An ninh là một yếu tố cực kỳ quan trọng trong sự thành công của bất kỳ trang web nào. Điều này đặc biệt đúng với các trang web cần thu thập PIA hoặc "thông tin nhận dạng cá nhân", từ khách truy cập. Hãy suy nghĩ về một trang web yêu cầu bạn nhập số an sinh xã hội hoặc phổ biến hơn, một trang web thương mại điện tử mà bạn cần thêm thông tin thẻ tín dụng vào để hoàn tất giao dịch mua của mình. Trên các trang web như thế này, bảo mật không chỉ được mong đợi từ những khách truy cập đó, nó là điều cần thiết để thành công.
Khi bạn xây dựng trang web thương mại điện tử, một trong những điều đầu tiên bạn cần thiết lập là chứng chỉ bảo mật để dữ liệu máy chủ của bạn sẽ được bảo mật. Khi bạn thiết lập điều này, bạn có tùy chọn tạo chứng chỉ tự ký hoặc tạo chứng chỉ được cơ quan cấp chứng chỉ phê duyệt. Chúng ta hãy xem xét sự khác biệt giữa hai cách tiếp cận này với các chứng chỉ bảo mật trang web.
Sự tương đồng giữa các chứng chỉ đã ký và tự ký
Cho dù bạn có được chứng chỉ của mình được ký bởi một tổ chức phát hành chứng chỉ hay tự ký tên, có một điều giống hệt nhau trên cả hai:
- Cả hai chứng chỉ sẽ tạo một trang web không thể đọc được bởi bên thứ ba. Dữ liệu được gửi qua kết nối HTTPS hoặc SSL sẽ được mã hóa bất kể chứng chỉ được ký hoặc tự ký.
Nói cách khác, cả hai loại chứng chỉ sẽ mã hóa dữ liệu để tạo một trang web an toàn. Từ góc độ bảo mật kỹ thuật số, đây là bước 1 của quy trình.
Tại sao bạn phải trả một cơ quan chứng nhận
Cơ quan cấp chứng chỉ cho khách hàng biết rằng thông tin máy chủ này đã được xác minh bởi một nguồn đáng tin cậy và không chỉ là công ty sở hữu trang web. Về cơ bản, có một công ty bên thứ 3 đã xác minh thông tin bảo mật.
Cơ quan cấp chứng chỉ được sử dụng phổ biến nhất là Verisign. Tùy thuộc vào CA nào được sử dụng, miền được xác minh và chứng chỉ được cấp. Verisign và các CA đáng tin cậy khác sẽ xác minh sự tồn tại của doanh nghiệp được đề cập và quyền sở hữu tên miền để cung cấp bảo mật hơn một chút cho trang web được đề cập là hợp pháp.
Vấn đề với việc sử dụng chứng chỉ tự ký là gần như mọi trình duyệt web đều kiểm tra rằng kết nối https được ký bởi một CA được nhận diện. Nếu kết nối được tự ký, điều này sẽ bị gắn cờ là có khả năng rủi ro và thông báo lỗi sẽ bật lên khuyến khích khách hàng của bạn không tin tưởng trang web, ngay cả khi thực sự, an toàn.
Sử dụng chứng chỉ tự ký
Vì chúng cung cấp sự bảo vệ giống nhau, bạn có thể sử dụng chứng chỉ tự ký ở bất cứ nơi nào bạn sử dụng chứng chỉ đã ký, nhưng một số địa điểm hoạt động tốt hơn những người khác.
Chứng chỉ tự ký là rất tốt cho các máy chủ thử nghiệm . Nếu bạn đang tạo trang web mà bạn cần kiểm tra qua kết nối https, bạn không phải trả tiền cho chứng chỉ đã ký cho trang web phát triển đó (có khả năng là tài nguyên nội bộ). Bạn chỉ cần nói với người thử nghiệm rằng trình duyệt của họ có thể bật thông báo cảnh báo.
Bạn cũng có thể sử dụng chứng chỉ tự ký cho các tình huống yêu cầu quyền riêng tư nhưng mọi người có thể không quan tâm. Ví dụ:
- Biểu mẫu tên người dùng và mật khẩu
- Thu thập thông tin cá nhân, nhưng không mang tính tài chính của PIA, thông tin
- Trên các biểu mẫu trong đó người dùng duy nhất là những người biết và tin tưởng bạn, như một công ty Intranet
Những gì nó đi xuống là sự tin tưởng. Khi bạn sử dụng một chứng chỉ tự ký, bạn đang nói với khách hàng của bạn "tin tưởng tôi - tôi là người tôi nói tôi." Khi bạn sử dụng một chứng chỉ được ký bởi một CA, bạn đang nói, "Hãy tin tôi - Verisign đồng ý tôi là người tôi nói tôi." Nếu trang web của bạn mở cửa cho công chúng và bạn đang cố gắng kinh doanh với họ, thì sau đó là một lập luận mạnh mẽ hơn để thực hiện.
Nếu bạn đang thực hiện thương mại điện tử, bạn cần chứng chỉ đã ký
Có thể khách hàng của bạn sẽ tha thứ cho bạn chứng chỉ tự ký nếu tất cả họ sử dụng nó là đăng nhập vào trang web của bạn, nhưng nếu bạn yêu cầu họ nhập thông tin thẻ tín dụng hoặc Paypal của họ, thì bạn thực sự cần ký chứng chỉ. Hầu hết mọi người tin tưởng vào các chứng chỉ đã ký và sẽ không hoạt động trên máy chủ HTTPS mà không có một chứng chỉ. Vì vậy, nếu bạn đang cố bán một thứ gì đó trên trang web của mình, hãy đầu tư vào chứng chỉ đó. Đó là một phần của chi phí kinh doanh và tham gia vào bán hàng trực tuyến.
Bài báo gốc của Jennifer Krynin. Biên tập bởi Jeremy Girard.