Certyfikat SSL w sklepie internetowym – jak zabezpieczyć sklep internetowy?
Certyfikat SSL w sklepie internetowym nie ma prostego odpowiednika w świecie rzeczywistym. Łączy w sobie cechy szyldu nad wejściem, agenta ochrony konwojującego utarg i rzetelnego sprzedawcy dbającego o klienta. Niemożliwe? Przeczytaj artykuł i sprawdź.
Spis treści
- Niebezpieczeństwa w e-commerce
- Jak zabezpieczyć sklep internetowy?
- Certyfikat SSL w sklepie internetowym – co to takiego?
- Przed czym chroni certyfikat SSL?
- Skąd wiemy, że strona posiada certyfikat SSL?
- Rodzaje certyfikatów SSL
- Czy sklep internetowy musi posiadać certyfikat SSL
- Certyfikat SSL – jaki wybrać dla sklepu internetowego?
- Gdzie kupić certyfikat SSL i jak zintegrować go ze sklepem?
- Certyfikat SSL a pozycja w Google
- Podsumowanie
Niebezpieczeństwa w e-commerce
Świat wirtualny i rzeczywisty przeplatają się nieustannie. Internetowe odpowiedniki naśladują funkcjonowanie znanych ze świata fizycznego instytucji, organizacji, firm. Ze względu na swoją działalność wirtualne podmioty podlegają też zagrożeniom. Na e-sklepy czyhają e-złodzieje, na e-klientów e-oszuści.
Celem ataków cyberprzestępców są urządzenia, którymi posługuje się w trakcie zakupów klient (smartfon, tablet, komputer). Zagrożone są również dane przesyłane między urządzeniem użytkownika a stroną sklepu internetowego, jak i sam sklep internetowy.
Częstą konsekwencją ataków na klientów jest ujawnienie poufnych danych, które następnie wykorzystywane są do kradzieży pieniędzy z konta lub podjęcia różnego rodzaju zobowiązań finansowych (zaciągnięcie kredytu, dokonanie zakupu etc.). Dużym problemem są też oszustwa związane z podszywaniem się pod istniejący sklep, przyjmowaniem zamówień i płatności, bez dostarczenia towaru.
Jak zabezpieczyć sklep internetowy?
Odpowiedzią na istniejące zagrożenia są różne rozwiązania. Użytkownik może (i powinien!) stosować na swoich urządzeniach programy antywirusowe oraz właściwe przechowywać ważne hasła aby uniemożliwić ich kradzież.
A co z samym sklepem i transmisją danych na linii serwer sprzedawcy-urządzenie klienta? Tutaj znalezienie i zastosowanie rozwiązań leży po stronie właściciela sklepu. Tylko sprzedawca może skutecznie zadbać o to, by klient miał pewność, że trafił do odpowiedniego miejsca w Internecie i że jego dane nie zostaną przechwycone. Skutecznym i powszechnie przyjętym rozwiązaniem jest stosowanie bezpiecznego przesyłania danych z wykorzystaniem protokołu SSL (Secure Socket Layer).
Jeśli chcesz się dowiedzieć, czy twój sklep internetowy działa sprawnie i zapewnia użytkownikom optymalne doświadczenie, nie przegap naszego szczegółowego artykułu Audyt UX sklepu internetowego.
Certyfikat SSL w sklepie internetowym – co to takiego?
Najkrócej mówiąc jest to rozwiązanie umożliwiające ochronę danych przesyłanych między urządzeniem użytkownika a serwerem, na którym zainstalowany jest sklep. Pozwala ono jednocześnie stwierdzić kto jest właścicielem tego serwera.
Wchodząc nieco w szczegóły, certyfikat SSL to podpisany cyfrowo dokument elektroniczny zawierający używany do szyfrowania danych tak zwany „klucz publiczny” jego właściciela oraz dane właściciela. Jednocześnie jest to dowód na to, że na serwerze znajduje się tajny „klucz prywatny” pozwalający na odszyfrowanie przesłanych informacji.
Przed czym chroni certyfikat SSL?
Podstawowym zagrożeniem eliminowanym przez certyfikaty jest ryzyko odczytania danych przez osobę nieupoważnioną. Wyobraźmy sobie sytuację, w której haker, w znany sobie sposób „przechwytuje” zamówienie składane przez klienta sklepu internetowego. Bez zastosowania szyfrowania danych intruz mógłby odczytać między innymi imię i nazwisko zamawiającego, adres zamieszkania, numer telefonu oraz numer karty kredytowej używanej do płatności. Zastosowanie certyfikatu SSL spowoduje jednak, że dane są bezpieczne. Zamiast przedstawionych w jawnej postaci informacji widać ciąg znaków, które odczytać może tylko właściciel certyfikatu.
Drugim zagrożeniem, którego może uniknąć klient jest ryzyko złożenia zamówienia w fałszywym sklepie. Certyfikat potwierdzający tożsamość firmy lub osoby prowadzącej sprzedaż daje klientowi dodatkową, zweryfikowaną informację, znacznie pewniejszą niż treści umieszczone w witrynie przez jej autora.
Innym ryzykiem usuwanym dzięki zastosowaniu certyfikatu jest zmodyfikowanie treści zamówienia. Bez szyfrowania pakietu danych haker po przejęciu zamówienia, mógłby np. zmienić liczbę produktów, albo adres dostawy.
Skąd wiemy, że strona posiada certyfikat SSL?
Rozpoznanie zabezpieczonej witryny jest bardzo proste. Pierwszym elementem jest struktura adresu. Strony wyposażone w certyfikat SSL mają adres rozpoczynający się od https://. Kolejne oznaczenie to kłódeczka przy adresie witryny. Mimo, że w różnych przeglądarkach wygląda ona nieco inaczej, jej znaczenie jest jednakowe: strona łączy się z użytkownikiem w bezpieczny sposób.
Bardziej zaawansowane informacje o zabezpieczeniu są dostępne po kliknięciu kłódeczki. Obejmują one parametry techniczne certyfikatu, termin ważności, dane wystawcy i właściciela.
Rodzaje certyfikatów SSL
Istnieje wiele typów certyfikatów SSL. Przede wszystkim różnią się one pod względem technicznym, m.in. siłą szyfrowania, długością kluczy kryptograficznych oraz wsparciem dla konkretnych algorytmów. Nie będę jednak wchodził głębiej w te zagadnienia, ponieważ można przyjąć, że niemal wszystkie dostępne na rynku certyfikaty pod względem technicznym spełniają wymagania istotne dla e-commerce.
Certyfikaty różnią się także pod względem procesu ich wystawiania, a dokładnie:
- wystawcy certyfikatu SSL,
- zakresu danych potwierdzonych w certyfikacie,
- sposobu weryfikacji danych.
Pierwsza z wymienionych cech przekłada się na automatyczne rozpoznawanie certyfikatu przez przeglądarkę na urządzeniu klienta. Zaufane centra certyfikacji wpisane są do globalnie dostępnej bazy, potwierdzającej poprawność ich działania.
Dwie kolejne cechy przekładają się natomiast na wiarygodność zweryfikowanych danych i odpowiadają klasom certyfikatów:
DV (Domain Validation) – certyfikat zapewniający bazowy poziom bezpieczeństwa. Potwierdza wyłącznie istnienie witryny pod adresem internetowym wskazanym w żądaniu wystawienia certyfikatu.
OV (Organization Validation) – certyfikat o stosunkowo wysokim poziomie bezpieczeństwa. Oprócz weryfikacji istnienia domeny, sprawdzane są dane wnioskodawcy ubiegającego się o wystawienie certyfikatu. Weryfikacja odbywa się z reguły na podstawie kopii dokumentów. Obejmuje sprawdzenie czy dane teleadresowe są przypisane do właściciela certyfikatu.
EV (Extended Validation) – certyfikat o najwyższym poziomie wiarygodności, powszechnie stosowany przez instytucje rządowe, firmy ubezpieczeniowe i banki. Weryfikacja danych przeprowadzana jest na podstawie oryginałów dokumentów rejestracyjnych. Obejmuje dodatkowo sprawdzenie formy prawnej działalności oraz potwierdzenie faktycznego prowadzenia działalności.
Porównując różne typy certyfikatów warto również zwrócić uwagę na różnice w zasadach odnowienia certyfikatów i stosowania ich do zabezpieczenia wielu domen (adresów internetowych).
Czy sklep internetowy musi posiadać certyfikat SSL
Formalnie nie, praktycznie – zastosowanie certyfikatu jest najprostszym i jednocześnie najtańszym sposobem na spełnienie wymogów prawnych.
Zgodnie z Ustawą o świadczeniu usług elektronicznych, usługodawca musi umożliwić nieodpłatne:
„korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych”.
Certyfikat SSL jest rozwiązaniem kryptograficznym, rozpoznawanym i wspieranym przez przeglądarki internetowe, niewymagającym dodatkowych czynności i opłat od użytkownika. Spełnia więc wymagania określone w przepisach.
Właściciel sklepu internetowego odpowiadając sobie na pytanie „czy muszę / powinienem zainstalować certyfikat SSL?” powinien brać pod uwagę również użyteczność serwisu (UX). Na dzisiejszym rynku klient ma do wyboru wielu dostawców i bardzo łatwo podjąć mu decyzję o zmianie sprzedawcy. W tej sytuacji kwestie bezpieczeństwa danych stają się bardziej istotne. Brak zabezpieczenia transmisji, czy potwierdzenia tożsamości posiadacza witryny mogą znacząco wpłynąć na współczynnik konwersji i wielkość sprzedaży.
Certyfikat SSL – jaki wybrać dla sklepu internetowego?
Jak wspomniałem, można przyjąć, że większość dostępnych certyfikatów pod względem technicznym spełnia swoje zadania. Połączenie jest szyfrowane i przeglądarka oraz program antywirusowy nie ostrzegają przed potencjalnym zagrożeniem.
Przy wyborze rozwiązania warto jednak wziąć pod uwagę wiarygodność. Certyfikat klasy EV wystawiony przez profesjonalne centrum certyfikacji, jest bardziej godny zaufania od certyfikatu Let’s Encrypt (typ DV o automatycznej weryfikacji uproszczonej do minimum).
Dla właścicieli sklepów, szczególnie mających mniejszy obrót, znaczenie mieć będą ceny certyfikatów. Dolny próg to rozwiązania bezpłatne (jak wspomniany Let’s Encrypt). Najdroższe certyfikaty komercyjne kosztować mogą natomiast nawet ponad 2.500 złotych rocznie.
Przyjmuje się, że certyfikaty typu DV przeznaczone są dla niedużych, początkujących sklepów internetowych. Certyfikaty OV są najczęściej stosowanym rozwiązaniem w sklepach średniej wielkości, bez względu na branżę, w której działają. Certyfikaty kategorii EV w ecommerce wykorzystują głównie duże podmioty. Między innymi sklepy prowadzące sprzedaż produktów prestiżowych i finalizujące transakcje o wysokiej wartości.
Gdzie kupić certyfikat SSL i jak zintegrować go ze sklepem?
Certyfikat można kupić bezpośrednio w centrum certyfikacji lub za pośrednictwem podmiotu świadczącego usługi hostingowe. Dobrym rozwiązaniem jest także zakup za pośrednictwem serwisów umożliwiających porównanie parametrów (w tym cen) certyfikatów różnych dostawców.
Sposób instalacji certyfikatu zależy głównie od rodzaju serwera i stosowanego oprogramowania. Szczegółowe instrukcje są łatwe do znalezienia na stronach wystawców certyfikatów, sprzedawców rozwiązań tego typu oraz witrynach firm hostingowych.
Certyfikat SSL a pozycja w Google
Do opisanych wcześniej korzyści, warto dodać, że użycie certyfikatu SSL w sklepie internetowym pozytywnie wpływa na pozycję strony w wynikach wyszukiwania. Dzieje się tak dlatego, że algorytmy wyszukiwarki promują serwisy o potwierdzonej tożsamości, zapewniające użytkownikom ochronę i szyfrowanie danych.
Warto zaznaczyć, że przeglądarka Google, czyli Chrome, dodatkowo negatywnie wyróżnia w wynikach strony, które nie mają zainstalowanych ważnych certyfikatów SSL.
Podsumowanie
Prowadzenie sprzedaży w Internecie wymaga mierzenia się z wieloma wyzwaniami. Jednym z nich jest zapewnienie bezpieczeństwa transakcji, w szczególności danych podawanych przez użytkowników.
Stosowane powszechnie certyfikaty SSL są na dziś skutecznym i prostym do wdrożenia rozwiązaniem, które oprócz technicznego zabezpieczenia transmisji danych, podnosi formalną wiarygodność transakcji.