Bizonyára már feltűnt önnek, is hogy a nagy cégek oldalán az SSL tanúsítvány kijelzése sokkal szebb látványosabb.
Az elmúlt időszakban többen is feltették a kérdést, az ő weboldalukon miért nem olyan az SSL kijelzése?
Kezdjük, ott, hogy ahány fajta böngésző, annyi fajta megjelenítési mód van, van ahol zöld ikonokkal jelzik az SSL tanúsítványt, és pl a crhome a modern designhoz igazodva mindent szürkével jelez ki.
De ettől függetlenül megfigyelhetőek különbségek.
A lényeg, hogy a tanúsítványok között többféle szint létezik, ezeknek jelölése a böngészőkben eltérően jelenik meg.
Nem szeretnénk senkit, száraz tényekkel untatni, ezért röviden megfogalmazva, nem más mint egy titkosítási eljárás, ami a HTTP protokollba épül be, azt egészíti ki, egy titkosított réteggel.
A feladata, az adatkommunikáció titkosítása a szerver és a hozzá kapcsolódó kliens között.
A https alapja a kétkulcsos titkosítás. A kulcspár két összetartozó, nagyon nagy (több száz jegyű) szám. A titkosítandó szöveget az egyik szám segítségével, egy nyilvános eljárással rejtjelezzük. Az így kapott üzenet ugyanazzal az eljárással, de a kulcspár másik tagjának segítségével fejthető csak vissza.
Joggal merül fel a kérdés az emberben, hogy ha ez ennyire nem nagy dolog, akkor miért kell érte fizetni.
Nos pont ugyanazért amiért egy közjegyzőnek is fizetünk egy aláírásért.
Egy szerződést mi magunk is alá tudnánk írni, viszont mi nem számítunk hiteles személynek. Viszont a közjegyző annak számít, igy az általa hitelesített dokumentum sokkal megbízhatóbb.
Nagyjából az SSL tanúsítványoknál is hasonló a helyzet, a saját szerverünk által aláírt tanúsítvány nem lesz hiteles. Míg a hiteles tanúsítvány kiállító cégek, különböző ellenőrzéseken kell átesniük, és megfelelő összegű biztosítással kell rendelkezniük, ahhoz, hogy az álltaluk kiállított tanúsítványt a böngészők elfogadják.
Milyen tanúsítványok vannak ?
Domain ellenőrzésű SSL tanúsítvány
Az ingyenes és a pár ezer forintért kapható tanúsítványok mind kivétel nélkül Domain név ellenőrzésű tanúsítványok.
Itt csak azt ellenőrzik, hogy a domain név tényleg az igénylő tulajdonában van e, erre többféle lehetőség van, pl.: a domain névre küldött email, vagy egy fájl feltöltése a domain könyvtárba, stb….
Az első valóban ingyenes SSL tanúsítvány, a Let’s Encrypt ez több nagy cég összefogásával jött létre, köztük a Mozilla, Google, Cisco, Facebook, stb..
De ma már egyre több helyen lehet beszerezni ingyenes tanúsítványt pl: a cPanel es tárhelyek mellé is ingyen tudunk Comodo tanúsítványokat biztosítani.
Mint fentebb írtuk, ezek pont ugyanazt biztosítják, mint a többi fizetős Domain ellenőrzésű tanúsítvány.
Vállalati ellenőrzésű SSL tanúsítvány
A vállalati, más néven szervezeti ellenőrzésű (OV vagy Organization Validated) tanúsítvánnyal nagyobb bizalom és hitelesség érhető el az ügyfelekben, ugyanis nem csak a domain név hitelesítése, hanem a szervezet azonosítása is megtörténik.
A tanúsítvány azután telepíthető és használható, miután a kibocsátó ellenőrizte a domain név jogos használatát, valamint a céges papírokat. A vállalati ellenőrzésű tanúsítványok nem csak a domain nevet, hanem a cég vagy szervezet adatait is hitelesen tartalmazza.
Kiterjesztett (EV) ellenőrzésű SSL tanúsítvány
A kiterjesztett ellenőrzésű tanúsítvány a legszigorúbb ellenőrzésű, legmagasabb szintű hitelesítés. A felhasználók számára is egyértelműen szembetűnő, vizuális visszajelzést nyújt a zöld színű böngészősávval, melyben a tanúsítvány tulajdonosának neve is jól olvashatóan megjelenik. A zöld címsor a csak a kiterjesztett (EV) ellenőrzésű tanúsítványoknál elérhető, a maximális biztonság jele.
Az ellenőrzési folyamat nagyon alapos és szigorú vizsgálatok szerint történik. Nemcsak a cég azonosítása történik meg, hanem az igénylő szervezetnél dolgozó kapcsolattartó hitelesítése, pénzügyi átvilágítása is megtörténik a folyamat során, mely ritkán akár 21 napig is eltarthat.
Természetesen a különbség nem csak az ellenőrzésben nyilvánul meg hanem az árazásban is.
A vállalati tanúsítványok árazása 50.000 Ft – 800.000 Ft+ ig terjedhet évente /domain név!
A kiterjesztett tanúsítványok 90.000 Ft – 2.000.000 Ft+ ig terjedhet évente /domain név!
(az árak a cikk írásakor érvényes árak)
További fontos különbség, hogy a vállalati és a kiterjesztett tanúsítványok pénzügyi biztosítást is tartalmaznak*, amelynek értéke akár több millió dollár is lehet.
(*ha valaki a tanúsítványt fel tudná törni)
Szükség van e a drága tanúsítványra?
Amennyiben “ön” nem Bank, vagy egyéb pénzintézet, illetve nem a weboldalán keresztül történnek milliós kifizetések, szerintünk az ingyenes tanúsítvány is megfelelő védelmet biztosít (akár 4096 bit-es kulcs).
Valamint a legtöbb weboldalnál maga a tényleges tranzakció nem a saját weboldalunkon történik meg, hanem valamelyik pénzintézet felületén.
A mi oldalunk oda irányítja át az ügyfelet, és elküldi a banknak a fizetés egyéb részleteit, pl a fizetendő összeget, és a bankszámla számunkat, stb…
A vásárló pedig a bank oldalán adja meg a fizetéshez szükséges egyéb adatokat, pl.: bankáratya adatok. Igy az ott megadott adatokért a pénzintézet felelős.
Amikor megtörténik a fizetés, a bank egy válasz üzenetben értesíti weboldalunkat, hogy a tranzakció sikeres, vagy sikertelen volt e.
A lényeg, hogy a legtöbb webáruházban nem kell megadni, kényes pénzügyi adatokat, ezeket egy pénzügyi cég oldalán kell megtenni.
Persze ettől eltérő gyakorlat is, elképzelhető.