يعد الأمان عاملاً هامًا للغاية في نجاح أي موقع إلكتروني. هذا ينطبق بشكل خاص على المواقع التي تحتاج إلى جمع PIA ، أو "معلومات التعريف الشخصية" ، من الزوار. فكر في موقع يتطلب منك إدخال رقم ضمان اجتماعي ، أو بشكل أكثر شيوعًا ، موقع تجارة إلكترونية تحتاج إلى إضافة معلومات بطاقة الائتمان إليه لإكمال عملية الشراء. في مثل هذه المواقع ، لا يتوقع الأمن فقط من هؤلاء الزوار ، فمن الضروري للنجاح.
عندما تقوم بإنشاء موقع للتجارة الإلكترونية ، فإن أحد أول الأشياء التي ستحتاج إلى إعدادها هو شهادة أمان حتى تكون بيانات الخادم الخاصة بك آمنة. عند إعداد هذا ، يكون لديك خيار إنشاء شهادة موقعة ذاتياً أو إنشاء شهادة معتمدة من قِبل مرجع مصدق. دعونا نلقي نظرة على الاختلافات بين هذين النهجين لأحزمة أمن الموقع.
أوجه الشبه بين الشهادات الموقعة والموقعة ذاتيًا
سواء كنت تحصل على توقيع شهادتك من قِبل مرجع مصدق أو تقوم بتوقيعه بنفسك ، فهناك شيء واحد هو نفسه تمامًا في كليهما:
- ستقوم كلتا الشهادتين بإنشاء موقع لا يمكن قراءته بواسطة أطراف ثالثة. سيتم تشفير البيانات المرسلة عبر اتصال HTTPS أو SSL بغض النظر عما إذا كانت الشهادة موقعة أم موقعة ذاتيًا.
وبعبارة أخرى ، سيقوم كلا النوعين من الشهادات بتشفير البيانات لإنشاء موقع ويب آمن. من منظور أمان رقمي ، هذه هي الخطوة 1 من العملية.
لماذا يجب عليك دفع سلطة الشهادة
يخبر المرجع المصدق العملاء بأن معلومات الخادم هذه قد تم التحقق منها بواسطة مصدر موثوق وليس فقط الشركة التي تمتلك موقع الويب. في الأساس ، هناك شركة تابعة لجهة خارجية قامت بالتحقق من معلومات الأمان.
المرجع المصدق الأكثر استخدامًا هو Verisign. اعتمادًا على CA الذي يتم استخدامه ، يتم التحقق من النطاق وإصدار شهادة. سيتحقق Verisign ومراجع التصديق الموثوق بها الأخرى من وجود النشاط التجاري المعني وملكية النطاق لتوفير مزيد من الأمان بحيث يكون الموقع المعني شرعيًا.
المشكلة في استخدام شهادة موقعة ذاتيا هي أن كل مستعرض ويب تقريبًا يتحقق من أن اتصال https موقّع بواسطة مرجع مصدق. إذا كان الاتصال موقّعًا ذاتيًا ، فسيتم تمييزه على أنه يحتمل أن يكون محفوفًا بالمخاطر وستنبثق رسائل الخطأ لتشجيع عملائك على عدم الوثوق بالموقع ، حتى لو كان ذلك آمنًا بالفعل.
باستخدام شهادة ذاتية التوقيع
نظرًا لأنها توفر الحماية نفسها ، يمكنك استخدام شهادة موقعة ذاتيًا في أي مكان تستخدم فيه شهادة موقعة ، ولكن بعض الأماكن تعمل بشكل أفضل من غيرها.
الشهادات الموقعة ذاتيا تعتبر رائعة لاختبار الخوادم . إذا كنت تنشئ موقعًا إلكترونيًا تحتاج إلى اختباره عبر اتصال https ، فلا يتعين عليك الدفع مقابل شهادة موقعة لموقع التطوير هذا (والذي يُحتمل أن يكون موردًا داخليًا). تحتاج فقط إلى إخبار المختبرين بأن متصفحهم قد ينبئ برسائل التحذير.
يمكنك أيضًا استخدام شهادات موقعة ذاتيًا للمواقف التي تتطلب الخصوصية ، ولكن قد لا يكون الأشخاص قلقين بشأنها. فمثلا:
- اسم المستخدم وكلمة المرور
- جمع معلومات شخصية ، ولكن غير مالية من PIA ،
- في النماذج التي يكون فيها المستخدمون الوحيدون هم الأشخاص الذين يعرفونك ويثقون بك ، مثل شركة إنترانت
ما يأتي عليه هو الثقة. عندما تستخدم شهادة موقعة ذاتيا ، فإنك تقول لعملائك "ثق بي - أنا من أقول أنا." عند استخدام شهادة موقعة من CA ، فأنت تقول ، "ثق بي - يوافق Verisign أنا من أقول أنني." إذا كان موقعك مفتوحًا للجمهور وأنت تحاول التعامل معه ، فإن الحجة الأخيرة هي حجة أقوى بكثير.
إذا كنت تتعامل مع التجارة الإلكترونية ، فستحتاج إلى شهادة موقعة
من الممكن أن يغفر عملاؤك للحصول على شهادة موقعة ذاتيا إذا كان كل ما يستخدمونه هو تسجيل الدخول إلى موقع الويب الخاص بك ، ولكن إذا كنت تطلب منهم إدخال بيانات بطاقة الائتمان أو الباي بال ، فستحتاج حقًا إلى توقيع شهادة. يثق معظم الأشخاص بالشهادات الموقعة ولن يمارسوا نشاطًا تجاريًا على خادم HTTPS بدون أحد. لذلك إذا كنت تحاول بيع شيء ما على موقعك الإلكتروني ، فاستثمر في تلك الشهادة. إنه جزء من تكلفة ممارسة الأعمال التجارية والانخراط في البيع عبر الإنترنت.
المقالة الأصلية لجنيفر كرينين. حرره جيريمي جيرار.