Jak możemy chronić swoje dane w sieci?
Żyjemy w czasach, gdy kwestia ochrony danych osobowych w cyberprzestrzeni jest coraz bardziej skomplikowana. Im bardziej wzrasta świadomość użytkowników na ten temat, tym bardziej wyszukane sposoby na kradzież danych znajdują hakerzy. Dbanie o ochronę danych powinno być obowiązkiem każdego z nas, ponieważ przynosi wymierne skutki w skali globalnej. Każdy jest przecież w jakiś sposób „powiązany” z ogromną liczbą innych ludzi. Wystarczy, że mamy ich na liście adresów mailingowych lub w kontaktach w mediach społecznościowych. Istnieje szereg sposobów na ochronę danych. Jednym z nich jest dwuetapowa weryfikacja, o czym pisaliśmy w naszym wcześniejszym artykule. Innym (i właściwie podstawowym) – dobry certyfikat SSL dla domeny. Ile jest typów certyfikatów i czym się różnią? O tym przeczytasz poniżej.
Rola certyfikatu SSL na stronie internetowej.
Patrząc na to z perspektywy właściciela strony internetowej, zabezpieczenie witryny sprawdzonym i zaufanym certyfikatem jest sprawą kluczową. Daje poczucie ochrony jemu samemu, ale też wszystkim tym, którzy odwiedzają jego stronę. Dziś zwłaszcza ci, którzy dokonują zakupów przez internet – czyli zdecydowana większość – oraz osoby korzystające ze stron i aplikacji bankowych – czyli niemal wszyscy – zwracają coraz większą uwagę na to, by strona była zabezpieczona. Czy to znaczy, że zanim się na niej zalogują lub wprowadzą dane swojej karty płatniczej, sprawdzają w adresie URL stan ochrony domeny? Raczej mało prawdopodobne. Wystarczy, że widzą zamkniętą kłódkę w pasku adresu, ufają bowiem, że taka informacja gwarantuje, że strona, na którą wchodzą (zwykle też nie po raz pierwszy), jest chroniona dobrze. Jakkolwiek certyfikaty płatne, których oferta na rynku jest obszerna, nie budzą wątpliwości wśród użytkowników, tak te darmowe mogą już skłaniać do tego, żeby nie zostawiać swoich danych na stronach, które z nich korzystają. Jest to sprawa, nad którą warto się pochylić, skoro ataki hakerskie są coraz bardziej zuchwałe. A pamiętajmy, że w dalszym ciągu wielu właścicieli stron www korzysta z darmowych certyfikatów. Jakkolwiek w powszechnej opinii uchodzą one za wystarczające, to pamiętajmy, że za płatnymi certyfikatami stoją zaufane, wielkie instytucje certyfikujące (CA), które dają gwarancję w wypadku zaistnienia jakiegoś incydentu. Opcje bezpłatne ich nie mają. W dobie nieustannych prób hakerów, by przechwycić dane użytkowników stron internetowych, pewność, że certyfikat jest niezawodny wydaje się być zatem nieoceniona. Taką pewność powinni mieć nie tylko właściciele dużych portali czy sklepów, ale każdy, kto ma nawet skromną, podstawową stronę www. Zwłaszcza, jeśli gromadzi dane użytkowników, na przykład poprzez możliwość rejestracji na stronie lub dokonywania transakcji zakupowych. Jak zatem o to zadbać?
Typy certyfikatów.
W zależności od tego, jak duża jest dana witryna oraz jakie cele ma spełniać i jakie dane użytkowników gromadzić, a także czy mamy tylko jedną domenę, czy więcej, potrzebny będzie odpowiedni i dopasowany do niej certyfikat. Rozróżniamy kilka ich rodzajów. W kwestii poziomu weryfikacji właściciela domeny istnieją certyfikaty: DV – Domain Validation, OV – Organization Validation i EV – Extended Validation. Najpopularniejszym jest DV z racji tego, że zdecydowana większość stron internetowych należy do mniejszych podmiotów lub do osób prywatnych, a do weryfikacji domeny wystarczy tylko potwierdzenie, że jesteśmy jej właścicielami. Dwa pozostałe certyfikaty mają bardziej wnikliwą weryfikację – jeśli stronę prowadzi firma (OV) lub organizacja rządowa czy korporacja bankowa (EV).
Biorąc pod uwagę wielkość i rozbudowanie struktury danej witryny, wyróżniamy certyfikaty dla jednej domeny oraz dla wielu domen i dla domeny z subdomenami. W ofercie Forpsi odpowiadają im kolejno: DV SSL, DV SSL SAN i DV SSL Wildcard.
Najbardziej rozpoznawanymi na świecie certyfikatami są Rapid SSL, GeoTrust, podlegające amerykańskiej instytucji certyfikującej DigiCert. Na naszym rodzimym rynku europejskim prym wiedzie firma Actalis, rozpoznawalna i posiadająca klientów na całym świecie. Należy ona do grupy Aruba, która jest jedną z naszych marek. W wyniku tej kooperacji Actalis oferuje nie tylko certyfikaty, ale w ogóle kompleksowe usługi w obszarze „digital trust”. Certyfikaty wszystkich trzech wymienionych firm certyfikujących znajdują się w ofercie Forpsi, ale porównując zakres i funkcje każdego z nich z jego ceną, najbardziej atrakcyjna jest niewątpliwie oferta Actalis.
Czy trzeba płacić za certyfikat?
Ktoś może poddać w wątpliwość czy jest sens płacić za certyfikat, gdy dostępne są również rozwiązania bezpłatne. Są nimi na przykład certyfikaty Let’s Encrypt lub Sectigo. Zasadniczo uchodzą one za bezpieczne, a ich implementacja jest stosunkowo prosta i możliwa z poziomu panel kontrolnego (cPanel) lub administracyjnego (DirectAdmin). Czasem też firma, u której mamy hosting, oferuje własny certyfikat, który instaluje automatycznie.
Jak już jednak zauważyliśmy, istnieje kilka aspektów, które odróżniają darmowe certyfikaty od tych płatnych. Dodatkowo należy pamiętać, że bezpłatne certyfikaty nie oferują rozszerzonej weryfikacji witryny (OV, EV) i nie dają też gwarancji właścicielom stron www w przypadku, gdy w wyniku jakiejś awarii lub włamania na stronę przestają one chronić domenę. Może i jest to mało prawdopodobne, ale jednak precedens już miał miejsce. Pamiętajmy, że darmowe certyfikaty powinny się odnowić automatycznie. W przypadku Let’s Encrypt jest to standardowo okres 90 dni od czasu jego instalacji na stronie. W tej automatyzacji również możemy dopatrywać się cienia zagrożenia, bo zapewne niewielu z nas znajdzie czas (o ile w ogóle będziemy o tym pamiętać), aby w odpowiedniej chwili skontrolować stan certyfikatu na naszej stronie. Poza tym koszty dobrych i sprawdzonych certyfikatów – zwłaszcza firmy Actalis – wcale nie muszą być wysokie, więc czy nie warto zainwestować tak niewiele, ale mieć spokojną głowę?