A seguridade é un factor crítico para o éxito de calquera sitio web. Isto é especialmente certo para os sitios que precisan recoller PIA ou "información persoalmente identificable" dos visitantes. Pense nun sitio que requira que ingrese un número de seguridade social ou, máis comúnmente, un sitio de comercio electrónico que precisa engadir información sobre tarxetas de crédito para completar a súa compra. En sitios coma este, a seguridade non se espera só dos visitantes, é esencial para o éxito.
Cando estea construíndo un sitio de comercio electrónico, unha das primeiras cousas que terá que configurar é un certificado de seguridade para que os datos do seu servidor sexan seguros. Cando configura isto, ten a opción de crear un certificado autofirmado ou crear un certificado aprobado por unha autoridade de certificación. Vexamos as diferenzas entre estes dous enfoques para os certificados de seguridade do sitio web.
Semellanzas entre certificados asinados e autosuficientes
Se obtén o certificado asinado por unha autoridade de certificación ou asínea vostede mesmo, hai unha cousa que é exactamente o mesmo en ambos:
- Ambos certificados xerarán un sitio que non pode ser lido por terceiros. Os datos enviados a través dunha conexión HTTPS , ou SSL , serán cifrados independentemente de se o certificado está asinado ou se autofinancia.
Noutras palabras, ambos tipos de certificados cifrarán os datos para crear un sitio web seguro. Desde unha perspectiva de seguridade dixital, este é o primeiro paso do proceso.
Por que pagaría unha Autoridade de Certificación
Unha autoridade certificadora informa aos seus clientes que esta información do servidor foi verificada por unha fonte de confianza e non só á empresa propietaria do sitio web. Basicamente, hai unha empresa de terceiros que verificou a información de seguridade.
A autoridade de certificación máis utilizada é Verisign. Dependendo do CA que se use, verificarase o dominio e emitirase un certificado. Verisign e outras CAs de confianza verificarán a existencia do negocio en cuestión e a propiedade do dominio para proporcionar un pouco máis de seguridade para que o sitio en cuestión sexa lexítimo.
O problema co uso dun certificado autofirmado é que case todos os navegadores web verifican que unha CA de recoñecemento asinou unha conexión https. Se a conexión está autofinante, esta será marcada como potencialmente arriscada e aparecerá mensaxes de erro incentivando aos seus clientes a non confiar no sitio, aínda que sexa, de feito, seguro.
Usando un certificado autofirmado
Dado que proporcionan a mesma protección, pode empregar un certificado autofirmado onde empregue un certificado asinado, pero algúns lugares funcionan mellor que outros.
Os certificados autofirmados son excelentes para probar servidores . Se está creando un sitio web que precisa probar a través dunha conexión https, non ten que pagar un certificado asinado para ese sitio de desenvolvemento (que probablemente sexa un recurso interno). Só tes que dicir aos testadores que o seu navegador pode estalar mensaxes de advertencia.
Tamén pode usar certificados autofirmados para situacións que precisan privacidade, pero pode que a xente non estea tan preocupada. Por exemplo:
- Formulario de usuario e contrasinal
- Recollendo información persoal, pero non financeira de PIA
- Nos formularios onde os únicos usuarios son persoas que coñecen e confían en ti, como unha empresa Intranet
O que se reduce é a confianza. Cando usa un certificado autofirmado, está dicindo aos seus clientes "confiar en min - son quen eu digo que son". Cando usa un certificado asinado por unha CA, está dicindo: "Confío en min - Verisign acepta que son quen eu digo que son". Se o teu sitio está aberto ao público e estás a facer negocios con eles, máis tarde é un argumento moito máis forte para facer.
Se fas o comercio electrónico, necesitas un certificado asinado
É posible que os seus clientes o perdoen por un certificado autofirmado se o único que o utilizan é iniciar sesión no seu sitio web, pero se está a pedirlle que ingresen a súa tarxeta de crédito ou a súa información de PayPal, entón realmente necesita unha sinatura certificado. A maioría da xente confía nos certificados asinados e non vai facer negocios a través dun servidor HTTPS sen un. Entón, se estás a vender algo no teu sitio web, investir nese certificado. Forma parte do custo de facer negocios e dedicarse á venda en liña.
Artigo orixinal de Jennifer Krynin. Editado por Jeremy Girard.