Certyfikat SSL gwarantuje poufność transmisji danych oraz potwierdza wiarygodność podmiotu, który się nim posługuje. Zielony symbol kłódki informuje nas, że tożsamość właściciela strony WWW została dokładnie zweryfikowana przez wydawcę certyfikatu, a cała komunikacja między przeglądarką, a serwerem jest szyfrowana.
Technologia SSL/TLS używana jest do zabezpieczania transmisji w Internecie. Mechanizm ten gwarantuje poufność i integralność przesyłanych danych oraz zapewnia dodatkową warstwę weryfikacji tożsamości podmiotu, dla którego został wystawiony.
Certyfikaty SSL są powszechnie używane w systemach bankowości elektronicznej, sklepach internetowych, portalach i stronach WWW, czyli wszędzie tam gdzie podajemy i przetwarzamy wrażliwe informacje, takie jak loginy i hasła, dane osobiste czy numery kart kredytowych. SSL zapewnia bezpieczeństwo transakcji oraz wzmacnia wiarygodność firmy i zaufanie jej klientów.
Na rynku działa wielu wystawców oferujących całą gamę certyfikatów SSL skierowanych dla różnych grup odbiorców. Certyfikaty te różnią się od siebie przeznaczeniem, funkcjonalnością oraz sposobem ich wydawania. Znaczący wpływ na cenę certyfikatu ma prestiż podmiotu, który go wystawił.
Marka Verisign jest świetnie rozpoznawalna na całym świecie, a wydawane przez nią certyfikaty cieszą się największym uznaniem i wiarygodnością. Jednocześnie za certyfikat wystawiony przez Verisign w niektórych przypadkach musimy zapłacić nawet kilkukrotnie więcej, niż za analogiczny certyfikat wydany przez mniej znane centrum certyfikacji.
Typy walidacji
Technologia SSL wprowadza odrobinę zamieszania, samo bowiem użycie certyfikatu cyfrowego do zabezpieczenia strony internetowej nic nie mówi nam o jej właścicielu. W jaki sposób wydawca certyfikatu zweryfikował podmiot, dla którego został wystawiony „elektroniczny dokument tożsamości”?
„Klienci mogą wybierać spośród trzech typów certyfikatów SSL różniących się poziomem walidacji (weryfikacji) podmiotu, dla którego wydawany jest certyfikat. Są to certyfikaty z weryfikacją domeny, z weryfikacją właściciela certyfikatu oraz z rozszerzoną weryfikacją właściciela certyfikatu. Wyższy poziom walidacji oznacza wyższą cenę samego certyfikatu, dłuższy czas oczekiwania na jego wystawienie oraz konieczność dostarczenia dodatkowych dokumentów potwierdzających istnienie firmy” – mówi Michał Trziszka, CEO Cal.pl.
Czy warto? O tym za chwilę.
Na początek przyjrzymy się bliżej każdej z tych metod walidacji:
- certyfikat z weryfikacją domeny, Domain Validation (DV) – walidacja podmiotu, dla którego wystawiany jest certyfikat jest zautomatyzowana i polega na zweryfikowaniu danych zawartych we wniosku o wydanie certyfikatu oraz informacji przechowywanych w systemie DNS dla domeny serwera, dla której wydawany jest certyfikat. Wydawca certyfikatu nie weryfikuje danych organizacji. Certyfikaty typu Domain Validation kosztują najmniej i wystawiane są w kilka minut. W takim certyfikacie zawarta jest jedynie nazwa domeny, bez informacji o podmiocie, dla którego został on wystawiony.
- certyfikat z weryfikacją właściciela certyfikatu, Full Organization Validation (OV) – oprócz weryfikacji danych zawartych w systemie DNS wydawca przeprowadza walidację podmiotu, dla którego wystawiany jest certyfikat. Certyfikat tego typu potwierdza, że podmiot który się nim posługuje, istnieje oraz jest właścicielem serwisu, który został pod nim udostępniony. Wraz z wnioskiem o wydanie certyfikatu należy złożyć dokumenty rejestrowe firmy. Nazwa firmy zostanie wpisana do certyfikatu. Umożliwia zabezpieczenie jednej lub większej liczby domen.
- certyfikat z rozszerzoną weryfikacją właściciela certyfikatu, Extended Validation (EV) – gwarantuje, że podmiot, który się nim posługuje, przeszedł złożony, trójstopniowy proces weryfikacji. W trakcie wydawania certyfikatu EV sprawdzane jest prawo do posługiwania się domeną, dane rejestrowe firmy, czy umowy spółki. Dane te są weryfikowane w trakcie rozmowy telefonicznej. W przypadku firm działających krócej niż trzy lata dokonywana jest dodatkowa weryfikacja. Sprawdzane jest m.in. czy firma posiada rachunek bankowy. Kryteria wydawania certyfikatów typu EV oraz metody walidacji definiowane są przez CA/Browser Forum.
Który dla kogo?
Certyfikaty SSL skierowane są dla różnych grup odbiorców oraz różnych zastosowań. Certyfikaty z weryfikacją domeny doskonale nadają się do zabezpieczania transmisji danych, gdy obie strony ufają sobie nawzajem. Tego typu certyfikat potwierdza jedynie, że dana strona jest bezpieczna, nie mówi jednak niczego o jej wydawcy. Zaletą certyfikatów Domain Validation jest jednak niska cena oraz w pełni zautomatyzowany, szybki proces ich wystawiania.
W przypadku certyfikatu SSL z weryfikacją właściciela certyfikat urząd certyfikujący gwarantuje, że podmiot, który się nim posługuje, jest właścicielem domeny oraz serwisu internetowego, który pod nią działa. Certyfikat typu Organization Validation jest nieco droższy niż DV, a jego wydanie trwa od 1-2 dni i wymaga dostarczenia dokumentów rejestrowych firmy.
Certyfikat z weryfikacją właściciela to podstawowy certyfikat dla sklepów internetowych, stron WWW i portali. Zapewnia bezpieczeństwo transmisji danych oraz zwiększa wiarygodność i zaufanie do firmy, która się nim posługuje. Dane firmy są zawarte w certyfikacie.
Cechą charakterystyczną stron zabezpieczonych certyfikatem Extended Validation (EV) jest zielony pasek adresu przeglądarki internetowej. Dodatkowo, na pasku pojawia się nazwa firmy, dla której wystawiony został certyfikat.
Certyfikat typu EV gwarantuje, że tożsamość właściciela serwisu została dokładnie zweryfikowana. Zielony pasek adresu jest łatwo zauważalny i dobrze rozpoznawalny przez większość użytkowników. Certyfikat z rozszerzoną weryfikacją właściciela wzmaga zaufanie klientów, co przekłada się na wyższe wyniki sprzedaży. I co ważne - najtańsze certyfikaty EV dostępne są już za mniej niż tysiąc złotych.
Tak więc opcja ta nie jest zarezerwowana tylko dla największych firm, sklepów internetowych i banków.
Jak wybrać certyfikat?
Oferta certyfikatów SSL obejmuje certyfikaty w cenie od kilkudziesięciu złotych do kilku tysięcy. Funkcjonalność certyfikatów wynika z:
- poziomu wiarygodności określonego przez złożoność procesu walidacji (certyfikaty typu DV, OV, EV) oraz prestiżu i rozpoznawalności marki wydawcy certyfikatu,
- procedury wystawiania certyfikatu, a w tym liczby dokumentów, które należy przekazać wydawcy oraz czasu potrzebnego na wystawienie certyfikatu,
- gwarancji finansowych podmiotu certyfikującego,
- sposobu reprezentacji w przeglądarce internetowej, zielony pasek dla certyfikatów EV,
- okresu ważności, certyfikaty wydawane są na okres od 1 do 5 lat,
- liczby obsługiwanych domen, dla jednej domeny lub domeny i jej subdomen (certyfikaty typu wildcard),
- liczby informacji zawartych w certyfikacie,
- opcji dodatkowych takich jak pieczęć wydawcy, wsparcia dla Server-Gated Cryptography (SGC, wymusza użycie co najmniej 128-bitowego szyfrowania transmisji danych) itp.
Typowy certyfikat SSL zapewnia szyfrowanie z siłą 128 lub 256 bitów oraz kompatybilność ze zdecydowaną większością dostępnych na rynku przeglądarek internetowych. Proces weryfikacji danych zawartych w certyfikacie wymaga, aby urząd wydający certyfikat był znany (zaufany) dla przeglądarki.
Wydanie certyfikatu typu Domain Validation jest zautomatyzowane i trwa kilka minut. Nieco dłużej trwa uzyskanie certyfikatów wymagających weryfikacji podmiotu. W przypadku certyfikatów Organization Validation trwa to zazwyczaj 1 – 2 dni, natomiast dla certyfikatów Extended Validation od kilku do 10 dni.
Kwota gwarancji określa poziom odpowiedzialności wydawcy certyfikatu w przypadku wydania certyfikatu na nieprawidłowe dane (niepoprawna weryfikacja podmiotu), gdy certyfikat zostanie nieprawidłowo unieważniony, czy też zostanie złamany jego klucz. Warunki gwarancji różnią się w zależności od wydawcy. W przypadku najdroższych certyfikatów ich poziom gwarancji sięga nawet 1,5 miliona dolarów.
Certyfikat wydawany jest dla pojedynczej domeny np. przyklad.waw.pl. Jednocześnie na rynku dostępne są certyfikaty typu wildcard, które mogą być zainstalowane dla wielu subdomen serwera np. www.przyklad.waw.pl. Certyfikaty tego typu mają nieco wyższą cenę i nie są dostępne dla certyfikatów z weryfikacją domeny.
Wydawcy certyfikatów
W Internecie funkcjonuje wiele firm zajmujących się wystawianiem certyfikatów SSL, choć sam rynek jest mocno skonsolidowany. Najbardziej znanym wydawcą jest Verisign (należy do Symanteca), który wraz ze spółkami zależnymi Thawte i GeoTrust posiada większość udziałów w tym rynku. Ten ostatni sprzedaje także niskobudżetowe certyfikaty SSL pod marką RapidSSL.
Inni wystawcy certyfikatów SSL to m.in. Comodo, GoDaddy, TrustWave i Network Solutions, a w Polsce Unizeto Technologies (CERTUM).
Certyfikat zamówimy bezpośrednio u wydawcy certyfikatu lub pośredników (resellerów). Duży udział w sprzedaży certyfikatów SSL mają dostawcy usług hostingowych, którzy bez dodatkowych opłat zainstalują certyfikat na wykupionym serwerze WWW. Do zainstalowania certyfikatu wymagany jest stały adres IP serwera.
Decyzja
Większość kupujących w sieci zwraca szczególną uwagę na bezpieczeństwo transakcji. Certyfikat SSL wzmaga wiarygodność oraz pomaga budować zaufanie klientów do firmy, co przekłada się na wyższą liczbę odwiedzin i wyniki sprzedaży. W tym kontekście certyfikat SSL jest podstawą każdego e-biznesu, a jego zakup staje się tak samo ważny jak wynajem serwera WWW. Pytanie tylko, jakiego rodzaju certyfikat wybrać?
Podstawowym certyfikatem dla sklepów internetowych, popularnych stron WWW i portali jest certyfikat z weryfikacją właściciela (OV). Jest on nieco droższy niż analogiczny certyfikat z weryfikacją domeny (DV) i wymaga złożenia dodatkowych dokumentów firmy jednak gwarantuje wyższy poziom zaufania. Klienci po kliknięciu symbolu zamkniętej kłódki w treści certyfikatu znajdą informacje o podmiocie, dla którego został on wystawiony.
Coraz większym zainteresowaniem przedsiębiorców działających w Internecie cieszą się certyfikaty typu EV. Wyższa cena oraz bardziej złożony proces weryfikacji nie powinny nikogo zrażać kto na poważnie myśli o swoim e-biznesie. Zielony pasek w przeglądarce jest łatwo zauważalny oraz stanowi silny impuls do dokonania zakupów w danym sklepie internetowym. Ale nie tylko…
Rodzaje certyfikatów
W użyciu znajduje się kilka typów certyfikatów cyfrowych różniących się przeznaczeniem i rolą w systemie zabezpieczeń.
Certyfikaty kwalifikowane służą do składania podpisu kwalifikowanego równoważnego z podpisem odręcznym. Tego typu certyfikaty używane są m.in. w komunikacji z administracją publiczną i są wydawane wyłącznie osobom fizycznym.
Certyfikaty niekwalifikowane (powszechne) przeznaczone są do składania podpisu pod korespondencją e-mail, dokumentami biznesowymi itp. Podpis założony za pomocą certyfikatu niekwalifikowanego nie jest równoważny z podpisem odręcznym, może jednak wywoływać skutki prawne podpisu odręcznego jeśli obie strony komunikacji np. partnerzy biznesowi zawrą stosowne umowy o wykorzystaniu podpisów złożonych za pomocą certyfikatu niekwalifikowanego.
Na rynku dostępne są również certyfikaty specjalne używane w zabezpieczaniu komunikacji VPN, podpisywaniu kodu oprogramowania cyfrowego czy też certyfikaty pełniące funkcje elektronicznego dokumentu tożsamości.
Osobną grupę certyfikatów stanowią certyfikaty SSL przeznaczone do zabezpieczania serwerów WWW i serwerów poczty elektronicznej. Certyfikat SSL pozwala stwierdzić, czy strona internetowa z którą się połączyliśmy jest rzeczywiście tą, za którą się podaje. Certyfikat identyfikuje podmiot, dla którego został wystawiony, a wydawca certyfikatu gwarantuje prawidłowość danych zawartych w certyfikacie.
„Reprezentacja zielonego paska w przeglądarkach Internet Explorer, Chrome i Firefox. Certyfikaty EV są powszechnie używane przez banki, ale ze względu na coraz większą popularność i spadające ceny trafiają także nawet do małych sklepów i portali internetowych. Pieczęć (site seal) dostarcza dodatkowej informacji, że dana strona jest chroniona bezpiecznym certyfikatem SSL. Właściciel certyfikatu może umieścić pieczęć na witrynie głównej serwisu, stronie z płatnościami lub ekranie logowania i tym samy potwierdzić, że prowadzony przez niego serwis jest godny zaufania. Certyfikat typu OV i EV zawiera nazwę podmiotu, dla którego został wystawiony. Po kliknięciu symbolu zamkniętej kłódki dowiemy się także, kto jest wydawcą certyfikatu oraz jakie zabezpieczenia zostały zastosowane” – dodaje Michał Trziszka. ◊