Przeglądarki wyeliminują z rynku niezabezpieczone strony

Posiadanie certyfikatu SSL staje się koniecznością dla tych, którzy swoją przyszłość biznesową zamierzają dalej wiązać z internetowym kanałem dystrybucji. Brak zabezpieczenia od dawna jest wprawdzie zagrożony karą grzywny, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, ale przepis ten nie był dotąd egzekwowany i szacuje się, że od kilku do kilkunastu procent stron nie ma odpowiednich zabezpieczeń. Chodzi o narzędzie służące ochronie komunikacji w sieci. Użytkownik korzystający z witryny musi bowiem mieć pewność, że została ona zweryfikowana przez dostawcę certyfikatu i dane przekazywane drogą elektroniczną są bezpieczne, gdyż są szyfrowane. Co więcej, że dotrą do adresata, a nie zostaną przechwycone przez hakera. Właścicielowi strony certyfikat zapewnia wiarygodność.

Co i za ile?

Na rynku dostępnych jest kilka rodzajów certyfikatów SSL. Wybór jest uzależniony od rodzaju i skali prowadzonej działalności. W niewielkim biznesie sprawdzi się najprostszy, który zabezpiecza tylko domenę. Dzięki niemu przedsiębiorca zyska pewność, że na jego stronie wbrew jego woli nie zostaną zamieszczone nieprzychylne lub niezgodne z prawem treści oraz podawane przez użytkownika dane nie zostaną przechwycone przez nieuprawnione do tego osoby. Ten rodzaj certyfikatu jest najtańszy i można go uzyskać najszybciej. Ochronę dostaje się maksymalnie w ciągu godziny po wysłaniu zgłoszenia on-line. Weryfikacja danych ma miejsce drogą elektroniczną i ogranicza się w zasadzie do sprawdzenia prawa własności domeny. Zaletą są niskie koszty, które zaczynają się od 99 zł rocznie. To o 30 zł taniej niż jeszcze kilka lat temu, do czego doprowadził wzrost konkurencji na tym rynku. Im umowa na certyfikat jest dłuższa, tym cena niższa - przy 3-letnim kontrakcie może wynieść mniej niż 90 zł rocznie. Za tę kwotę właściciel strony może liczyć na odszkodowanie od wystawcy, jeśli certyfikat nie spełni swojego zadania. Maksymalnie może ono sięgnąć 35 tys. zł.

Biznesy internetowe, działające w oparciu o bardziej rozbudowane formularze rejestracji, czyli takie, w których użytkownicy podają wiele wrażliwych danych, zdecydowanie lepiej jest zabezpieczać przez certyfikaty SSL potwierdzające nie tylko autentyczność domeny, ale i jej właściciela. Mowa o certyfikatach, które jasno wskazują, kto odpowiada za ochronę udostępnianych informacji. Koszt zakupu takiego certyfikatu wynosi ok. 400 zł rocznie. W razie wycieku zabezpieczonych danych przedsiębiorca otrzyma nawet ponad 800 tys. zł.

Najwyższy stopień ochrony przepływu danych między użytkownikiem internetu a serwerem lub witryną internetową oferuje certyfikat EV (Extended Validation). Technologia, w której jest oferowany, chroni przed atakami phishingowymi, czyli przestępcami podszywającymi się pod inne osoby lub instytucje w celu wyłudzenia określonych informacji, takich jak dane logowania, szczegóły dotyczące karty kredytowej lub nakłonienia ofiary do określonych działań. Zatem najlepiej sprawdzi się u przedsiębiorców działających on-line w oparciu o przesyłanie najbardziej newralgicznych danych. Mowa więc o bankach, służbie zdrowia czy instytucjach rządowych.

W przypadku tego certyfikatu weryfikacja tożsamości firmy, do której należy strona jest najbardziej szczegółowa, a zatem trwa najdłużej, nawet kilka dni. Trzeba bowiem wylegitymować się prawem własności domeny oraz dokumentami rejestrowymi. Bywa też, że firma jest sprawdzana przez dostawcę certyfikatu w wywiadowni gospodarczej oraz telefonicznie. Szeroka ochrona kosztuje. Za takie zabezpieczenie trzeba zapłacić 1,5-1,7 tys. zł rocznie. Gwarancja finansowa wystawcy opiewa natomiast na 1,6 mln zł.

Co powinien wiedzieć użytkownik

Ewa Skurtys, menedżer produktów w należącym do Asseco Data Systems SA Centrum Certyfikacji "Certum", zauważa, że aby zabezpieczenie miało sens, sami użytkownicy muszą zwracać uwagę, czy strona internetowa, z którą się łączą i na której podają swoje dane, jest zabezpieczona certyfikatem SSL. Informuje o tym symbol kłódki w pasku adresu oraz oznaczenie "https" w miejscu tradycyjnego "http" albo wyświetlona w pasku przeglądarki na zielono nazwa organizacji, do której przynależy strona. - Internauci natomiast rzadko weryfikują wiarygodność, a dotychczas nie istniały zabezpieczenia zmuszające użytkowników do weryfikacji, czy strona jest zabezpieczona wiarygodnym certyfikatem SSL - dodaje Ewa Skurtys.

Sprawdzić partnera

Na rynku polskim jest wielu resellerów certyfikatów SSL od zagranicznych dostawców. Warto więc zrobić rozeznanie przed podjęciem decyzji o zakupie. - Przy wyborze dostawcy dobrze jest sprawdzić, czy podmiot, który udziela gwarancji, jest niezależny i renomowany. Należy sprawdzić jak długo działa na rynku, z kim współpracuje, jak ta współpraca dotychczas się układała, czy zdobył pieczęcie WebTrust, czy jest wpisany na światową listę zaufanych centrów certyfikacji (CA). Bez tych uprawnień centrum certyfikacji może wydawać certyfikaty SSL, które nie będą uznawane jako zaufane w popularnych przeglądarkach internetowych - wyjaśnia Ewa Skurtys. Ważne jest, czy weryfikacja tożsamości odbywa się w lokalnym języku (zagraniczne centra certyfikacji często weryfikują tożsamość poprzez telefoniczny kontakt z zamawiającym w języku angielskim) oraz jakie dokumenty są niezbędne do wydania certyfikatu SSL. - Może bowiem nastąpić taka sytuacja że klient zakupi certyfikat, ale nie będzie w stanie przejść procesu weryfikacji tożsamości. Certyfikat nie zostanie wówczas wydany, mimo że klient poniósł koszty - podkreśla Ewa Skurtys.

Poza tym, jak podpowiadają eksperci, dobrze jest ustalić, w jaki sposób odbywa się szyfrowanie danych. Im klucz certyfikatu jest dłuższy, tym lepiej, bo trudniej jest dojść do tego, jakie dane są przesyłane. Na rynku dostępne są certyfikaty 128- lub 256-bitowe. Z punktu widzenia właściciela strony istotny będzie też czas, w którym właściciel certyfikatu zobowiązuje się udzielić pomocy technicznej. Najlepszym rozwiązaniem jest działanie w systemie 24 h i 7 dni w tygodniu.

@RY1@i02/2017/006/i02.2017.006.130000100.801.jpg@RY2@

E-commerce szybko w Polsce rośnie

Patrycja Otto

patrycja.otto@infor.pl

Czytaj również na str. E4