o țară al cărui guvern să îl oblige pe acesta să emită certificate false în scopul supravegherii, ceea ce se întâmplă aproape sigur în zilele noastre.
Comentarii