Certyfikaty SSL w e-handlu

Certyfikaty SSL to rozwiązanie dla właścicieli sklepów internetowych i stron WWW, którzy chcą zapewnić swoim klientom bezpieczeństwo podczas czynności wykonywanych w sieci, w tym podczas robienia zakupów. Stanowią podstawę ochrony danych osobowych i transakcji online.

Podczas czynności wykonywanych w sklepach internetowych przesyłanych jest wiele danych. Są nimi nie tylko imię i nazwisko oraz informacje teleadresowe, numery kart kredytowych, numery NIP czy PESEL, ale także numery kont bankowych. Dane te podają klienci e-sklepu, np. podczas wypełniania formularza kontaktowego czy dokonywania płatności. Ich ochrona należy do obowiązku właściciela sklepu internetowego. Bez odpowiedniego zabezpieczenia dane te przesyłane są do serwera przez sieć otwartym tekstem, który stosunkowo łatwo jest pochwycić.

Obecnie podstawowym, najprostszym i najpewniejszym sposobem weryfikacji witryny lub e-sklepu jest certyfikat SSL.

Brak ochrony przesyłanych informacji można porównać do procesu płacenia kartą kredytową w e-sklepie, podczas którego podajemy wszystkim innym kupującym: jaki jest numer, data ważności oraz kod CVS karty umożliwiający zrealizowanie transakcji. A to pozwala osobom postronnym dowolnie korzystać ze środków na niej zgromadzonym – mówi Mariusz Janczak, Koordynator Marketingu Produktowego Unizeto Technologies SA.

Certyfikat SSL

W 1994 roku firma Netscape stworzyła protokół Secure Socket Layer (SSL). Jego przeznaczeniem była bezpieczna transmisja zaszyfrowanego strumienia danych. Prosty w obsłudze i instalacji oraz skuteczny w ochronie, szybko znalazł zastosowanie w transakcjach przeprowadzanych w bankowości elektronicznej, aukcjach internetowych oraz systemach płatności online.

Certyfikat SSL to protokół sieciowy używany do bezpiecznych połączeń internetowych. Jest jednym z najpowszechniejszych sposobów ochrony transmisji danych w internecie – obecnie to standard szyfrowania na stronach internetowych. Za jego pomocą odbywa się mechanizm wymiany danych między e-sklepem a urządzeniem klienta. Proces ten jest w dużej mierze zautomatyzowany – użytkownicy w żaden sposób go nie odczuwają. Nawiązanie szyfrowanego połączenia pomiędzy serwerem a łączącym się z nim urządzeniem użytkownika umożliwia zastosowanie technologii kryptograficznych oraz certyfikatów klucza publicznego, a więc certyfikatów SSL.

Protokół SSL gwarantuje bezpieczeństwo przesyłanych danych poprzez wykorzystanie technologii Infrastruktury Klucza Publicznego (PKI). W trakcie nawiązywania połączenia tworzony jest klucz symetryczny (tzw. klucz sesyjny), który jest następnie wykorzystany do zabezpieczenia wymiany danych pomiędzy stronami w ramach utworzonej sesji. W przypadku zastosowania połączeń szyfrowanych za pomocą zabezpieczonego certyfikatu SSL, nikt nie ma możliwości pozyskania przesyłanych danych.

Nie tylko bezpieczeństwo

Przedsiębiorca, który inwestuje w certyfikat SSL dla swojego e-sklepu przede wszystkim pokazuje, że bezpieczeństwo transakcji dokonywanych na swojej witrynie WWW traktuje poważnie i chroni swoją działalność na każdym etapie. Co więcej, jawnie i zupełnie bezpiecznie potwierdza swoją tożsamość w sieci, a więc zapewnia osłonę przed nadużyciem ze strony oszustów. Innymi słowy, potwierdza, że dana domena należy tylko do niego. Dba również o to, aby dane przekazywane w trakcie użytkowania witryny nie zostały przechwycone i wykorzystane przez osoby niepowołane i buduje swój wizerunek i zaufanie do marki wśród klientów.

Z kolei użytkownik korzystający z zabezpieczonej strony ma pewność, że przesyłane informacje nie trafią w niepowołane ręce, dlatego spokojnie na takiej stronie może dokonywać zakupów bądź wypełniać różnego typu  formularze. Dzięki zastosowaniu certyfikatu SSL potwierdza wiarygodność strony WWW lub e-sklepu, a przy bardziej zaawansowanych certyfikatach EV – także całej firmy.

Według raportu „Bezpieczny eSklep 2012”, opracowanego przez Unizeto Technologies, o bezpieczeństwo danych generowanych w e-sklepie dbało 26% badanych. Raport wykazał, że aż 98% ankietowanych potwierdziło, że zwraca uwagę na bezpieczeństwo w sklepie internetowym.

Warto wspomnieć, że wszystkie zaufane instytucje, jak banki czy przedsiębiorstwa, a także portale aukcyjne i duże sklepy internetowe (Amazon, eBay) stosują szyfrowanie SSL. Należy dodać, że chroniąc dane przesyłane drogą elektroniczną czy potwierdzając wiarygodność stron internetowych (serwerów WWW), przedsiębiorca wypełnia obowiązek związany z ochroną transmisji danych osobowych, jaki na właścicieli stron WWW nakłada Ustawa o ochronie danych osobowych (DzU z 2002 Nr 101, poz. 926, ze zm.). Certyfikat SSL jest uznawany przez Generalny Inspektor Ochrony Danych Osobowych (GIODO) jako narzędzie służące do ochrony transmisji danych osobowych.

Wybór odpowiedniej ochrony dla biznesu

Decydując się na certyfikat SSL dla e-sklepu należy wziąć pod uwagę kilka istotnych czynników. Pierwszym z nich jest poziom ochrony odpowiedniej dla wielkości internetowego serwisu czy e-sklepu. Istotna jest też długość procesu weryfikacji danych dla firmy ubiegającej się o certyfikat. Zbyt długi proces przyznawania certyfikatu może bowiem spowodować znaczne opóźnienia w uruchomieniu e-sklepu. Nie należy też przy tym zapominać o cenie wybranego certyfikatu SSL, liczbie adresów WWW, jakie mają być objęte szyfrowaniem SSL oraz o sposobie prezentacji informacji w przeglądarce o certyfikacie SSL chroniącym daną stronę WWW.

W roku 2008 na świecie ponad 3 000 000 serwerów i stron WWW posługiwało się certyfikatami SSL, jednak zgodnie z badaniami przeprowadzonymi przez firmę NetCraft (www.netcraft.com) tylko około 1/3 z nich uznano za bezpieczne i wiarygodne. Pozostałe certyfikaty SSL nie posiadały odpowiedniego poziomu zabezpieczeń kryptograficznych lub pochodziły od niezidentyfikowanych wydawców.

Oczywiście istotne jest też to, czy uzyskany certyfikat SSL jest zaufany. Za zaufany uznaje się certyfikat SSL wydany zgodnie z globalnie przyjętym standardem WebTrust. WebTrust to zbiór „dobrych praktyk” w zakresie działalności związanej z bezpieczeństwem informacji oraz świadczeniem usług certyfikacyjnych. W Polsce jako jedyne zaufane, a więc zgodne ze standardem WebTrust certyfikaty SSL wydaje CERTUM Powszechne Centrum Certyfikacji.

Warto podkreślić, że standard WebTrust jest wymagany przez właścicieli przeglądarek do umieszczenia głównych świadczeń certyfikacyjnych centrum certyfikacji takiego jak Certum. Dzięki niemu wszystkie certyfikaty SSL są automatycznie rozpoznawane jako zaufane i nie pojawia się wtedy komunikat o niezaufanym dostawcy certyfikatu SSL. Gdy certyfikat wydany jest przez nieznane centrum certyfikacji przed połączeniem pojawia się komunikat z ostrzeżeniem o braku zaufania i pytaniem, czy mimo to użytkownik chce nawiązać to połączenie. Inna korzyścią z uzyskania zaufanego certyfikatu jest uwiarygodnienie zabezpieczonych serwerów i witryn WWW.

Jak zakupić certyfikat SSL?

Zakup Certyfikatu SSL składa się z następujących czynności:

Wybór w e-sklepie rodzaju certyfikatu i dodanie go do koszyka.

• Złożenie zamówienia.
• Wypełnienie danych sprzedażowych (dane do faktury, adres wysyłki).
• Wybór formy płatności (tradycyjny bądź przez Internet) i dokonanie płatności.

Aktywacja certyfikatu.

• Zalogowanie się do systemu generowania Certyfikatu SSL.
• Podanie tak zwanego CSR – żądania podpisania certyfikatu, wygenerowanego przez CSR na stronie lub serwer, na którym będzie zainstalowany Certyfikat SSL.
• Weryfikacja domeny poprzez umieszczenie znaczników META bądź pliku HTML na stronie. Wszystko, by sprawdzić czy osoba kupująca certyfikat, ma faktycznie do niej dostęp.

W zależności od typu certyfikatu, dosłanie dokumentów potwierdzających tożsamość oraz /lub dokumentów potwierdzających powiązanie z firmą.

Otrzymanie certyfikatu na adres e-mail nastąpi po weryfikacji wszystkich nadesłanych danych przez CERTUM PCC.

Trzy klasy certyfikatów SSL

• DV (ang. Domain Validation;  pol. walidacja domeny)
• OV (ang. Organization Validation; pol. walidacja organizacji/firmy)
• EV (ang. Extended Validation; pol. rozszerzona walidacja)

*w wypadku rocznej usługi w Unizeto Technologies