Čo majiteľ internetového obchodu potrebuje vedieť o SSL certifikátoch

Zákazníci sa neponáhľajú robiť nákupy vo vašom internetovom obchode? Pravdepodobne nedôverujú bezpečnosti a autentickosti vášho webu, a za to môže byť zodpovedná absencia SSL, protokolu na vytváranie bezpečného spojenia medzi používateľom a serverom.

Aby sme sa vyhli technickým detailom, môžeme povedať, že SSL šifruje údaje zadané zákazníkom, od platobných údajov až po heslá, a potom ich odosiela cez HTTPS v zašifrovanej forme. Osobné údaje je stále možné zachytiť, ale ich dešifrovanie je oveľa ťažšie a trvá dlhšie.

Aby web fungoval cez zabezpečený protokol HTTPS, jeho vlastník musí získať SSL certifikát.

Prečo potrebuje majiteľ webu SSL?

Prítomnosť certifikátu na stránke výrazne zvyšuje dôveru, hoci samotný protokol nezaručuje vysokú úroveň ochrany pred hackerskými alebo vírusovými útokmi. Okrem dôvery používateľov poskytuje SSL certifikát ešte jeden bonus - ochranu pri vstupe do administrátorského panelu cez verejnú Wi-Fi sieť.

Hoci hlavnou cieľovou skupinou tohto protokolu sú internetové obchody, ktoré zhromažďujú platobné údaje, neublíži to ani ostatným typom organizácií, ktoré chcú urobiť dobrý dojem na potenciálnych zákazníkov. Navyše, v modernom internete sa považuje za nevhodné, ak web, na ktorom je možná autentifikácia, nemá SSL certifikát. Takže stať sa vlastníkom protokolu je v záujme takmer každého majiteľa webu, najmä keď to možno urobiť rýchlo a úplne zadarmo.

Dôležitým aspektom je aj to, že moderní používatelia sa stávajú čoraz viac vedomí bezpečnosti a dávajú pozor na zelenú ikonu v názve domény webu. Na čo potrebuje SSL certifikát bežný používateľ? Na rozdiel od majiteľov webov, bežným používateľom je certifikácia veľmi užitočná. Weby chránené protokolom HTTPS garantujú, že údaje zadané potenciálnym zákazníkom nebudú ukradnuté.

Rizikový faktor v tomto prípade môžu byť iba vírusy na zariadení používateľa alebo nepoctivosť majiteľa webu, ktorý môže nenápadne ukradnúť dáta zákazníkov. Navyše, SSL certifikát je ukazovateľom autentickosti webu, pretože jeho phishingové napodobeniny zvyčajne používajú bežný HTTP.
Majitelia komerčných webov by mali tiež pamätať, že pri pokuse o pripojenie platby cez niektoré platobné systémy, služby vyžadujú certifikát, bez ktorého transakcie nie sú uskutočnené. Podľa trendov, tieto požiadavky sa čoskoro stanú veľmi rozšírenými a budú stanovené v podmienkach takmer všetkých platobných systémov.

Môže sa SSL certifikát nekúpiť?

Najväčšia nevýhoda absencie certifikátu tkvie pravdepodobne v tom, že dôvera technicky zdatných používateľov bude nižšia. Používateľ, ktorý dba na bezpečnosť svojich bankových údajov, pre vykonanie nákupu bude radšej preferovať obchod s SSL certifikátom - v takomto internetovom obchode je bezpečnejšie zanechať osobné údaje.

Čo si o tom myslí Google

V roku 2014 Google oficiálne vyhlásil, že prítomnosť protokolu HTTPS bude mať pozitívny vplyv na rankovanie, ale v skutočnosti to tak nebolo. Tento faktor bol zohľadnený iba v 1% dotazoch, a ani nebol hlavným.

V nádeji na zlepšenie významu certifikácie pre rankovanie webmastri aktívne prekládali weby z HTTP na HTTPS, ale v roku 2017 Google potvrdil, že váha webov so SSL certifikátmi sa nezvýši.

Avšak spoločnosť sa rozhodla neobchádzať HTTPS a prejaviť lojalitu aspoň vo vlastnom prehliadači. V Google Chrome sú všetky weby bez protokolu HTTPS, ktoré zhromažďujú osobné údaje, označené malým výkričníkom, zatiaľ čo weby s SSL certifikátmi sú zvýraznené zelenou farbou v adresnom riadku.

Taktiež v roku 2018 bola zavedená aktualizácia, v dôsledku ktorej sú všetky HTTP weby označené ako nedôveryhodné prostredníctvom viditeľnej ikony. Hoci túto inováciu nemožno považovať za rozsiahlu, ignorovať ju netreba, pretože viac ako polovica používateľov z Ukrajiny a iných krajín SNS používa prehliadač Google.

Typy, vlastnosti a rozdiely SSL certifikátov

Pozrime sa na certifikáty SSL dostupné v roku 2018. Delia sa na podtypy podľa spôsobu overenia a podľa domén certifikovaných.

Certifikáty podľa domén

• Unified Communications. Tento certifikát sa zvyčajne používa pre všetky domény a / alebo servery.
  
• Wildcard SSL. Tento certifikát je platný ako pre hlavný domén, tak aj pre poddomeny (sub1.torgsoft.ua, sub2.torgsoft.ua atď.) a weby na rozdelených serveroch.
  
• Single Certificate. Tento typ certifikátu je platný len pre jednu doménu, ktorá je zadaná pri objednávke. Týmto poddomeny webu nie sú chránené. Napríklad, doména torgsoft.ua bude chránená, ale jej poddomeny (sub.torgsoft.ua) nie.

Certifikáty podľa spôsobu overenia

• Domain Validation (DV) vykonáva validáciu domény. Tento certifikát s overením domény potvrdzuje server, ktorý ho spravuje. Jednoducho povedané, zaručuje, že používateľ bude nakupovať presne na stránke, na ktorú sa chcel dostať. Pre obchodné operácie sa však Domain Validation považuje za spoľahlivý len podmienečne, pretože neobsahuje overené údaje o vlastníku stránky. Tento certifikát sa najčastejšie používa na stránkach, kde prísna bezpečnosť nie je kľúčovým faktorom.
  
• Organization Validation (OV) vykonáva validáciu domény aj organizácie. Tento certifikát s overením spoločnosti okrem názvu domény potvrdzuje aj spoločnosť, ktorá vlastní daný web. Pravosť spoločnosti sa overuje podľa viacerých parametrov. Pri žiadosti o HTTPS certifikát musí právnická osoba poskytnúť poskytovateľovi všetky potrebné registračné údaje. Treba poznamenať, že práve OV certifikáty sú najobľúbenejšie medzi majiteľmi webov.
  
• Extended Validation (EV) vykonáva rozšírenú validáciu domény aj organizácie. Takéto podrobné overenie poskytuje vysokú úroveň dôvery nielen zo strany používateľov, ale aj od iných webov.
  
• Extended Validation bude optimálnou voľbou pre weby, ktoré potrebujú prísnu dôvernosť. Sem patrí prakticky každý web, ktorý je spojený s finančnými transakciami. Špecifikom tohto typu certifikátov je, že táto rozšírená kontrola je nielen jednorazová, ale aj periodická. Tento prístup chráni používateľov pred podvodmi zo strany nepoctivého majiteľa webu.

Všetky uvedené protokoly zaručujú kvalitné šifrovanie prevádzky medzi prehliadačom používateľa a webom. Okrem toho zahŕňajú ďalšie možnosti:

• SAN - validácia domén podľa zoznamu stanoveného pri získaní certifikátu (na úsporu nákladov je možné získať validáciu pre viaceré domény);
  
• WildCard - validácia domény a jej poddomén (na úsporu nákladov je možné získať validáciu pre viaceré poddomeny).

Ako sa menila spoľahlivosť certifikátov

Keď SSL certifikáty začali zapĺňať internet, certifikačné služby vykonávali oveľa prísnejšiu kontrolu, ktorá zahŕňala aj overenie údajov spoločnosti. Neskôr, v dôsledku obchodného záujmu oboch strán, sa objavil Domain Validation, ktorý prinútil poskytovateľov vytvoriť zjednodušenú verifikáciu a vydávať certifikáty s minimálnou kontrolou. Tento prístup zohral v prospech podvodníkov. Teraz podvodníci na internete využívajú nízku dôveru v doménu webu a vykonávajú podvody, pretože prehliadač nepoužívateľa nevaruje pred možnými problémami s krádežou údajov na stránke.

V takýchto prípadoch nastupuje Extended Validation. Prítomnosť tohto certifikátu naznačuje, že stránka aj spoločnosť prešli hlbokou kontrolou. Prehliadač túto informáciu potvrdí umiestnením zeleného pruhu priamo v ľavej časti adresného riadku, takže používateľ už nemusí vykonávať vlastné vyšetrovanie a overovať pravosť domény alebo organizácie, ktorá stránku vlastní. Tento prístup podporujú všetky prehliadače a operačné systémy.

Ako prejsť na HTTPS bezpečne

Pri prechode na HTTPS je potrebné zohľadniť niekoľko požiadaviek. Majiteľ stránky by mal:

• konsultovať so SEO špecialistom na predchádzanie strate pozícií v vyhľadávačoch;
• objednať si typ SSL certifikátu od poskytovateľa hostingu alebo od emitenta certifikátu;
• nainštalovať certifikát na server;
• nastaviť admin panel pre prácu s HTTPS;
• nahradiť nes bezpečné HTTP linky na všetkých stránkach, ktoré používajú skripty, multimediálne materiály, počítadlá a poradcov (inak, aj keď máte certifikát, stránky sa budú považovať za nebezpečné);
• nahradiť adresu v technických súboroch ako robots.txt a sitemap.xml, ako aj v 301 presmerovaní.

Pred tým, než získate alebo kúpite SSL certifikát, odporúčame preskúmať informácie o certifikačnom centre a overiť si jeho spoľahlivosť a zodpovednosť, a pre minimalizovanie rizika pri prechode by ste mali striktne nasledovať pokyny uvedené vyššie.

Platiť alebo neplatiť?

Získanie SSL certifikátu zdarma
Zadarmo si môžete získať iba certifikáty s minimálnou kontrolou. Tento certifikát SSL overuje iba jednu doménu, čím otvára podvodníkom priamy prístup na stránku. Podvodníci ľahko vytvárajú kópiu (klon) originálnej stránky, vydávajú nový certifikát a prezentujú sa ako originálny web. Okrem toho prehliadače často neuznávajú zadarmo poskytované DV certifikáty ako kvalitné certifikáty a aj tak používateľa varujú pri pripojení pred nebezpečenstvom.

Ak však majiteľ stránky nechce podstúpiť niekoľko povinných operácií na získanie naozaj spoľahlivej ochrany, môže si objednať bezplatný certifikát od jednej zo špecializovaných organizácií. Takou organizáciou môže byť populárna Let's Encrypt alebo poskytovateľ hostingu. Odporúčame získať certifikát od poskytovateľov, pretože umožňujú objednať a nastaviť zabezpečené pripojenie priamo z administračného panela, čo nezaberie viac ako 10 minút majiteľovi webu.

Kúpa SSL certifikátu
Samozrejme, platené certifikáty sú oveľa spoľahlivejšie ako ich bezplatné náprotivky. Zatiaľ čo nekomerčná stránka, ktorá zbiera iba prihlasovacie mená a heslá, môže vystačiť s Domain Validation, stránka, ktorá sa stará o svoju povesť a spoľahlivosť internetového obchodu, sa nezaobíde bez dôkladnej kontroly a plateného certifikátu.

V tomto prípade je Organization Validation minimálnym nevyhnutím. Môžete si kúpiť certifikát SSL OV u certifikačného poskytovateľa, napríklad na www.ssl.com.ua/. Na získanie tejto validácie musí právnická osoba zaslať vybranému poskytovateľovi overené notárom dokumenty.

Pre veľké organizácie s mnohými poddomenami je výhodné a pohodlné získať certifikáty Wildcard, ktoré eliminujú potrebu kupovať samostatný certifikát pre každý smer. Týmto spôsobom Wildcard šetrí podnikateľovi čas aj peniaze.

Najspoľahlivejší certifikát je Extended Validation s podrobnou kontrolou, ale ten si najčastejšie objednávajú iba veľmi seriózne spoločnosti (banky, poisťovne). Tento postup si vyžaduje veľký balík dokumentov a cena je závislá od poistenia a niekoľkonásobne prevyšuje cenu Organization Validation.

Ako overiť správnosť SSL certifikátu

Overenie SSL certifikátu na vašej stránke môžete vykonať pomocou špecializovaných služieb. Môžete skontrolovať či certifikát SSL bol správne nainštalovaný na stránke, nasledovaním tohto odkazu:
https://www.ssllabs.com/ssltest/analyze.html

Počet zelených prvkov zodpovedá spoľahlivosti webu.

Zdroj:

https://surfingbird.ru/surf/pereezd-sajta-na-https-dostupno-ob-ssl-tls--8XFb6aFD9
https://aevrika.ru/blog/pereezd-sajta-na-https-dostupno-ob-ssl-tls-sertifikatah/
https://www.cossa.ru/trends/220711/
https://www.cossa.ru/trends/220704/