cross
cross
cross
2016.06.22
Szerző: Kóczán Tamás
SSLNapjainkban az internetes bűnözés térhódításával kiemelkedően fontos lett a személyes adataink és az internetes tevékenységeink védelme, és biztonsága. Tőlünk nyugatabbra mára már elképzelhetetlen, hogy olyan oldalon adjon meg bármilyen személyes adatot a látogató, ahol nincs teljesen megbizonyosodva, hogy biztonságos és az adatok nem kerülnek harmadik fél kezébe, illetve csak arra használják fel, amire megadta.

Adatok áramlása

Ha egy internetes szolgáltatás nem rendelkezik semmilyen titkosítási eljárással, a személyes adatok szabadon, kódolás nélkül tiszta szövegként áramolnak az internetes csatornákon. Mit is jelent ez? Amennyiben például egy nyílt wi-fi kapcsolatot használunk egy kávézóban, és úgy adjuk meg a jelszavunkat egy belépéshez, akkor a mellettünk ülő szintén ugyanazt a wi-fi kapcsolatot használó böngésző, egy egyszerű program segítségével könnyedén "lehallgathatja" a forgalmazásunkat, és ezzel a jelszavunk, vagy bármilyen egyéb adatunk a birtokába is kerülhet. Természetesen a kódolatlan adatok lopása vezetékes kapcsolaton is ugyanúgy lehetséges.

Hogyan működik az SSL kapcsolat?

A látogató böngészője az oldal megtekintésekor első körben kapcsolódik a szolgáltató rendszeréhez, egy webszerverhez. Amennyiben a weboldal rendelkezik biztonságos kapcsolattal a böngésző HTTPS:// címre ugrik át, ezzel egy időben pedig bemutatja a szerver számára a kompatibilis, felhasználható titkosítási módszerek listáját. A webszerver a listából kiválasztja a legerősebb megoldást, majd bemutatja a böngészőnek a Digitális Aláírását, ami a szerver nevéből, egy Tanúsítványból, és egy Nyilvános Kulcsból áll. A látogató böngészője ellenőrzi érvényes-e a küldött tanúsítvány, valamint azt, hogy megbízható tanúsítvány kibocsátó szervezet írta-e alá. Ezek után ellenőrzi, hogy a tanúsítványban szereplő domain megegyezik-e a látogatott oldal domainjével. Ha minden rendben, akkor létrejön az SSL kapcsolat, a kliens kialakítja a munkafolyamat azonosító kulcsát. A küldött adatainkat ilyenkor már biztonságban tudhatjuk, mivel azok biztonsági kulcsokkal kódolva kerülnek továbbításra, azokat csak a célszerver tudja értelmezni.

Milyen SSL tanúsítványok léteznek?

Domain Hitelesítés (Domain Validation (DV)) - Az ilyen típusú tanúsítványnál a hitelesítést végző cég (Certification Authirity) ellenőrzi, hogy az igénylő rendelkezik-e a megfelelő jogosultságokkal az adott domain név használatához. A cég adatait nem vizsgálják, valamint a titkosításon kívül, amit egy lakat jelez, nem látszik semmilyen információ a böngészőben. Ez a legegyszerűbb, ezáltal a legkedvezőbb árú tanúsítványverzió. Kiválóan alkalmas webáruházak biztonságossá tételéhez.
Vállalati Hitelesítés (Organization Validation (OV)) - A hitelesítést végző cég ellenőrzi, hogy az igénylő rendelkezik-e a megfelelő jogosultságokkal az adott domain név használatához, valamint alapos, de nem minden részletre kitérő vizsgálatot végez a kérdéses céggel kapcsolatban. Ebben az esetben a böngészőben a lakat ikonra klikkelve megtekinthetők a cég adatai.
Kiterjesztett Hitelesítés (Extended Validation (EV)) - A hitelesítést végző cég ellenőrzi, hogy az igénylő rendelkezik-e a megfelelő jogosultságokkal az adott domain név használatához, valamint mindenre kiterjedően megvizsgálja a kérdéses céget. Különböző hitelesítési irányelvek alapján az igénylőnek különböző követelményeknek kell megfelelnie, mielőtt kibocsájtják számára a tanúsítványt. Ezt a típust használják a bankok, pénzintézetek, valamint a nagyobb szolgáltató cégek.
SSL EV

Honnan tudom, hogy biztonságos-e a kapcsolat?

A biztonságos kapcsolat legfőbb ismertető jele a már fent említett HTTPS:// előtag. Amennyiben ezzel az előtaggal próbálunk megtekinteni egy nem biztonságos oldalt a böngészőnk figyelmeztetni fog rá. Ha az SSL kapcsolat rendben felépül, akkor a böngésző címsorában egy lakat ikont láthatunk, amire klikkelve további információkat tudhatunk meg a fenti típusoktól függően. Megismerhető a kiállító szervezet, az aláírási algoritmus fajtája, ellenőrizhető az érvényességi idő, és a tanúsítványlánc. Extended Validation esetén pedig böngészőtől függően az egész címsor zöld színű lesz (Explorer), vagy pedig a cím mellett a hitelesített cég neve látható zölddel vagy zöld sávban feltüntetve (Firefox, Chrome, Opera) az ábra szerint.

Hogyan lesz a webáruház üzemeltetése biztonságos?

A webáruház a weboldalak olyan speciális fajtája, ahol biztosan van adatbekérés, hiszen a vásárláshoz különböző személyes adatokat ad meg a látogató. Jellemzően minden webáruház két felülettel rendelkezik, egy adminisztrációs felülettel, és egy publikus vásárlói felülettel. Mindkettőnél fontos a biztonság, és az SSL használata. Egyrészt, hogy saját magunk biztonságosan adminisztrálhassuk a webáruházat, másrészt a vásárlókban bizalmat ébresszünk, ezzel növelve a vásárlási szándékot.

Az UnasShop rendszer adminisztrációs felülete

Mivel cégünk az Unas Online Kft a magyarországi webáruház szolgáltatók között egyedülállóan a már fent említett Extended Validation-al rendelkezik, az adminisztrációs felület magas szintű (zöld böngészősávú) biztonsággal rendelkezik. Nálunk biztos lehet abban, hogy bárhol is lép be az admin felületre a jelszava, és a feldolgozott adatok nem kerülnek más kezébe.

Az UnasShop webáruház saját tanúsítvánnyal

Rendszerünkben működő webáruházaknak, és tárhelyeknek lehetőséget biztosítunk saját SSL tanúsítvány használatára, ami egyszerűen az admin felületen beállítható. Természetesen maga a tanúsítvány is megvásárolható cégünknél, aminek a díja magában foglalja a beállítást is. Az általunk értékesített változat az egyik legnagyobb kibocsájtó, a COMODO tanúsítványa, ami PositiveSSL névre hallgat. Ez egy kedvező árfekvésű Domain hitelesítő tanúsítvány, amivel a böngésző címsorában nem fog látszani cégnév, csak egy lakat ikon, valamint a HTTPS:// előtag, ami a SSL kapcsolatot jelzi. Ezek mellett a tanúsító szervezet logója is elhelyezhető az áruházban a bizalom növelése érdekében.

Google szempontok

Már két éves a hír, amiben a Google deklarálta, hogy a biztonság elsődleges szempontnak számít. A keresőóriás nagy hangsúlyt fektet arra, hogy az iparágban egyedülálló színvonalú biztonsági megoldásokat, például alapértelmezésként erős HTTPS-t alkalmazzon. Ez azt jelenti, hogy amikor az internetezők a Google keresést, a Gmailt vagy a Google Drive-ot használják, automatikusan biztonságos kapcsolaton keresztül kapcsolódnak a Google-hoz. Emellett arra törekednek, hogy a Google-n keresztül elérhető weboldalak mindegyike biztonságos legyen. Ezért a keresőmotorba is beépült az SSL ellenőrzése, az organikus találatok rangsorolásánál ezt is figyelembe veszik. Természetesen ez nem azt jelenti, hogy akinek van HTTPS kapcsolata, az automatikusan első lesz a találatok között, hanem azt, hogy ez is egy tényező, amivel kiegészült a SEO, így segíti az előbbre jutást. Ezek mellett pedig több Google szolgáltatás (pl. Adwords) bizonyos oldalaknál alapból megköveteli a tanúsítvány meglétét.

2016. július 31-ig féláron, azaz 6.000Ft+ÁFA-ért igényelhető új SSL Tanúsítvány rendszerünkben. Megrendeléshez klikkeljen ide.