Бесплатный SSL сертификат и проблема кражи данных
Установление подлинности и проверка личности – вот ответы на проблему доверия в Интернете.
Бесплатный SSL сертификат предоставляет защищенное соединение, но не проверяет личность владельца веб-ресурса. SSL сертификаты фактически стали стандартом доверия в Интернете. Они представляют собой настолько важную часть Интернет безопасности, что поисковая система Google решила использовать наличие защищенного HTTPS-соединения в качестве сигнала ранжирования. Теперь веб-сайты, которые защищают свое содержимое с помощью SSL сертификата, получают преимущество в поисковой выдаче по сравнению с сайтами, что открываются через простое HTTP-соединение. Пользователи также начали больше разбираться в вопросах безопасности, знают, как отличить защищенный веб-ресурс, и ожидают, что любой веб-сайт, запрашивающий конфиденциальную или личную информацию, будет показывать универсальный символ безопасности – закрытый замок. При отсутствии этого знака, они просто не будут вводить свои данные на сайте. В одном из исследований Tech-Ed выяснили, что более 35% пользователей подумали бы, перед тем, как проводить оплату кредитной картой на сайте с обычным ( в том числе бесплатным) SSL сертификатом, так как он не подтверждает подлинность владельца сайта.
Разница между SSL сертификатами
Стоит ли меньше доверять SSL сертификатам? Отвечая на этот вопрос, следует учитывать тот факт, что не все SSL сертификаты одинаковы. Есть три типа SSL сертификатов, различающихся по уровню проверки со стороны центра сертификации SSL:
Другие предлагают бесплатные SSL сертификаты только в качестве тестовых решений, которые помогают определиться, подходит ли вам SSL в техническом плане. Например, на нашем сайте можно заказать бесплатный SSL сертификат от Comodo на три месяца. Установление подлинности владельца сайта, или аутентификация, имеет решающее значение для онлайн безопасности и доверия в Интернете. Аутентификация дает гарантию, что вы находитесь на настоящем сайте paypal.com, а не на поддельном фишинговом сайте paypal. Центры сертификации, которые проводят аутентификацию при выдаче SSL сертификатов, следуют определенным строгим требованиям проверки компании и личности заказчика, а также его полномочия запрашивать SSL сертификат от имени компании.
Бесплатные сертификаты не позволяют проводить аутентификацию и проверку личности, из-за чего их часто заказывают мошенники для поддельных сайтов. Так, в прошлом году бесплатный сертификат от CloudFlare использовали при отправке мошеннических писем Интернет пользователям. Эти письма отправлялись якобы от сервисного провайдера облачной удаленной связи и содержали уведомлении о проблеме в продлении сервисной подписки из-за нехватки средств на счету клиента. Ссылка в письме начиналась с HTTPS и указывала на защищенное соединение со страницей, на которой находился счет с подробной информацией о транзакции. Так как на сайте был установлен SSL сертификат, пользователи были более склонны доверять этим письмам и загружать зараженный вирусом файл.
К счастью, впоследствии этот сертификат отозвали, а сайт во всех браузерах пометили как мошеннический. Тем не менее, это только вершина айсберга и Интернет мошенники все больше обращают внимание на бесплатные сертификаты. В нашей практике также было несколько случаев, когда нам приходилось отменять заказы из-за мошеннического содержания на сайте потенциального клиента. Так как бесплатные и совсем дешевые SSL сертификаты становятся все более доступными, не удивительно, что преступники продолжают использовать отсутствие аутентификации в своих грязных целях.
В связи с условиями получения и техническими требованиями, EV SSL сертификат с расширенной проверкой невозможно подделать. Это дает значительное преимущество большим компаниям в использовании SSL сертификатов с EV в качестве простого анти-фишингового индикатора и гаранта того, что данные защищены и не могут быть перехвачены мошенниками. Чтобы ваши клиенты чувствовали себя в безопасности, вам следует находиться на шаг впереди Интернет преступников и скаммеров, что всегда требует новых решений. Проверка подлинности компании и аутенитификация получателя SSL сертификата – это достойный ответ на проблему доверия в Интернете.
Бесплатный SSL сертификат предоставляет защищенное соединение, но не проверяет личность владельца веб-ресурса. SSL сертификаты фактически стали стандартом доверия в Интернете. Они представляют собой настолько важную часть Интернет безопасности, что поисковая система Google решила использовать наличие защищенного HTTPS-соединения в качестве сигнала ранжирования. Теперь веб-сайты, которые защищают свое содержимое с помощью SSL сертификата, получают преимущество в поисковой выдаче по сравнению с сайтами, что открываются через простое HTTP-соединение. Пользователи также начали больше разбираться в вопросах безопасности, знают, как отличить защищенный веб-ресурс, и ожидают, что любой веб-сайт, запрашивающий конфиденциальную или личную информацию, будет показывать универсальный символ безопасности – закрытый замок. При отсутствии этого знака, они просто не будут вводить свои данные на сайте. В одном из исследований Tech-Ed выяснили, что более 35% пользователей подумали бы, перед тем, как проводить оплату кредитной картой на сайте с обычным ( в том числе бесплатным) SSL сертификатом, так как он не подтверждает подлинность владельца сайта.
Разница между SSL сертификатами
Стоит ли меньше доверять SSL сертификатам? Отвечая на этот вопрос, следует учитывать тот факт, что не все SSL сертификаты одинаковы. Есть три типа SSL сертификатов, различающихся по уровню проверки со стороны центра сертификации SSL:
- SSL сертификат с проверкой домена (англ. Domain Validated, или DV): Проверка личности заказчика не проводится. Центр сертификации отправляет автоматическое электронное письмо владельцу веб-сайта, который для подтверждения своего заказа должен перейти по ссылке в этом письме. Такой SSL сертификат зашифровывает передаваемую на сайт информацию, но не дает гарантии, что этой организации или частному лицу можно доверять. Бесплатные SSL сертификаты бывают только этого вида.
- SSL сертификат с проверкой бизнеса (англ. Organization Validated, или OV): Проверка личности заказчика на начальном уровне. В случае с OV сертификатом сертификационный центр проводит более существенную валидацию. Она включает проверку регистрационных документов компании или индивидуального предпринимателя в государственных и коммерческих базах данных, а также проверку их законного владения доменом. Такие сертификаты выдаются от 1 до 3 дней.
- SSL сертификат с расширенной проверкой (англ. Extended Validation, или EV): Более строгая (расширенная) проверка личности заказчика. Это наиболее высокий уровень валидации по строгим стандартам проверки личности. В процессе проверяется физическое расположение предприятия, проводится звонок заказчику, чтобы выяснить, действительно ли он право заказать EV SSL сертификат от имени компании, а также много других факторов. Расширенная проверка занимает от 3 дней до недели.
Бесплатный SSL сертификат: проблема безопасности данных
Некоторые центры сертификации выдают бесплатные SSL сертификаты, полагаясь только на полностью автоматизированную процедуру выдачи, во время которой не проводится аутентификация заказчика, что позволяет удерживать затраты на минимальном уровне.Другие предлагают бесплатные SSL сертификаты только в качестве тестовых решений, которые помогают определиться, подходит ли вам SSL в техническом плане. Например, на нашем сайте можно заказать бесплатный SSL сертификат от Comodo на три месяца. Установление подлинности владельца сайта, или аутентификация, имеет решающее значение для онлайн безопасности и доверия в Интернете. Аутентификация дает гарантию, что вы находитесь на настоящем сайте paypal.com, а не на поддельном фишинговом сайте paypal. Центры сертификации, которые проводят аутентификацию при выдаче SSL сертификатов, следуют определенным строгим требованиям проверки компании и личности заказчика, а также его полномочия запрашивать SSL сертификат от имени компании.
Бесплатные сертификаты не позволяют проводить аутентификацию и проверку личности, из-за чего их часто заказывают мошенники для поддельных сайтов. Так, в прошлом году бесплатный сертификат от CloudFlare использовали при отправке мошеннических писем Интернет пользователям. Эти письма отправлялись якобы от сервисного провайдера облачной удаленной связи и содержали уведомлении о проблеме в продлении сервисной подписки из-за нехватки средств на счету клиента. Ссылка в письме начиналась с HTTPS и указывала на защищенное соединение со страницей, на которой находился счет с подробной информацией о транзакции. Так как на сайте был установлен SSL сертификат, пользователи были более склонны доверять этим письмам и загружать зараженный вирусом файл.
К счастью, впоследствии этот сертификат отозвали, а сайт во всех браузерах пометили как мошеннический. Тем не менее, это только вершина айсберга и Интернет мошенники все больше обращают внимание на бесплатные сертификаты. В нашей практике также было несколько случаев, когда нам приходилось отменять заказы из-за мошеннического содержания на сайте потенциального клиента. Так как бесплатные и совсем дешевые SSL сертификаты становятся все более доступными, не удивительно, что преступники продолжают использовать отсутствие аутентификации в своих грязных целях.
В чем преимущество EV SSL сертификата
Исследование Tech-ED показало, что 67% пользователей не завершили бы покупку на незнакомом сайте без EV SSL сертификата с расширенной проверкой, который бы подтверждал подлинность организации. SSL сертификаты заверяют, что канал связи пользователя с веб-сайтом зашифрован и безопасен. Но только EV SSL сертификаты вызывают непосредственное доверие посетителей, так как они гарантируют, что информация защищена, организация, в которую она отправляется, заслуживает доверия. URL-адрес веб-сайта с установленным EV SSL сертификатом выглядит так: В связи с условиями получения и техническими требованиями, EV SSL сертификат с расширенной проверкой невозможно подделать. Это дает значительное преимущество большим компаниям в использовании SSL сертификатов с EV в качестве простого анти-фишингового индикатора и гаранта того, что данные защищены и не могут быть перехвачены мошенниками. Чтобы ваши клиенты чувствовали себя в безопасности, вам следует находиться на шаг впереди Интернет преступников и скаммеров, что всегда требует новых решений. Проверка подлинности компании и аутенитификация получателя SSL сертификата – это достойный ответ на проблему доверия в Интернете.