Co to są certyfikaty cyfrowe?
Rozwija się handel elektroniczny ze względu na możliwość dokonywania bezpiecznych transakcji online za pomocą odpowiednich narzędzi. Te narzędzia to szyfrowanie kluczem publicznym i certyfikaty cyfrowe.
Szyfrowanie klucza publicznego wykorzystuje SSL (Secure Sockets Layer) do szyfrowania wszystkich danych między komputerem klienta a witryną e-commerce. Informacje są przesyłane w postaci zaszyfrowanej do witryny przy użyciu klucza publicznego witryny. Po otrzymaniu informacji witryna używa swojego klucza prywatnego do odszyfrowania informacji. Nazywa się to parą kluczy . Osoby interpelujące, które mogą przechwytywać dane na trasie, uznają je za nieczytelne.
Problem polega jednak na tym, że każdy może stworzyć stronę internetową i parę kluczy, używając nazwy, która do nich nie należy. W tym miejscu pojawiają się certyfikaty cyfrowe. Certyfikaty cyfrowe są zaufanymi kartami identyfikacyjnymi w formie elektronicznej, które wiążą publiczny klucz szyfrowania strony internetowej z ich tożsamością do celów zaufania publicznego.
Certyfikaty cyfrowe są wydawane przez niezależną, uznaną i wzajemnie zaufaną stronę trzecią, która gwarantuje, że działająca strona internetowa jest tym, za kogo się podaje. Ta strona trzecia jest znana jako Urząd Certyfikacji (CA) . Bez cyfrowych certyfikatów opinia publiczna nie ma pewności co do legalności jakiejkolwiek strony internetowej.
Certyfikat cyfrowy zawiera między innymi nazwę, adres, numer seryjny, klucz publiczny, datę ważności i podpis cyfrowy. Gdy przeglądarka internetowa, taka jak Firefox, Netscape lub Internet Explorer, nawiąże bezpieczne połączenie, certyfikat cyfrowy jest automatycznie przekazywany do przeglądu. Przeglądarka sprawdza, czy nie ma anomalii lub problemów, i wyświetla alert, jeśli taki zostanie wykryty. Gdy certyfikaty cyfrowe są w porządku, przeglądarka wykonuje bezpieczne połączenia bez zakłóceń.
Chociaż zdarzają się rzadko, zdarzają się przypadki oszustw związanych z wyłudzaniem informacji, które powielają witrynę i „przejmują” cyfrowy certyfikat witryny, aby oszukać klientów, aby zrezygnowali z danych osobowych. Oszustwa polegały na przekierowaniu klienta do prawdziwej witryny w celu uwierzytelnienia, a następnie sprowadzeniu go z powrotem na powieloną witrynę. Inne oszustwa phishingowe wykorzystują samopodpisane certyfikaty cyfrowe w celu całkowitego usunięcia zaufanej strony trzeciej lub urzędu certyfikacji. Wystawca certyfikatu cyfrowego i podpisujący są jednym i tym samym. Przeglądarka ostrzeże w tym przypadku, ale większość użytkowników i tak kliknie, nie rozumiejąc różnicy.
Certyfikaty cyfrowe odgrywają integralną rolę w zapewnieniu bezpieczeństwa handlu online. Jeśli Twoja przeglądarka ostrzega o problemie z certyfikatem cyfrowym, dobrze jest nie klikać. Zamiast tego zadzwoń do firmy za pomocą numeru telefonu z wyciągów lub książki telefonicznej i zapytaj o problem.
Nie wszystkie urzędy certyfikacji są sobie równe. Niektóre urzędy certyfikacji są nowsze i mniej znane. Dwa przykłady zaufanych urzędów certyfikacji to VeriSign i Thawte. Jeśli Twoja przeglądarka nie rozpoznaje urzędu certyfikacji, powiadomi Cię o tym.