HTTPS pentru un magazin online: ce trebuie protejat
Un magazin online trebuie să funcționeze prin HTTPS pe toate paginile: de la catalog până la finalizarea comenzii. Pentru aceasta este nevoie de un certificat TLS valabil, configurarea corectă a serverului web și reînnoire automată. Certificatul protejează datele în timpul transmiterii, dar nu elimină vulnerabilitățile site-ului, nu confirmă buna-credință a vânzătorului și nu protejează serverul de malware.
Algoritm scurt pentru proprietarDesemnați un responsabil pentru domeniu, găzduire și certificat. Activați HTTPS pentru întregul site, reînnoirea automată și notificările de eroare. Păstrați protocoalele TLS 1.3 și TLS 1.2. Protejați conturile de registrator, găzduire, CDN și CMS cu autentificare multifactorială. Transferați introducerea detaliilor cardului către un procesator de plăți certificat. Verificați configurația după fiecare modificare a site-ului.
Ce înseamnă SSL, TLS și HTTPS
TLS — protocolul care creează o conexiune securizată între browserul cumpărătorului și serverul site-ului. Acesta asigură confidențialitatea datelor transmise, le protejează împotriva modificărilor nedetectabile pe parcurs și permite browserului să verifice pentru ce domeniu a fost emis certificatul. TLS este folosit exact în HTTPS. Denumirea „certificat SSL” a rămas în uzul curent, deși protocoalele SSL 2.0 și SSL 3.0 sunt învechite și nu ar trebui utilizate. Acest lucru este explicat în ghidul actual OWASP pentru TLS.
La deschiderea unei adrese https://, serverul trimite browserului un certificat cu o cheie publică, nume de domenii, data expirării și datele autorității de certificare. Browserul verifică lanțul de încredere, corespondența domeniului, valabilitatea și starea certificatului. După aceasta, părțile convin asupra cheilor de sesiune și criptează schimbul de date.
Ce protejează HTTPS
- autentificările, parolele, datele de contact și conținutul comenzii în timpul transmiterii;
- cookie-urile de sesiune, dacă site-ul setează corect atributele
Secure,HttpOnlyșiSameSitepentru acestea; - împotriva substituirii nedetectabile a unei pagini sau a răspunsului serverului într-o rețea nesecurizată;
- conexiunea browserului cu domeniul specificat în certificat.
Ce NU protejează HTTPS
| Risc | De ce certificatul nu este suficient | Ce este necesar în plus |
|---|---|---|
| Magazin de phishing | Un atacator poate obține un certificat valid pentru un domeniu similar. | Verificarea adresei exacte, protecția brandului, monitorizarea domeniilor false și notificarea clienților. |
| Spargerea site-ului sau a CMS-ului | HTTPS va livra la fel de sigur codul malițios adăugat pe un site compromis către cumpărător. | Actualizarea platformei și modulelor, controlul modificărilor, drepturi minime, jurnalizare și copii de rezervă. |
| Furtul parolei de administrator | TLS protejează transmiterea parolei, dar nu ajută dacă parola a fost obținută prin phishing, refolosită sau furată de pe dispozitiv. | Parole unice, manager de parole, autentificare multifactorială și conturi separate. |
| Cod malițios pe dispozitivul cumpărătorului sau al angajatului | Datele pot fi furate înainte de criptare sau după decriptare. | Actualizări de sistem, protecția endpoint-urilor și restricționarea drepturilor utilizatorilor. |
| Compromiterea paginii de plată | Un script terț poate citi datele direct în browser. | Controlul scripturilor de plată, politica de securitate a conținutului, detectarea modificărilor și integrarea corectă cu acquirer-ul. |
Chrome a renunțat la lacăt ca simbol universal de încredere, deoarece HTTPS indică un canal securizat, nu fiabilitatea proprietarului paginii. Materialul echipei Chromium menționează că aproape toate site-urile de phishing folosesc și ele HTTPS; începând cu Chrome 117, lacătul a fost înlocuit cu o pictogramă neutră de setări. Prin urmare, angajații și cumpărătorii trebuie să verifice numele exact al domeniului, în loc să caute un „lacăt verde”. Sursa: An Update on the Lock Icon.
De ce este important acest lucru pentru un magazin online ucrainean
Un magazin online procesează numele, numărul de telefon, adresa de livrare, istoricul comenzilor și alte informații care pot constitui date cu caracter personal. Articolul 24 din Legea Ucrainei „Privind protecția datelor cu caracter personal” obligă proprietarii și operatorii să protejeze astfel de date împotriva pierderii accidentale, prelucrării ilegale, distrugerii și accesului. Legea definește obligația de protecție, dar nu stabilește o cerință separată pentru fiecare magazin de a cumpăra un certificat OV sau EV plătit. Sursa: Legea Ucrainei „Privind protecția datelor cu caracter personal”.
Contextul ucrainean necesită o atenție deosebită la phishing. În martie 2026, CERT-UA a înregistrat trimiterea de scrisori presupus din partea însăși CERT-UA cu un apel de a descărca un fișier, iar Serviciul de Stat pentru Comunicații Speciale a raportat în iunie 2026 numeroase campanii folosind conturi compromise și tehnici de inginerie socială. Acestea sunt atacuri confirmate asupra organizațiilor ucrainene, nu rapoarte despre un atac asupra unui magazin sau program specific. Surse: raportul CERT-UA despre UAC-0255 și recenzia Serviciului de Stat pentru Comunicații Speciale despre campaniile de phishing.
HTTPS nu este legitimația vânzătoruluiUn certificat valid pentru un domeniu înseamnă că conexiunea cu acest domeniu este securizată și autoritatea de certificare a verificat datele conform tipului de validare. Acesta nu confirmă calitatea bunurilor, îndeplinirea comenzii, starea financiară a companiei sau absența codului malițios.
Ce certificat să alegeți
Nivelul de verificare a proprietarului
| Tip | Ce verifică autoritatea de certificare | Când este adecvat |
|---|---|---|
| DV Domain Validation |
Controlul asupra domeniului. Datele despre entitatea juridică nu sunt verificate. | Majoritatea magazinelor online, site-urilor și subdomeniilor de serviciu, în special când emiterea și reînnoirea sunt automatizate. |
| OV Organization Validation |
Controlul asupra domeniului și existența organizației conform regulilor autorității de certificare. | Când un proces de afaceri, un contract sau o politică internă necesită informații verificate despre entitatea juridică în certificat. |
| EV Extended Validation |
Verificarea extinsă a entității juridice conform unor reguli separate. | Când politica organizației sau a partenerului o cere explicit. EV nu creează o criptare mai puternică și nu oferă unui magazin modern o „bară de adrese verde”. |
DV, OV și EV pot folosi aceiași algoritmi moderni de criptare. Diferența constă în procedura de verificare a solicitantului și în detaliile certificatului. Un certificat DV gratuit de la o autoritate de certificare recunoscută universal nu criptează mai slab din cauza lipsei prețului. Let’s Encrypt emite certificate DV gratuite, dar nu emite OV și EV; cheia privată este creată și stocată pe partea proprietarului site-ului. Sursa: FAQ oficial Let’s Encrypt.
Numărul de domenii
- Certificat pentru un singur nume acoperă un nume de domeniu specificat în câmpul SAN.
- Certificat multidomeniu conține mai multe nume în câmpul SAN. Numele SAN și UCC descriu adesea același mecanism, nu o forță de protecție diferită.
- Certificat wildcard acoperă subdomeniile de primul nivel, cum ar fi
*.example.ua, dar de obicei nu acoperăexample.uaîn sine fără o înregistrare separată. O cheie privată furată a unui astfel de certificat creează un risc pentru toate subdomeniile acoperite. OWASP recomandă utilizarea wildcard doar atunci când este justificată și evitarea partajării acestuia între sisteme cu niveluri de încredere diferite.
Perioada de valabilitate și reînnoirea automată
Perioadele de valabilitate ale certificatelor TLS publice se scurtează. Conform cerințelor de bază actuale ale CA/Browser Forum, certificatele emise între 15 martie 2026 și 15 martie 2027 nu pot fi valabile mai mult de 200 de zile. Din 15 martie 2027, limita va fi de 100 de zile, iar din 15 martie 2029 — 47 de zile. Sursa: CA/Browser Forum TLS Baseline Requirements 2.2.2.
| Data emiterii | Termen maxim | Concluzie practică |
|---|---|---|
| 15.03.2026–14.03.2027 | 200 de zile | Reînnoirea manuală creează deja un risc semnificativ de nefuncționare. |
| 15.03.2027–14.03.2029 | 100 de zile | Sunt necesare emiterea, instalarea și verificarea automată. |
| Din 15.03.2029 | 47 de zile | Gestionarea certificatelor trebuie să fie complet automatizată. |
Începând cu iulie 2026, certificatele standard Let’s Encrypt sunt valabile 90 de zile, iar un profil separat permite utilizarea certificatelor mai scurte. Proprietarul trebuie să controleze nu data calendaristică a achiziției, ci funcționarea clientului automat ACME, instalarea cu succes a noului certificat și repornirea sau reîncărcarea configurației serverului web.
Principalele scenarii de atacuri și erori
| Scenariu | Ce vede angajatul sau cumpărătorul | Consecință | Prima acțiune și responsabil |
|---|---|---|---|
| Interceptarea HTTP sau retrogradarea de la HTTPS la HTTP | Adresa începe cu http://, browserul arată o conexiune nesecurizată, sau o parte a paginii se încarcă fără protecție. |
Interceptarea sau modificarea login-ului, cookie-urilor, datelor de contact și comenzii în tranzit. | Administratorul trece întregul site pe HTTPS, setează o redirecționare permanentă și, după verificare, activează HSTS. |
| Site de phishing cu un domeniu similar și un certificat DV valid | Pagina arată ca magazinul, HTTPS funcționează, dar domeniul diferă printr-un caracter, cuvânt sau zonă de domeniu. | Furtul parolelor, datelor de plată sau fondurilor. | Angajatul înregistrează adresa URL și capturile de ecran; proprietarul notifică registratorul, găzduirea, partenerul de plată și Poliția Cibernetică. |
| Certificat expirat, nume de domeniu incorect sau lanț incomplet | Browserul blochează pagina cu un avertisment de confidențialitate sau certificat invalid. | Cumpărătorii nu pot deschide site-ul sau finaliza plata. | Administratorul recomandă să nu se ocolească avertismentul, verifică emiterea, SAN, lanțul complet și implementarea certificatului. |
| Furtul cheii private | S-ar putea să nu existe semne vizibile. | Atacatorul poate folosi cheia pentru a se da drept server în scenariile în care controlează ruta, DNS-ul sau infrastructura. | Administratorul revocă certificatul, creează o nouă pereche de chei pe un sistem curat și investighează metoda de compromitere. |
| Compromiterea domeniului, DNS-ului, CDN-ului sau găzduirii | Site-ul poate arăta normal sau poate duce către alt server; uneori va fi prezent și un certificat valid. | Falsificarea site-ului, a poștei electronice, a detaliilor de plată și interceptarea comenzilor. | Proprietarul blochează contul compromis, implică registratorul și găzduirea; administratorul restabilește înregistrările DNS verificate și schimbă cheile de acces. |
| Modul spart sau JavaScript terț | Site-ul se deschide prin HTTPS fără avertismente; cumpărătorul poate vedea un câmp suplimentar, un formular de plată diferit sau nimic suspect. | Web skimming: furtul de date dintr-un formular în browser înainte de a fi trimise procesatorului de plăți. | Administratorul dezactivează componenta compromisă, salvează dovezile, verifică modificările; proprietarul notifică acquirer-ul și execută planul de răspuns. |
Cum să configurați corect HTTPS
- Faceți o listă de nume. Adăugați domeniul principal, varianta cu
www, subdomeniile de plată și interne, dacă sunt utilizate efectiv. Nu cumpărați un wildcard doar pentru comoditate. - Emiteți certificatul pe server sau printr-o platformă gestionată. Cheia privată nu trebuie trimisă pe mesagerii, prin poștă sau stocată într-un folder partajat.
- Automatizați ciclul complet. Clientul ACME trebuie să obțină noul certificat, să-l instaleze, să reîncarce configurația serverului și să raporteze o eroare. O monitorizare externă separată ar trebui să verifice certificatul real pe care îl vede cumpărătorul.
- Lăsați protocoalele moderne. OWASP recomandă utilizarea
TLS 1.3în mod implicit și susținereaTLS 1.2pentru compatibilitate.TLS 1.0,TLS 1.1, SSL 2.0 și SSL 3.0 trebuie dezactivate. Începând cu iulie 2026, ghidul publicat de NIST rămâne SP 800-52 Rev. 2; NIST a început deja revizuirea acestuia în 2026. - Redirecționați HTTP către HTTPS. Folosiți o redirecționare permanentă a serverului
301sau308. Specificați adresele HTTPS încanonical, sitemap șihreflang. Google preferă paginile HTTPS corecte ca fiind canonice, dar HTTPS în sine nu garantează poziții în căutări. Sursa: recomandările Google privind URL-urile canonice. - Eliminați conținutul mixt. Imaginile, fonturile, stilurile, scripturile, formularele și cererile API trebuie să se încarce prin HTTPS. Conținutul HTTP activ poate fi blocat de browser, iar substituirea acestuia permite executarea de cod terț.
- Activați HSTS după verificare. Antetul
Strict-Transport-Securityinstruiește browserul să folosească HTTPS de acum înainte. Mai întâi, verificați toate subdomeniile și începeți cu unmax-agemic; o configurație HSTS greșită poate face site-ul inaccesibil. Liniile directoare pentru redirecționări, HSTS și cookie-uri sigure sunt furnizate în ghidul web.dev pentru activarea HTTPS. - Protejați panourile de control. Pentru registrator, DNS, CDN, găzduire, CMS și e-mail, utilizați conturi separate, autentificare multifactorială și drepturi minime necesare. Eliminați accesul angajaților concediați și al foștilor contractori.
- Controlați emiterea certificatelor. Jurnalele Certificate Transparency vă permit să vedeți certificatele emise pentru domeniile dvs. și să detectați emiterile neașteptate. Modul în care funcționează monitoarele este descris pe Certificate Transparency.
HTTPS și acceptarea plăților
Dacă magazinul redirecționează cumpărătorul către pagina unei bănci, acquirer sau alt furnizor de plăți, conexiunea TLS a magazinului protejează calea doar până la momentul tranziției. Pagina de plată trebuie să aibă propriul certificat valabil, iar adresa trebuie verificată conform documentației furnizorului. Magazinul nu ar trebui să adauge independent câmpuri pentru card, să stocheze CVV sau să transmită detalii prin propria bază de date, cu excepția cazului în care o astfel de arhitectură este convenită cu acquirer-ul și respectă cerințele PCI DSS aplicabile.
Banca Națională a Ucrainei avertizează în mod specific cu privire la frauda în timpul plăților online și magazinele online false. Pentru cumpărător, aceasta înseamnă că prezența HTTPS trebuie evaluată împreună cu adresa exactă a site-ului, metoda de plată și verificarea vânzătorului. Materiale practice sunt colectate pe resursa oficială a NBU „FraudGoodbye”.
Versiunea actuală a standardului este PCI DSS 4.0.1. Cerințele de securitate a paginilor de plată, intrate în vigoare la 31 martie 2025, se concentrează pe autorizarea scripturilor, verificarea integrității lor și detectarea modificărilor neautorizate. Acestea combat web skimming-ul, unde codul din browser copiază detaliile dintr-un formular. Sursa: PCI SSC: Payment Page Security and Preventing E-Skimming.
Redirecționarea și forma integrată au riscuri diferitePentru un magazin care redirecționează complet cumpărătorul către site-ul furnizorului de plăți, volumul de controale este de obicei mai mic decât pentru o pagină cu un formular de plată integrat. Domeniul de aplicare final al PCI DSS și formularul de validare a conformității sunt determinate împreună cu acquirer-ul sau brandul de plată. Clarificări cu privire la criteriile SAQ A au fost publicate de PCI Security Standards Council.
Ce trebuie să faceți dacă browserul arată o eroare de certificat
- Nu cereți cumpărătorilor să ocolească avertismentul. Suspendați temporar traficul publicitar și plățile dacă calea securizată de finalizare a comenzii este indisponibilă.
- Înregistrați eroarea. Salvați ora exactă, domeniul, textul erorii, captura de ecran, datele de monitorizare externă și modificările recente pe găzduire.
- Verificați cauza. Opțiuni comune: expirat; certificat emis pentru un nume greșit; serverul returnează un certificat vechi; lipsă certificat intermediar; oră incorectă pe server; CDN și serverul principal au configurații diferite; reînnoirea automată s-a executat, dar serverul web nu a reîncărcat noul fișier.
- Remediați configurația. Reemiteți certificatul dacă este necesar, instalați lanțul complet și testați fiecare domeniu public din rețele diferite.
- Testați procesul de comandă. Treceți prin catalog, autorizare, coș, redirecționare către furnizorul de plăți, revenire după plată, notificări și cereri de integrare.
- Găsiți cauza organizatorică. Remediați automatizarea, adăugați o alertă externă, documentați proprietarul procesului și un contact de rezervă.
Ce trebuie să faceți în caz de compromitere a cheii sau a serverului web
- Limitați accesul la nodul afectat. Nu ștergeți fișiere și jurnale și nu reinstalați sistemul până la securizarea dovezilor, cu excepția cazului în care este necesar pentru oprirea daunelor în curs.
- Păstrați dovezile. Faceți un instantaneu al sistemului sau discului, exportați jurnalele serverului web, CDN, CMS, DNS, panoului de găzduire și autentificării. Înregistrați ora într-un singur fus orar.
- Revocați certificatul. Creați o nouă pereche de chei pe un sistem curat și obțineți un nou certificat. Reînnoirea simplă cu cheia veche nu rezolvă compromiterea.
- Schimbați secretele asociate. Schimbați parolele și sesiunile administratorilor, cheile API, accesul la baza de date, SSH, panourile de găzduire, CDN, registrator, DNS, e-mail și depozit. Începeți de la un dispozitiv curat.
- Verificați site-ul. Căutați noi administratori, fișiere modificate, scripturi terțe, planificatoare de sarcini, shell-uri web, reguli de redirecționare, detalii de plată modificate și certificate neașteptate în jurnalele CT.
- Restaurați doar dintr-o copie verificată. Copia de rezervă trebuie creată înainte de intruziune și testată într-un mediu separat. După restaurare, instalați actualizări, eliminați cauza principală și abia apoi readuceți site-ul în funcțiune.
- Notificați părțile afectate. Implicați găzduirea, dezvoltatorul, acquirer-ul, responsabilul cu protecția datelor și avocatul. Un incident cibernetic poate fi raportat la CERT-UA; semne ale unei infracțiuni penale sau fraude — prin sistemul electronic de apeluri al Poliției Cibernetice.
Ce NU trebuie să facețiNu ignorați avertismentul browserului. Nu trimiteți cheia privată într-un chat. Nu emiteți un certificat nou cu o cheie compromisă. Nu ștergeți jurnalele înainte de investigație. Nu restaurați site-ul peste sistemul compromis. Nu conectați o copie de rezervă la un server neverificat.
Copii de rezervă și recuperare
Un certificat nu este o copie de rezervă a unui site. Recuperarea necesită copii verificate ale codului, bazei de date, fișierelor încărcate, configurației serverului web, înregistrărilor DNS, regulilor CDN, setărilor de integrare și a unui proces documentat de emitere a certificatului. O cheie privată nu ar trebui duplicată fără necesitate: în multe configurații, este mai sigur să creați o cheie nouă și să reemiteți certificatul.
Păstrați cel puțin o copie separată de serverul de producție și de conturile sale permanent accesibile. Verificați în mod regulat integritatea copiilor de rezervă și efectuați recuperări de testare într-un mediu izolat. CISA recomandă menținerea copiilor offline criptate ale datelor critice și testarea regulată a disponibilității și integrității acestora într-un scenariu de recuperare în caz de dezastru. Sursa: CISA StopRansomware Guide.
HTTPS, Torgsoft și serverul Windows al magazinului
Certificatul TLS al unui magazin online protejează conexiunile web către domeniul corespunzător. Nu protejează serverul local sau computerul principal care rulează Torgsoft, casele de marcat, folderele de rețea și copiile de rezervă. Aceste sisteme necesită protecție separată.
- serverul sau computerul principal cu Torgsoft ar trebui, de preferat, să fie folosit doar pentru rularea programului și bazei de date;
- pe el nu ar trebui să se citească e-mailuri, să se deschidă mesagerii, să se descarce fișiere aleatorii, să se navigheze pe site-uri terțe și să se instaleze programe inutile;
- accesul RDP direct din internetul public nu trebuie deschis;
- accesul la distanță trebuie acordat controlat: prin VPN sau un alt gateway securizat, folosind conturi separate, cu jurnalizare și autentificare multifactorială dacă este suportată de soluția aleasă;
- angajații trebuie să lucreze fără drepturi permanente de administrator;
- o copie pe același server sau pe o unitate conectată permanent poate fi coruptă sau criptată împreună cu datele principale;
- recuperarea necesită o copie sănătoasă creată înainte de intruziune și verificată prin implementare de test.
Suportul tehnic Torgsoft poate ajuta la instalarea programului și implementarea unei baze de date funcționale. Nu este un serviciu de decriptare a fișierelor și nu poate restabili informațiile comerciale dacă nu există o copie de rezervă sănătoasă. Certificatul web al magazinului online, protecția serverului Windows și copiile de rezervă trebuie tratate ca procese separate cu responsabili desemnați.
Cine și de ce este responsabil
| Rol | Responsabilități | Ce verifică proprietarul |
|---|---|---|
| Proprietarul afacerii | Numește persoanele responsabile, aprobă schema de plată, timpul de recuperare, bugetul și procedura de răspuns. | Există o listă a activelor, contacte ale contractorilor, acces de rezervă și un raport al ultimului audit. |
| Administrator de sistem sau Găzduire | Configurează TLS, reînnoirea automată, HSTS, monitorizarea, jurnalele, copiile de rezervă și recuperarea. | Certificatul se reînnoiește fără acțiune manuală; alertele sunt trimise la cel puțin două persoane. |
| Dezvoltatorul site-ului | Elimină conținutul mixt, securizează cookie-urile, minimizează scripturile, actualizează platforma și controlează modificările paginii de plată. | Există o listă de module și scripturi, istoricul modificărilor și un plan de remediere a vulnerabilităților. |
| Furnizorul de plăți și Acquirer | Oferă integrare documentată, cerințe PCI DSS, URL-uri pentru paginile de plată și proceduri de răspuns. | Integrarea urmează documentația actuală; magazinul nu colectează detalii inutile ale cardului. |
| Angajatul magazinului | Nu ocolește avertismentele browserului, verifică domeniul, nu partajează chei și parole, raportează imediat modificările suspecte. | Angajatul știe cui și prin ce canal să raporteze un incident. |
| Contractor extern | Lucrează printr-un cont personal, la orele convenite și în limitele permisiunilor emise; accesul este revocat la finalizare. | Nu există conturi comune sau perpetue pentru contractori. |
Checklist practic
- toate paginile, formularele, imaginile, scripturile și API-urile funcționează prin HTTPS;
- HTTP redirecționează permanent către HTTPS fără reveniri intermediare;
- certificatul acoperă toate numele de domeniu necesare și este furnizat cu lanțul complet;
TLS 1.3șiTLS 1.2sunt activate; versiunile vechi SSL/TLS sunt dezactivate;- reînnoirea automată se finalizează cu succes, inclusiv aplicarea noului certificat;
- monitorizarea externă verifică valabilitatea, disponibilitatea HTTPS și modificările certificatului;
- HSTS este activat după verificarea tuturor subdomeniilor;
- conturile pentru registrator, DNS, CDN, găzduire, e-mail și CMS sunt protejate cu autentificare multifactorială;
- accesul foștilor angajați și contractori a fost eliminat;
- există o listă a scripturilor terțe, iar paginile de plată sunt monitorizate pentru modificări neautorizate;
- magazinul nu stochează detalii ale cardului în afara arhitecturii convenite cu acquirer-ul;
- copiile de rezervă sunt separate de serverul de producție și verificate prin recuperare de test;
- sunt desemnate persoane responsabile, principală și de rezervă, pentru domeniu, găzduire, certificat și răspuns;
- TLS este reverificat după fiecare modificare a găzduirii, CDN, DNS, integrării de plăți sau serverului web.
Pentru testarea externă a configurației, puteți utiliza Qualys SSL Labs Server Test. OWASP recomandă, de asemenea, verificarea configurației după întărirea setărilor și oferă o listă de instrumente online și locale în TLS Cheat Sheet. Un test automat nu înlocuiește testarea coșului, a autorizării, a redirecționării la plată, a API-ului și a restaurării dintr-o copie de rezervă.
Surse principale
- CA/Browser Forum. Baseline Requirements for Publicly-Trusted TLS Server Certificates, version 2.2.2.
- OWASP Transport Layer Security Cheat Sheet.
- NIST SP 800-52 Rev. 2. Guidelines for TLS Implementations.
- Let’s Encrypt FAQ: tipuri, valabilitate și managementul certificatelor.
- Chromium Blog. An Update on the Lock Icon.
- Google Search Central. Canonical URLs and HTTPS.
- PCI Security Standards Council. Payment Page Security and Preventing E-Skimming.
- Banca Națională a Ucrainei. „FraudGoodbye”: securitatea plăților online.
- Legea Ucrainei „Privind protecția datelor cu caracter personal”.
- CERT-UA. Atacul cibernetic UAC-0255, martie 2026.
- CISA StopRansomware Guide: copii de rezervă și recuperare.

Reveniți la pasul anterior