Signerte og selvsignerte sertifikater i Web Security

– Derfor signerte vi Hovland og Zekhnini (April 2025)

– Derfor signerte vi Hovland og Zekhnini (April 2025)
Anonim

Sikkerhet er en kritisk viktig faktor i suksessen til et hvilket som helst nettsted. Dette gjelder spesielt for nettsteder som trenger å samle PIA, eller "personlig identifiserbar informasjon", fra besøkende. Tenk på et nettsted som krever at du oppgir et personnummer, eller mer vanlig, et e-handelsnettsted som du må legge til kredittkortinformasjon til for å fullføre kjøpet. På steder som disse, er ikke bare sikkerhet forventet fra de besøkende, det er viktig for suksess.

Når du bygger et e-handelsnettsted, er en av de første tingene du må konfigurere et sikkerhetssertifikat, slik at serverdataene dine blir sikre. Når du konfigurerer dette, har du muligheten til å lage et selvsignert sertifikat eller opprette et sertifikat som er godkjent av en sertifikatmyndighet. La oss se på forskjellene mellom disse to tilnærmingene til nettstedets sikkerhetssikkerhet.

Likheter mellom signerte og selvsignerte sertifikater

Enten du får sertifikatet din signert av en sertifikatmyndighet eller signerer det selv, er det en ting som er akkurat det samme på begge sider:

  • Begge sertifikatene vil generere et nettsted som ikke kan leses av tredjeparter. Dataene sendes over en HTTPS-tilkobling, eller SSL, og krypteres uavhengig av om sertifikatet er signert eller selvsignert.

Med andre ord, vil begge typer sertifikater kryptere dataene for å skape et sikkert nettsted. Fra et digitalt sikkerhetsperspektiv er dette trinn 1 i prosessen.

Hvorfor du ville betale en sertifikatmyndighet

En sertifikatmyndighet forteller kundene dine at denne serverinformasjonen har blitt verifisert av en klarert kilde og ikke bare firmaet som eier nettstedet. I utgangspunktet er det et tredjepartsselskap som har verifisert sikkerhetsinformasjonen.

En vanlig brukt sertifiseringsinstans er Verisign. Avhengig av hvilken CA som brukes, er domenet verifisert og et sertifikat utstedes. Verisign og andre klarerte CA'er vil verifisere eksistensen av virksomheten i spørsmålet og eierskapet til domenet for å gi litt mer sikkerhet om at nettstedet i spørsmålet er legitimt.

Problemet med å bruke et selvsignert sertifikat er at nesten alle nettlesere kontrollerer at en https-tilkobling er signert av en anerkjent CA. Hvis tilkoblingen er selvsignert, merkes dette som potensielt risikabelt, og feilmeldinger vil dukke opp og oppfordre kundene til ikke å stole på nettstedet, selv om det faktisk er sikkert.

Bruke et selvsignert sertifikat

Siden de gir samme beskyttelse, kan du bruke et selvsignert sertifikat hvor som helst du vil bruke et signert sertifikat, men noen steder fungerer bedre enn andre.

Selvsignerte sertifikater er gode for testing av servere. Hvis du oppretter et nettsted som du må teste over en https-tilkobling, trenger du ikke å betale for et signert sertifikat for det utviklingsområdet (som trolig vil være en intern ressurs). Du må bare fortelle testene dine at nettleseren din kan komme til å advare meldinger.

Du kan også bruke selvsignerte sertifikater for situasjoner som krever personvern, men folk er kanskje ikke så opptatt av det. For eksempel:

  • Brukernavn og passord skjemaer
  • Innsamling personlig, men ikke-finansiell av PIA, informasjon
  • På skjemaer der de eneste brukerne er folk som kjenner og stoler på deg, som et selskaps intranett

Det som kommer ned til, er tillit. Når du bruker et selvsignert sertifikat, sier du til kundene dine "stole på meg - jeg er den jeg sier jeg er." Når du bruker et sertifikat signert av en CA, sier du, "Stol på meg - Verisign er enig i at jeg er den jeg sier jeg er." Hvis nettstedet ditt er åpent for publikum, og du prøver å gjøre forretninger med dem, er sistnevnte et mye sterkere argument å gjøre.

Hvis du gjør e-handel, trenger du et signert sertifikat

Det er mulig at kundene dine vil tilgi deg for et selvsignert sertifikat hvis alt de bruker det til, er å logge inn på nettstedet ditt, men hvis du ber dem om å legge inn kredittkort eller Paypal-informasjon, trenger du virkelig en signert sertifikat. De fleste stoler på de signerte sertifikatene og vil ikke gjøre forretninger over en HTTPS-server uten en. Så hvis du prøver å selge noe på nettstedet ditt, invester deg i det sertifikatet. Det er en del av kostnaden for å drive forretning og være engasjert i salg på nettet.

De beste digitale musikk gavekort og sertifikater

De beste digitale musikk gavekort og sertifikater

Denne veiledningen hjelper deg med å finne de beste gavekortene du vil velge når du gir kreditt for musikktjenester som iTunes Store, Amazon MP3 og mer.

Hvordan velge papir for utskrift DIY Award-sertifikater

Hvordan velge papir for utskrift DIY Award-sertifikater

Her er typer papir (og farger) som fungerer best for DIY, hjemmelagde prisbevis. Bruk disse retningslinjene for et elegant eller tradisjonelt utseende.

De billigste SSL Extended Validation (EV) sertifikater for 2018

De billigste SSL Extended Validation (EV) sertifikater for 2018

SSL-sertifikater er dyre, og utvidede validering (EV) sertifikater er enda dyrere. Her er en liste over rimelige EV SSL-sertifikater.

Redaksjonens