การรักษาความปลอดภัยถือเป็นปัจจัยสำคัญอย่างยิ่งต่อความสำเร็จของเว็บไซต์ โดยเฉพาะอย่างยิ่งสำหรับไซต์ที่ต้องรวบรวมข้อมูล PIA หรือ "ข้อมูลส่วนบุคคล" จากผู้เข้าชม ลองนึกถึงไซต์ที่คุณต้องป้อนหมายเลขประกันสังคมหรือมากกว่าปกติไซต์อีคอมเมิร์ซที่คุณต้องการเพิ่มข้อมูลบัตรเครดิตเพื่อดำเนินการซื้อให้เสร็จสมบูรณ์ ในไซต์เช่นนี้การรักษาความปลอดภัยไม่เพียง แต่คาดหวังจากผู้เยี่ยมชมเท่านั้น แต่เป็นสิ่งสำคัญที่จะประสบความสำเร็จ
เมื่อคุณสร้างไซต์อีคอมเมิร์ซสิ่งแรกที่คุณต้องตั้งค่าคือใบรับรองความปลอดภัยเพื่อให้ข้อมูลเซิร์ฟเวอร์ของคุณปลอดภัย เมื่อคุณตั้งค่านี้คุณจะมีตัวเลือกในการสร้างใบรับรองที่ลงชื่อด้วยตนเองหรือสร้างใบรับรองที่ได้รับการอนุมัติโดยผู้ออกใบรับรอง ลองมาดูความแตกต่างระหว่างสองแนวทางนี้กับใบรับรองความปลอดภัยของเว็บไซต์
ความคล้ายคลึงกันระหว่างใบรับรองที่ลงนามและลงชื่อด้วยตนเอง
ไม่ว่าคุณจะได้รับใบรับรองของคุณโดยผู้ออกใบรับรองหรือลงชื่อเองโดยมีสิ่งหนึ่งที่เหมือนกันทั้งสองอย่าง:
- ใบรับรองทั้งสองจะสร้างไซต์ที่บุคคลที่สามไม่สามารถอ่านได้ ข้อมูลที่ส่งผ่านการเชื่อมต่อ HTTPS หรือ SSL จะได้รับการเข้ารหัสโดยไม่คำนึงว่าใบรับรองนั้นได้เซ็นชื่อหรือลงชื่อด้วยตนเอง
กล่าวอีกนัยหนึ่งใบรับรองทั้งสองประเภทจะเข้ารหัสข้อมูลเพื่อสร้างเว็บไซต์ที่ปลอดภัย จากมุมมองด้านความปลอดภัยระบบดิจิทัลนี่เป็นขั้นตอนที่ 1 ของกระบวนการ
ทำไมคุณถึงต้องจ่ายเงินให้ผู้ออกใบรับรอง
ผู้ออกใบรับรองบอกให้ลูกค้าของคุณทราบว่าข้อมูลเซิร์ฟเวอร์นี้ได้รับการยืนยันโดยแหล่งที่เชื่อถือได้และไม่ใช่เฉพาะ บริษัท ที่เป็นเจ้าของเว็บไซต์เท่านั้น โดยทั่วไปมี บริษัท บุคคลที่ 3 ที่ได้ตรวจสอบข้อมูลความปลอดภัย
ผู้ออกใบรับรองที่ใช้บ่อยที่สุดคือ Verisign โดเมนจะได้รับการตรวจสอบและมีการออกใบรับรอง Verisign และ CA อื่น ๆ ที่เชื่อถือได้จะยืนยันการมีอยู่ของธุรกิจที่เป็นปัญหาและความเป็นเจ้าของโดเมนเพื่อให้การรักษาความปลอดภัยอีกเล็กน้อยว่าเว็บไซต์ที่เป็นปัญหาถูกต้องตามกฎหมาย
ปัญหาเกี่ยวกับการใช้ใบรับรองที่ลงนามด้วยตนเองคือเกือบทุกเว็บเบราเซอร์ตรวจสอบว่ามีการลงนามการเชื่อมต่อ https โดย CA ที่เป็นที่ยอมรับ หากการเชื่อมต่อเป็นลายเซ็นต์จะมีการทำเครื่องหมายว่าเป็นข้อความที่อาจมีความเสี่ยงและข้อผิดพลาดจะปรากฏขึ้นเพื่อกระตุ้นให้ลูกค้าของคุณไม่เชื่อถือไซต์แม้ว่าจะปลอดภัย
การใช้ใบรับรองที่ลงชื่อด้วยตนเอง
เนื่องจากมีการป้องกันแบบเดียวกันคุณสามารถใช้ใบรับรองที่ลงชื่อด้วยตนเองได้ทุกที่ที่คุณต้องการใช้ใบรับรองที่เซ็นชื่อ แต่บางแห่งทำงานได้ดีกว่าที่อื่น
ใบรับรองที่ลงชื่อด้วยตนเองเหมาะสำหรับ การทดสอบเซิร์ฟเวอร์ หากคุณกำลังสร้างเว็บไซต์ที่คุณต้องการทดสอบการเชื่อมต่อ https คุณจะไม่ต้องจ่ายเงินสำหรับใบรับรองที่เซ็นชื่อสำหรับไซต์สำหรับพัฒนานั้น (ซึ่งน่าจะเป็นทรัพยากรภายใน) คุณเพียงแค่ต้องบอกผู้ทดสอบว่าเบราว์เซอร์ของคุณอาจปรากฏข้อความเตือน
นอกจากนี้คุณยังสามารถใช้ใบรับรองที่ลงนามด้วยตนเองสำหรับสถานการณ์ที่ต้องมีข้อมูลส่วนบุคคล แต่คนอื่นอาจไม่สนใจ ตัวอย่างเช่น:
- แบบฟอร์มชื่อผู้ใช้และรหัสผ่าน
- รวบรวมข้อมูลส่วนตัวของ PIA แต่ไม่ใช่ข้อมูลทางการเงิน
- ในรูปแบบที่ผู้ใช้เพียงคนเดียวคือผู้ที่รู้จักและไว้วางใจคุณเช่นอินทราเน็ตของ บริษัท
สิ่งที่มันลงมาคือความไว้วางใจ เมื่อคุณใช้ใบรับรองที่ลงนามด้วยตนเองคุณจะพูดกับลูกค้าของคุณว่า "ไว้ใจฉัน - ฉันเป็นคนที่ฉันพูดว่า" เมื่อคุณใช้ใบรับรองที่ลงนามโดย CA คุณจะพูดว่า "ไว้ใจฉัน - Verisign ยอมรับฉันว่าฉันเป็นใคร" หากไซต์ของคุณเปิดกว้างสำหรับสาธารณชนและคุณกำลังพยายามทำธุรกิจกับพวกเขาภายหลังจะเป็นเหตุผลที่ดีกว่ามาก
หากคุณกำลังทำอีคอมเมิร์ซคุณต้องได้รับใบรับรองที่ลงลายมือชื่อ
เป็นไปได้ว่าลูกค้าของคุณจะยกโทษให้คุณสำหรับใบรับรองที่ลงนามด้วยตนเองหากพวกเขาใช้เพื่อลงชื่อเข้าใช้เว็บไซต์ของคุณ แต่ถ้าคุณขอให้ใส่ข้อมูลบัตรเครดิตหรือข้อมูล Paypal คุณต้องลงนามจริงๆ ใบรับรอง คนส่วนใหญ่เชื่อมั่นในใบรับรองที่ลงนามและจะไม่ทำธุรกิจผ่านเซิร์ฟเวอร์ HTTPS โดยไม่มีผู้ให้บริการ ดังนั้นถ้าคุณกำลังพยายามขายอะไรบางอย่างในเว็บไซต์ของคุณให้ลงทุนในใบรับรองนั้น เป็นส่วนหนึ่งของต้นทุนในการทำธุรกิจและการมีส่วนร่วมในการขายออนไลน์
บทความต้นฉบับโดย Jennifer Krynin แก้ไขโดย Jeremy Girard