Keselamatan adalah faktor penting dalam kejayaan mana-mana laman web. Ini adalah benar terutamanya untuk laman web yang perlu untuk mengumpul PIA, atau "maklumat peribadi yang boleh dikenal pasti", daripada pelawat. Fikirkan tentang laman web yang memerlukan anda memasuki nombor keselamatan sosial, atau lebih biasa, tapak e-dagang yang anda perlukan untuk menambah maklumat kad kredit untuk menyelesaikan pembelian anda. Di laman web seperti ini, keselamatan bukan sahaja dijangka daripada pengunjung, adalah penting untuk berjaya.
Apabila anda membina laman e-dagang, salah satu perkara pertama yang perlu anda sediakan adalah sijil keselamatan supaya data pelayan anda akan terjamin. Apabila anda menetapkan ini, anda mempunyai pilihan untuk membuat sijil ditandatangani sendiri atau membuat sijil yang diluluskan oleh pihak berkuasa sijil. Mari kita perhatikan perbezaan antara kedua-dua pendekatan ini kepada pensijilan keselamatan laman web.
Persamaan Antara Sijil Berdaftar dan Ditandatangan Sendiri
Sama ada anda mendapat sijil anda yang ditandatangani oleh pihak berkuasa sijil atau menandatanganinya sendiri, terdapat satu perkara yang sama pada kedua-dua:
- Kedua-dua sijil akan menghasilkan tapak yang tidak boleh dibaca oleh pihak ketiga. Data yang dihantar melalui sambungan HTTPS , atau SSL , akan disulitkan tanpa mengira sama ada sijil ditandatangani atau ditandatangani sendiri.
Dalam erti kata lain, kedua-dua jenis sijil akan menyulitkan data untuk membuat laman web yang selamat. Dari perspektif keselamatan digital, ini adalah langkah 1 proses.
Kenapa Anda Membayar Pihak Berkuasa Sijil
Pihak berkuasa sijil memberitahu pelanggan anda bahawa maklumat pelayan ini telah disahkan oleh sumber yang dipercayai dan bukan hanya syarikat yang memiliki laman web tersebut. Pada asasnya, terdapat syarikat pihak ke-3 yang telah mengesahkan maklumat keselamatan.
Pihak Berkuasa Sijil yang paling biasa digunakan ialah Verisign. Bergantung pada mana CA digunakan, domain itu disahkan dan sijil dikeluarkan. Verisign dan CA yang dipercayai lain akan mengesahkan kewujudan perniagaan yang dimaksudkan dan pemilikan domain untuk menyediakan sedikit lebih banyak jaminan bahawa tapak yang dimaksudkan adalah sah.
Masalah dengan menggunakan sijil ditandatangani sendiri ialah hampir setiap pelayar Web memeriksa bahawa sambungan https ditandatangani oleh CA yang diiktiraf. Jika sambungan itu ditandatangani sendiri, ini akan ditandakan sebagai berpotensi berisiko dan mesej ralat akan muncul menggalakkan pelanggan anda untuk tidak mempercayai laman web ini, bahkan jika ia benar-benar selamat.
Menggunakan Sijil Berdiri Sendiri
Oleh kerana mereka memberikan perlindungan yang sama, anda boleh menggunakan sijil ditandatangani sendiri di mana sahaja anda akan menggunakan sijil yang ditandatangani, tetapi sesetengah tempat bekerja lebih baik daripada yang lain.
Sijil yang ditandatangani sendiri adalah baik untuk pelayan ujian . Jika anda membuat laman web yang anda perlukan untuk menguji sambungan https, anda tidak perlu membayar sijil yang ditandatangani untuk tapak pembangunan itu (yang kemungkinan akan menjadi sumber dalaman). Anda hanya perlu memberitahu penguji anda bahawa penyemak imbas mereka mungkin memaparkan mesej amaran.
Anda juga boleh menggunakan sijil ditandatangani sendiri untuk situasi yang memerlukan privasi, tetapi orang mungkin tidak begitu prihatin. Sebagai contoh:
- Borang nama pengguna dan kata laluan
- Mengumpul maklumat peribadi, tetapi bukan kewangan PIA
- Pada borang di mana pengguna hanya orang yang mengetahui dan mempercayai anda, seperti Intranet syarikat
Apa yang diturunkan adalah amanah. Apabila anda menggunakan sijil ditandatangani sendiri, anda berkata kepada pelanggan anda "mempercayai saya - saya yang saya katakan saya." Apabila anda menggunakan sijil yang ditandatangani oleh CA, anda berkata, "Percayalah - Verisign setuju saya yang saya katakan saya." Sekiranya tapak anda terbuka kepada orang ramai dan anda cuba melakukan perniagaan dengan mereka, kemudiannya adalah argumen yang lebih kuat untuk dibuat.
Jika Anda Melakukan E-dagang, Anda Perlu Sertifikat yang Ditandatangani
Adalah mungkin pelanggan anda akan memaafkan anda untuk sijil yang ditandatangani sendiri sekiranya mereka menggunakannya untuk log masuk ke laman web anda, tetapi jika anda meminta mereka memasukkan kad kredit atau maklumat Paypal mereka, maka anda benar-benar perlu menandatangani sijil. Kebanyakan orang mempercayai sijil yang ditandatangani dan tidak akan menjalankan perniagaan melalui pelayan HTTPS tanpa nama. Jadi jika anda cuba menjual sesuatu di laman web anda, melabur dalam sijil tersebut. Ia sebahagian daripada kos menjalankan perniagaan dan terlibat dalam jualan dalam talian.
Artikel asal oleh Jennifer Krynin. Diedit oleh Jeremy Girard.