Certificate SSL – ce sunt? Tipuri de certificate SSL

Certificatele SSL sunt mai importante decât crezi. Când efectuezi plata pe Internet sau completezi datele tale personale când te înscrii la newsletter – practic în fiecare din aceste cazuri îți dorești ca datele tale să rămână confidențiale, așa-i?

Din acest articol vei afla:

• Ce este certificatul SSL? 
• Cum funcționează certificatul SSL? 
• Cum diferă certificatele SSL gratuite de cele contra-cost?

Care certificate SSL sunt de ajutor în acest caz?

Ioan se conectează cu internetul și plasează o comandă. El vrea, bineînțeles, ca datele lui să rămână confidențiale. Datele sunt trimise pa server – în compania de găzduire ce gestionează site-ul, pentru ca proprietarul lui să poată realiza comanda.

Dacă transferul între browser și server ar fi întreprins, acestea pot fi citite ușor! Este vorba de faptul că acest schimb de informații poate fi preluat în timpul transmisiei – de exemplu printr-un WI-FI nesecurizat. Dacă datele sunt transmise într-un mod necriptat – atacatorul poate cunoaște conținutul acestora doar pe baza transmisiei. Teoretic, poate prelua toate informațiile confidențiale pe care Ioan le-a trimis către server.

Când folosești un certificat SSL datele tale sunt criptate încă la nivelul browserului. Acestea rămân criptate și pe dispozitivul tău (laptop, telefon etc.) și sub această formă sunt trimise la server. Întreprinderea unei astfel de transmisii nu-i oferă atacatorului acces la date.

Certificatele SSL confirmă identitatea, dar cum?

Criptarea este cel mai cunoscut avantaj al certificatelor SSL, dar nu singurul. Al doilea, mai puțin esențial, este confirmarea identității proprietarului domeniului, pentru care certificatul a fost emis.

Din acest punct de vedere, certificatele se diferențiază, într-un mod evident, prin nivelul de fiabilitate a unei astfel de confirmări – în acest context vorbim de tipul de validare.

Certificate SSL DV

DV – Domain Validation (Validare Domeniu). Acest tip de certificat validează doar domeniul. Fiabilitatea unui astfel de certificat este scăzută, pentru că acesta presupune doar, că persoana, care generează certificatul, are acces în mailul sub forma admin@numedomeniu.ro sau are posibilitatea confirmării dreptului său asupra domeniului, prin încărcarea unui fișier potrivit pe server, în folderul domeniului.

Certificatul cu acest tip de validare confirmă doar faptul că a fost generat pentru acel nume de domeniu. Acesta nu oferă informații legate de proprietarul domeniului. Uneori se întâmplă ca cineva să înregistreze un nume de domeniu foarte asemănător cu unul deja existent, și să genereze un certificat SSL pentru acesta.

Pentru că browserul confirmă că domeniul respectiv este protejat – utilizatorii pot deveni mai puțin vigilenți. Am întâlnit pe internet inclusiv informații, cum că site-urile de phishing (de ex. foarte asemănătoare cu cele ale băncilor) au fost protejate cu acest tip de validare, așadar browserele le-au evaluat ca fiind protejate cu un SSL. Astfel, utilizatorii, devenind mai puțin vigilenți și nefiind conștienți de înșelătorie, completau datele de autentificare pe un astfel de site, care în realitate era nesecurizat.

Criptarea datelor, în schimb, funcționează la fel de bine, precum în tipurile de validare superioare. În ceea ce privește transmiterea datelor între server și browser, poți considera acest SSL ca fiind unul sigur.

Certificate SSL OV

OV – en. Organization Validation (Validare Organizație). Acest tip de certificat asigură un nivel mai bun de confirmare a identității proprietarului. Se întâmplă așa pentru că în procesul de validare a domeniului se verifică și datele de identificare ale proprietarului în conformitate cu registrele oficiale. De exemplu, denumirea companiei, pentru care este emis certificatul SSL, trebuie să fie aceeași cu denumirea ce apare în Oficiul Național al Registrului Comerțului.

Această procedură îngreunează înșelătoriile – pentru a face una, atacatorul ar trebui să aibă o companie înregistrată cu o denumire foarte asemănătoare cu cea „atacată” – așadar protecția brandului tău cu un astfel de certificat este mai fiabilă decât în cazul unui DV.

Protecția confidențialității datelor, însă, este identică – tipul de validare nu este direct proporțional cu funcționarea algoritmului de criptare al datelor.

Certificate SSL EV

EV – en. Extended Validation (Validare Extinsă). În acest caz, procedeul este mai complex. Detaliile acestuia depind de emitentul certificatului și deseori implică trimiterea unui contract către companie pentru confirmarea identității solicitantului. Timpul și costul obținerii unui astfel de certificat sunt mai mari. În același timp, acest certificat este cel mai fiabil când vine vorba de confirmarea, că ești pe site-ul potrivit, și nu pe unul fals.

În cazul acestor certificate și suma garantată este cea mai mare.

Unele browsere oferă „recompense” paginilor web protejate cu acest tip de certificate, prin adăugarea culorii verzi în bara adresei site-ului. Aceasta indică cel mai mare nivel de încredere în site-ul respectiv.

Certificate SSL – ce e cu garanțiile?

Certificatele comerciale oferă, de obicei, protecție prin mecanismul sumei garantate. Aceasta este suma pe care emitentul certificatului (de ex. Comodo, Certum) o restituie, în cazul în care utilizatorul tău, de exemplu, efectuează o transacție pe pagina web protejată de un certificat SSL emis pe datele tale, dar pe site-ul atacatorului – merită să citești detaliile în regulamentul fiecărui emitent.

Este bine de știut, că în majoritatea cazurilor suma garantată oscilează între 10 000 și 100 000 USD. Asta nu înseamnă că în cazul „spargerii” certificatului, vei primi fix suma respectivă. De obicei, vorbim aici despre sume pentru utilizatorii finali, care, de exemplu, din cauza unor erori în procesul de certificare pe partea emitentului, ar fi putut fi induși în eroare în ceea ce privește proprietarul site-ului, să facă o comandă, iar pentru că site-ul era fals și imita magazinul tău online – nu ar fi primit produsul și ar fi pierdut banii.

Mecanismul sumei garantate înseamnă atunci restituirea daunelor suferite de utilizatorul final, până la suma garantată.

Nu au fost descrise cazuri în care s-ar fi profitat de această garanție la niciunul dintre marii emitenți, în compania noastră nu am înregistrat astfel de situații. Chiar și așa, garanțiile, care apar doar la certificatele comerciale, sunt un atuu adițional pentru care merită să optezi pentru securizarea site-ului tău cu acestea.

Mecanismul sumei garantate nu se regăsește la certificatele Let’s Encrypt.

Certificate SSL – comerciale vs. Let’s Encrypt

Acum câțiva ani, pe piață era disponibile numai certificatele comerciale, de 5-6 ani observăm creșterea popularității certificatelor Let’s Encrypt.

Acestea sunt certificate gratuite, ceea ce reprezintă principalul lor avantaj. Criptează datele confidențiale, la fel ca cele comerciale. Din păcate, au și dezavantaje. Cele mai importante sunt:

• Certificatul Let’s Encrypt este emis pentru 3 luni și trebuie reînnoit de fiecare dată – acest proces poate fi efectuat și automat dacă găzduirea ta îl gestionează. 
• Certificatul Let’s Encrypt se bazează pe validarea de tip DV, așadar cea mai slabă. 
• Certificatul Let’s Encrypt nu oferă nicio sumă garantată.

Merită să știi că LE poate funcționa ca orice alt certificat, dar fără un suport fiabil din partea furnizorului de găzduire, este necesară generarea lui manuală, reînnoirea și instalarea la fiecare trei luni.

Certificatul SSL nu protejează de toate!

Ține minte că există multe pericole de care certificatul SSL nu te va proteja. Instalarea certificatului SSL nu te protejează de:

• furtul informațiilor de pe server (folosește criptarea bazelor), 
• furtul informațiilor de pe computerul tău (aici te vor ajuta parolele, antivirușii),
• încălcări ale reglementărilor privind prelucrarea datelor cu caracter personal de furnizorul serviciului, 
• înregistrarea unui nume de domeniu foarte asemănător, protecția acestuia cu un certificat SSL și imitarea unei pagini web fiabile. O înșelătorie de acest gen va ieși la iveală atunci când cineva va verifica detaliile certificatului (pentru cine a fost emis), dar majoritatea persoanelor, pur și simplu, nu o face.

Aici îți recomand un articol mai pe larg despre pericolele ce pândesc asupra domeniilor, chiar dacă au instalat un certificat SSL. 

Certificate SSL în funcție de numărul și gama domeniilor

Certificatele SSL pot fi categorizate și pe baza numărului de domenii pe care le protejează, analizând numărul domeniilor și „gama” de protecție oferită per domeniu.

Merită să iei în considerare faptul că unele certificate cuprind posibilitatea instalării doar pe un server, nu pe câteva. Instalarea pe mai multe servere are sens, dacă resursele domeniului protejat sunt împrăștiate pe diferite „mașini” cu diferite adrese IP.

De exemplu, zonaclient.domenii.ro și zonaangajat.domenii.ro sunt două subdomenii diferite ale aceluiași domeniu. Dacă sunt direcționate pe servere diferite, dorind să le protejezi cu un singur certificat SSL, trebuie să te asigur că acesta poate fi utilizat pe ambele servere.

Certificate SSL – de ce merită?

Să concluzionăm de ce merită să folosești certificarea SSL:

1. Protecția datelor transmise între browserul utilizatorului și server. 
2. Fiabilitate mai mare a site-ului (mai multe conversii). 
3. Poziții mai înalte în rezultatele căutării Google. E foarte greu acum să fii sus în Google fără SSL. 
4. Vulnerabilitate scăzută la phishing (un atac ce ține de crearea unei copii a site-ului tău în scopuri ostile, de ex. preluarea datelor personale ale utilizatorilor). 
5. Evitarea unui comunicat despre pagină nesecurizată pe site, care trezește, în utilizatorul ce îți vizitează site-ul, un sentiment de teamă.