Jaki certyfikat SSL wybrać?
Certyfikaty SSL są obecnie standardowym zabezpieczeniem dla stron czy sklepów internetowych. Jednak szukając odpowiedniego certyfikatu dla swojej strony, możemy natknąć się na wiele ofert. Różnią się nie tylko cenami, ale także rodzajami weryfikacji, którą zapewniają. Nie warto więc kierować się ceną. Dla jednych stron wystarczy podstawowy certyfikat, dla innych będziemy potrzebować certyfikatu z większą siłą szyfrowania.
Do czego służy certyfikat SSL?
Certfikaty SSL poprzez szyfrowanie danych zapewniają bezpieczeństwo połączenia. Przesyłanie danych jest poufne i integralne, więc użytkownicy są pewni, że dane, które podają w czasie logowania czy składania zamówienia, są w pełni chronione i osoby niepożądane nie otrzymają do nich dostępu. Ma to znaczenie zwłaszcza w przypadku, gdy w sklepie internetowych pozostawiamy dane karty kredytowej, loginy do banku czy adres zamieszkania. Ponadto wystawcy certyfikatów weryfikują stronę, dzięki czemu mamy pewność, że po wpisaniu adresu wchodzimy rzeczywiście na stronę konkretnej firmy, a nie na serwis, który się pod nią podszywa.
DV, OV, EV, czyli metody weryfikacji
Podstawowym podziałem certyfikatów jest ten ze względu na rodzaj weryfikacji. Wówczas weryfikowana może być sama strona, ale też jej właściciel, czyli podmiot zamawiający certyfikat. Cena certyfikatu SSL zależy między innymi od jego typu. Certyfikaty SSL dzielimy na:
-
Certyfikaty klasy DV (Domain Validation). W przypadku tego typu certyfikatu mamy do czynienia z weryfikacją wyłącznie domeny. Co wówczas podlega sprawdzeniu? Wystawca certyfikatu weryfikuje, czy dane abonenta domeny, które znajdują się w bazie WHOI, zgadzają się z danymi znajdującymi się w pliku CSR przesyłanym w zamówieniu. Wtedy też sprawdza się, czy na wybranej domenie działa strona internetowa. W przypadku sklepów internetowych czy instytucji finansowych, które chcą zyskać zaufanie swoich klientów, nie jest to odpowiedni certyfikat. Użytkownik nie ma pewności, że pod wskazanym adresem rzeczywiście znajduje się strona danej firmy, a nie osoby podszywające się pod firmę.
-
Certyfikaty klasy OV (Organization Validation). Prócz samej domeny weryfikowane są również dane podmiotu, który zamawia certyfikat, czyli właściciela strony internetowej. W przeciwieństwie do certyfikatu DV tutaj wymagane jest przesłanie dokumentów, np. wpisu do KRS. Proces weryfikacji może więc trochę potrwać, ale dzięki temu użytkownicy będą mieli większe zaufanie do naszej strony.
-
Certyfikaty klasy EV (Extended Validation). Jest to najbardziej złożony proces weryfikacji, który przebiega w kilku etapach. Oczywiście, podobnie jak powyżej, sprawdzana jest zarówno domena, jak i właściciel. Jednak weryfikacja jest już bardziej szczegółowa. Podmiot zamawiający musi podać precyzyjne i szczegółowe dane, a także przesłać dokumenty w języku angielskim. Dane te są także weryfikowane przez telefon. Z takiego certyfikatu najczęściej korzystają banki.
Ochrona dla subdomen
Czasami oprócz samej domeny mamy także subdomeny, czyli np. poza standardową stroną polska.pl, także warszawa.polska.pl. Standardowe certyfikaty chronią jedynie główną domenę. Jeśli chcemy zabezpieczyć również subdomeny pierwszego stopnia, wybierzmy certyfikat typu wildcard. Jeśli z kolei zależy nam na ochronie kilku domen, warto zastanowić się nad certyfikatem typu Multi Domain.