セキュリティは、どのWebサイトの成功においても非常に重要な要素です。 これは、訪問者からPIAまたは「個人を特定できる情報」を収集する必要のあるサイトで特に当てはまります。 あなたが購入を完了するためにクレジットカード情報を追加する必要がある社会保障番号、またはより一般的には、電子商取引サイトを入力する必要があるサイトについて考えてみてください。 このようなサイトでは、セキュリティは訪問者から期待されるだけでなく、成功するために不可欠です。
電子商取引サイトを構築する場合、最初に設定する必要があるのは、サーバー証明書が安全になるようにセキュリティ証明書です。 これを設定すると、自己署名証明書を作成するか、認証局が承認した証明書を作成するかを選択できます。 Webサイトのセキュリティ証明書に対するこれらの2つのアプローチの違いを見てみましょう。
署名付き証明書と自己署名証明書の類似点
証明書を認証局が署名しても、それとも自分で署名しても、両方で全く同じことが1つあります。
つまり、両方のタイプの証明書がデータを暗号化して安全なWebサイトを作成します。 デジタルセキュリティの観点からは、これはプロセスのステップ1です。
認証局に支払う理由
証明機関は、このサーバー情報が、Webサイトを所有している会社だけでなく、信頼できるソースによって検証されたことをお客様に伝えます。 基本的には、セキュリティ情報を確認した第三者の会社があります。
最も一般的に使用される認証局はVerisignです。 どのCAが使用されているかに応じて、ドメインが検証され、証明書が発行されます。 Verisignと他の信頼できるCAは、疑わしいサイトが正当であることをもう少し安全にするために、問題のビジネスの存在とドメインの所有権を検証します。
自己署名証明書を使用する際の問題は、ほぼすべてのWebブラウザが、認識されたCAによってhttps接続に署名されているかどうかをチェックすることです。 接続が自己署名されている場合、これは潜在的に危険であるとフラグされ、実際には安全であっても、顧客がサイトを信頼しないように促すエラーメッセージが表示されます。
自己署名証明書の使用
それらは同じ保護を提供するため、署名入り証明書を使用する場所ならどこでも自己署名証明書を使用できますが、一部の場所は他の場所よりもうまく機能します。
自己署名証明書は、 サーバーのテストに最適です。 https接続でテストする必要のあるWebサイトを作成している場合は、その開発サイト(内部リソース)に署名した証明書を支払う必要はありません。 あなたのブラウザが警告メッセージをポップするかもしれないことをテスターに伝える必要があります。
プライバシーを必要とする状況には自己署名証明書を使用することもできますが、心配する人はいないかもしれません。 例えば:
- ユーザー名とパスワードのフォーム
- PIAの個人的な、しかし非財政的な情報の収集
- 唯一のユーザーがあなたを知って信頼する人であるフォームでは、会社のイントラネット
それは信頼です。 自己署名証明書を使用すると、顧客は「私を信頼してください - 私は私が誰であるか」と言います。 CAによって署名された証明書を使用すると、「信頼してください - Verisignは私が私の人だと同意します」と言っています。 あなたのサイトが一般に公開されていて、あなたがそれらのサイトと取引しようとしている場合は、後でもっと強力な議論ができます。
電子商取引を行っている場合は、署名付き証明書が必要です
あなたの顧客が自分のウェブサイトにログインするために使用するものであれば、自己署名証明書をあなたの顧客が許してもらえますが、クレジットカードやPaypalの情報を入力するよう求めている場合は、証明書。 ほとんどの人は、署名付き証明書を信頼し、HTTPSサーバーを使わずにビジネスをしません。 あなたのウェブサイトに何かを売ろうとしているなら、その証明書に投資してください。 それはビジネスをしてオンライン販売に従事する費用の一部です。
Jennifer Kryninのオリジナル記事。 ジェレミージラール編集。