PORADNIK e-Commerce Polska: SSL DLA E-SKLEPÓW

SSL – Co to jest?

Dlaczego warto mieć SSL?

Poradnik powstał przy współpracy Instytutu Logistyki i Magazynowania w Poznaniu (ILiM) – organizatora konkursu bezpieczny e-Sklep, serwisu //CertyfikatySSL.pl, nazwa.pl, członków Grupy Merytorycznej e-Izby: Promocja oraz usługi IT dla e-commerce.

Certyfikat SSL to podstawowe narzędzie, które zwiększa bezpieczeństwo użytkowników stron WWW, chroni ich dane i weryfikuje tożsamość serwisu internetowego. SSL to metoda zabezpieczania poufnych danych przesyłanych między użytkownikiem sieci a stroną internetową. Rozwiązanie to jest niezbędne w e-commerce.

Posiadanie certyfikatu SSL na swojej stronie www jest ważne z kilku powodów. Pierwszym z nich jest bezpieczeństwo użytkowników serwisu. Jeżeli wymagane jest od nich podanie prywatnych danych, które umożliwiają ich zidentyfikowanie np.: loginu, hasła, adresu korespondencyjnego, numeru telefony, etc., należy zagwarantować ich bezpieczeństwo. Z uwagi na to, że powyższe informacje przesyłane są przez publiczne łączą, które tworzą Internet, istnieje ryzyko przechwycenia ich przez osoby nieuprawnione. W celu skutecznej ochrony, transmisja powinna być więc szyfrowana. Dzięki temu nawet jeżeli komuś uda się przejąć dane, nie będzie w stanie ich odczytać i wykorzystać.

PPo drugie, ochrona informacji za pomocą certyfikatu SSL pomaga spełnić wymogi nakładane przez Ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997:„Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.”Generalny Inspektor Ochrony Danych Osobowych wskazuje* na certyfikat SSL, jako narzędzie ochrony danych:„„Zgodnie z art. 36 ustawy administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane.O tym, jakie śO tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być [...] protokół szyfrowania danych SSL, jak również inne środki ochrony kryptograficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy.”

*Źródło cytatu: (https://edugiodo.giodo.gov.pl/file.php/1/INF1/INF_R05.html#)

PPowód trzeci - posiadanie certyfikatu SSL to także wzrost wiarygodności strony www, na której klienci dokonują zakupów. Coraz więcej użytkowników Internetu w Polsce rozpoznaje znaki bezpieczeństwa, do których należą: kłódka, protokół „https://” oraz zielony pasek adresu www. Brak kłódki powoduje często, że klient odchodzi z e-sklepu uważając go za niebezpieczne miejsce do zakupów. Patrz Dekalog bezpiecznych zakupów online e-Commerce Polska punkt 5: www.ecommercepolska.pl/pl/59-968-dobre_praktyki

Fundacji Rozwoju Gospodarki Elektronicznej ul. Święty Marcin 29/8 61-806 Poznań www.dmdf.pl

1

SSL – Ile jest wersji i ile to kosztuje?

Podział certyfikatów ze względu na typ walidacji:

Ceny certyfikatów na rynku mogą być różne w zależności od rodzaju certyfikatu, dostawcy i instytucji certyfikującej.

TypCertyfikatu

DV OV EV

StopieńWeryfikacji

Sprawdzenie prawa do domeny

Sprawdzenie dokumentów firmowych

Sprawdzenie dokumentów firmowych rozszerzone o kontakt np. telefoniczny z firmą

5000-250 000 $ 10 000 - 1000 000 $ 100 000 - 1 500 000 $

50-1300 zł 100-4200 zł 680-4700 zł

1-5 lat 1-5 lat 1-2 latOkres ważnościcertyfikatu

Kwotagwarancji

PrzedziałyCenowe

Zestawienie certyfikatów

• DV (Domain Validation) – przed wystawieniem certyfikatu jest weryfikowana jedynie własność domeny do której jest zamawiany certyfikat. Informacje potwierdzające własność domeny są przesyłane elektronicznie, dlatego jest to najszybszy sposób weryfikacji. Dane abonenta domeny są pobierane z rejestru domen lub przez umieszczenie wskazanego elementu na serwerze, na którym jest obsługiwana domena.

• • OV (Organization Validation) - typ certyfikatu, w którym oprócz własności domeny są weryfikowane dane firmy zamawiającej certyfikat. Klient sprawdzający szczegóły certyfikatu może również zobaczyć dane firmy, na którą został wystawiony certyfikat. Ten sposób walidacji może powodować nieco dłuższy okres oczekiwania na wydanie certyfikatu - większości przypadków termin wydania certyfikatu nie powinien przekroczyć 3 dni roboczych.

• • EV (Extended Validation) – zapewnia najwyższy poziom bezpieczeństwa ze względu na rozszerzony sposób walidacji. Przed przyznaniem certyfikatu wnioskujący musi dostarczyć dokumenty potwierdzające dane firmy oraz dane abonenta domeny. Weryfikacja danych dodatkowo odbywa się przez kontakt telefoniczny z wnioskującym. Główną zaletą certyfikatów EV jest podświetlona na zielono nazwa instytucji, dla której został wystawiony certyfikat w pasku przeglądarki. Wydanie certyfikatu EV może potrwać od 1 do 7 dni roboczych ze względu na złożony proces weryfikacji.

Istnieje również możliwość zamówienia certyfikatów WildCard lub Multidomain, które pozwalają na zabezpieczenie subdomen lub kilku różnych domen przez jeden certyfikat. Standardowy certyfikat SSL zabezpiecza tylko adres „twojadomena.pl” (często w wersjach z subdomeną www. jak i bez) natomiast certyfikat typu WildCard zabezpieczy dodatkowe subdomeny pierwszego poziomu np. sklep.twojadomena.pl, blog.twojadomena.pl. Certyfikat MultiDomain może być stosowany do zabezpieczenie kilku różnych domen. Przykładowo twojadomena.pl oraz innadomena.pl. W zależności od dostawcy certyfikatu okres ważności certyfikatu i ilość domen obsługiwanych przez certyfikat może być różny.

DV

OV

EV

Fundacji Rozwoju Gospodarki Elektronicznej ul. Święty Marcin 29/8 61-806 Poznań www.dmdf.pl

2

Jaki certyfikat wybrać?

Instalacja krok po krokuPoradnik e-Commerce Polska dla e-sklepów

Prośba o plik CSR od providera hostingu

Przejście na stronę dostawcy certyfikatów SSL

Podanie w trakcie zamówienia pliku CSR

Weryfikacja danych

Otrzymanie SSLCertyfikat jest przekazywany w formie pliku TXT

Instalacja certyfikatu providera hostinguProces instalacji certyfikatu może być różny w zależności od dostawcy

Każdy e-sprzedawca powinien dołożyć wszelkich starań, by jego sklep wśród kupujących budował poczucie wiarygodności i zaufania. Jednym ze sposobów podnoszących bezpieczeństwo transakcji wykonywanych online jest właśnie odpowiednio dobrany certyfikat SSL. Jaki zatem certyfikat będzie odpowiedni dla e-sklepów? Najtańsze, a zarazem dające najniższy poziom bezpieczeństwa są certyfikaty typu DV. Przez niski poziom weryfikacji certyfikaty te mogą być postrzegane przez cześć kupujących jako mało wiarygodne, ponieważ klient weryfikujący certyfikat w prw przeglądarce internetowej nie może sprawdzić pełnych danych firmy, której certyfikat został przyznany. Optymalnym rozwiązaniem dla e-sklepów będzie opcja certyfikatu OV gdzie oprócz domeny są weryfikowane dane firmy, na którą certyfikat jest instalowany. Certyfikat EV będzie nieco droższy, ale na pewno warto zainwestować te środki jeżeli myśli się poważnie o swoim e-sklepie.

Fundacji Rozwoju Gospodarki Elektronicznej ul. Święty Marcin 29/8 61-806 Poznań www.dmdf.pl

3