Kto powinien instalować certyfikaty SSL?
Certyfikat SSL to jedno z najważniejszych narzędzi weryfikujących tożsamość stron internetowych, a także zabezpieczających przed przejęciem danych użytkowników. Równocześnie jest to narzędzie, która uwiarygadnia firmę w oczach jej klientów, pokazując dbałość o bezpieczeństwo i wypełnianie wymogów GIODO.
Rozważając zakup certyfikatu, należy przede wszystkim zastanowić się do czego go potrzebujemy. Jeśli nasza strona jest rodzajem pasywnej wizytówki(np. strona firmowa, portfolio, blog), gdzie nie ma dwustronnej transmisji danych z użytkownikami - certyfikat nie będzie potrzebny. Zupełnie inaczej wygląda sytuacja serwisów, które wymagają choćby logowania. Zainstalowanie certyfikatu SSL jest obowiązkiem właściciela każdej strony, która zbiera dane użytkowników - w tym wypadku login i hasło.
Należy mieć na uwadze, że instalowanie certyfikatów SSL jest zaleceniem Generalnego Inspektora Danych Osobowych. Jeśli więc przetwarzasz dane, które mogą być uznane za dane osobowe, z pewnością powinieneś wypełnić ten obowiązek.
Jeśli nie jesteś pewny czy dane, które pozyskujesz są danymi osobowymi koniecznie zapoznaj się z odpowiednimi przepisami prawa: w rozumieniu Ustawy o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 roku "za dane osobowe uważa się wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań."
Daną osobową będzie więc nie tylko imię i nazwisko, lecz także - w pewnych przypadkach - adres poczty internetowej bądź zestaw danych, które umożliwią stosunkowo szybką i jednoznaczną identyfikację osoby fizycznej. Np. za daną osobową może zostać uznane imię i nazwisko osoby jeśli towarzyszy im również dodatkowa informacja, np. adres lub numer telefonu.
Certyfikaty różnią się od siebie - oferują różny poziom zabezpieczeń, a ich koszt jest adekwatny do poziomu ochrony użytkowników.
Najprostszą opcją jest certyfikat SSL walidujący domenę (DV - Domain Validation). Zabezpiecza on transmisję danych w obrębie domeny i potwierdza jej autentyczność. Jest idealnym rozwiązaniem dla niewielkich sklepów internetowych, małych portali czy forów internetowych. Jego użycie powinni rozważyć także właściciele blogów, oraz popularnych ostatnio stron opartych o systemy CMS (np. Wordpress) gdzie dostęp do panelu administracyjnego jest uzyskiwany poprzez formularz logowania w przeglądarce internetowej. Takie zabezpieczenie może uchronić stronę firmową przed przejęciem i "wzbogaceniem" jej treści o te nieprzychylne firmie bądź nawet niezgodne z prawem.
Kolejną grupą osób, którym przyda się certyfikat z grupy DV są właściciele aplikacji instalowanych na fanpage'ach w portalu Facebook. Instalacja certyfikatu jest wymuszana przez sam portal społecznościowy. Dzięki temu użytkownicy Facebooka stale pozostają w obrębie szyfrowanego połączenia i nie muszą obawiać się przechwycenia danych. Niewątpliwie jest to bardzo słuszna decyzja władz serwisu. Cena tego typu certyfikatu ważnego przez 1 rok to ok. 130 zł - nie jest to więc duży wydatek biorąc pod uwagę, że gwarancja finansowa wystawcy to nawet 30 000 zł.
Jeśli potrzebujesz wyższego poziomu zabezpieczeń skorzystaj z certyfikat SSL potwierdzającego autentyczność domeny oraz jej właściciela (OV - Organization Validation). Jest to opcja odpowiednia dla serwisów z rozbudowanym formularzem rejestracji gdzie od użytkowników wymaga się podania takich danych jak np. imię, nazwisko, adres zamieszkania czy numer telefonu. Certyfikat ten jest odpowiedni dla dużych sklepów internetowych, serwisów z branży hotelarskiej umożliwiających rezerwację noclegu za pośrednictwem strony WWW, witryn urzędów administracji publicznej czy serwerów baz danych. Koszt certyfikatu OV to około 450 zł, a gwarancja finansowa, którą możesz uzyskać w razie problemów z prawidłowym działaniem certyfikatu to nawet 750 000 zł.
Najwyższy prestiż oferują certyfikaty EV (Extended Validation). Certyfikaty te autentykują domenę, dane jej właściciela oraz wyświetlają zielony pasek adresu. Na pewno kojarzysz je z systemów bankowości internetowej czy płatności online.
Są to certyfikaty o najwyższym zaufaniu i są stosowane zazwyczaj przez branżę finansową, firmy świadczące usługi płatnicze czy też podmioty przetwarzające dane o szczególnie delikatnej naturze takie jak np. wyznanie czy narodowość użytkowników.
Lista branż, dla których ten certyfikat będzie dobrym wyborem jest jednak zdecydowanie dłuższa. Powinny na niej znaleźć się także między innymi agencje HR, które często umożliwiają przesłanie swojego CV poprzez specjalny formularz na stronie. Ponadto uczelnie wyższe - szczególnie te, które udostępniają tzw. wirtualne dziekanaty bądź systemy umożliwiające zapisanie się na zajęcia oraz właściciele kancelarii prawnych i biur rachunkowych - o ile umożliwiają klientom kontakt przez stronę www (np. przesyłanie zapytań, albo nawet elektronicznych dokumentów).
Podsumowując, certyfikat SSL jest potrzebny wszędzie tam gdzie występuje przekazywanie jakichkolwiek danych użytkownika. Transmisja danych powinna być chroniona nawet na forach internetowych ponieważ wymagają one logowania za pomocą loginu i hasła. Warto również zabezpieczyć certyfikatem firmowe narzędzia działające w trybie online.
