5 faktów i mitów o certyfikatach SSL
Wokół certyfikatów SSL narosło w Polsce wiele niedomówień, powtarzanych w internecie przez mniej doinformowanych użytkowników. Warto jednak z rezerwą podchodzić do niepotwierdzonych opinii, ponieważ rezygnacja z zabezpieczeń witryny może się źle skończyć.
Troska o ochronę stron internetowych należy do standardów biznesowej rzeczywistości, uznawanej na całym świecie za jedno z oczywistych, rutynowych działań. Warto więc na bieżąco weryfikować swoją wiedzę i nie ulegać obiegowym i nie zawsze słusznym opiniom na temat zabezpieczeń. Prezentujemy zestawienie pięciu, najczęściej powtarzanych informacji na temat certyfikatów SSL. Czy opinie te są słuszne?
1. Certyfikaty SSL są zbyt drogie i nieopłacalne
Fałsz. Podobnie jak z wieloma rozwiązaniami z branży IT - takimi jak podpis elektroniczny i rozwiązania w chmurze - również i wobec certyfikatów SSL narosła krzywdząca opinia dotycząca ich ceny i opłacalności. Na kwestie bezpieczeństwa patrzeć należy jak na inwestycję - nie jak na bezzwrotny wydatek. Ośrodki certyfikacyjne oferują klientom wysokiej jakości produkty za rozsądne kwoty, które są w zasięgu finansowym każdej, nawet najmniejszej firmy.
- Podstawowe zabezpieczenie COMMERCIAL SSL, to wydatek roczny rzędu 199 złotych. W praktyce więc, za 16 złotych miesięcznie otrzymujemy całkowite zabezpieczenie szyfrowaniem wszystkich danych osobowych i płatniczych, haseł dostępowych oraz informacji handlowych podawanych na stronach WWW. Opłacalność instalacji certyfikatu jest więc oczywista - precyzuje Mariusz Janczak z firmy Unizeto Technologies SA.
Sceptycy zestawić powinni także poniesione wydatki z kwotą, jaka pojawi się w przypadku skutecznego przejęcia poufnych informacji. Dane z amerykańskiego rynku pokazują, że przeciętna strata w przypadku firm z sektora MŚP wynosi ponad 188 tysięcy dolarów.
2. Certyfikaty SSL to produkt dla wielkich korporacji
Fałsz. Ataki webowe to coraz powszechniejsze zjawisko w sferze mniejszych graczy rynkowych - już 40 proc. ataków hakerskich w 2010 roku wymierzonych było w MŚP. Są one na celowniku z uwagi na niską świadomość oraz powszechność nieefektywnych zabezpieczeń. Okazuje się, że np. 63 proc. firm nie chroni w żaden sposób komputerów wykorzystywanych do bankowości elektronicznej. W świetle przeprowadzonych badań okazuje się, że większość hackerów przeprowadzających ataki na MŚP przechwytuje właśnie numery kart płatniczych oraz dane weryfikacyjne.
3. Uzyskanie certyfikatu jest skomplikowane i czasochłonne
Fałsz, ale... zasady obowiązujące przy uzyskiwaniu certyfikatów są jasne i przejrzyste. Istnieją trzy klasy certyfikatów SSL - DV (ang. Domain Validation; pol. walidacja domeny), OV (ang. Organization Validation; pol. Walidacja organizacji/firmy) i EV (ang. Extended Validation; pol. rozszerzona walidacja).
DV, czyli podstawowy certyfikat, uzyskiwany jest przez klienta w godzinę, po weryfikacji prawa do domeny. Nadanie OV to kwestia 24 godzin, w trakcie których sprawdzana jest tożsamość kupującego oraz dostęp do domeny. Najwyższy poziom ochrony, klasy EV, poprzedzony musi zostać szczegółową, kilkuetapową weryfikacją, która potrwać może do tygodnia.
4. Centra certyfikacyjne nadające SSL nie są sobie równe
Prawda. Instalacja certyfikatu SSL powinna zostać poprzedzona dokładną weryfikacją samego ośrodka certyfikacyjnego. Sprawdzić należy jego wiarygodność - obowiązujące standardy, obiektywne wyznaczniki poziomu ochrony, np. zdobyte pieczęcie typu WebTrust lub wpisanie na światową listę zaufanych Centrów Certyfikacji (CA). Pewnym wyznacznikiem jakości jest także portfolio klientów i otrzymane rekomendacje.
5. Instalacja certyfikatu zależy jedynie od wyboru przedsiębiorcy
Prawda, ale... faktem jest, że decyzja o zabezpieczeniu leży zupełnie w gestii właściciela witryny. Należy jednak mieć na uwadze, że każdy administrator strony, na której użytkownicy podają swoje dane - jak imię, nazwisko, adres, telefon, e-mail czy numer IP - zgodnie z Ustawą o ochronie danych osobowych ma obowiązek chronienia ich przed nieuprawnionym dostępem lub przechwyceniem, np. poprzez certyfikat SSL. Z ustawowego obowiązku powinni wywiązywać się przede wszystkim właściciele e-sklepów.
