תעודת SSL כאמצעי אבטחה לנתונים רגישים
תעודת SSL היא תעודת אבטחת אתרי מסחר שבה חייב להצטייד כל אתר המקבל מן המשתמש נתונים רגישים ובעיקר נתונים הקשורים לאמצעי תשלום כגון מספר כרטיס אשראי. התקן אמנם ותיק למדי, אך במרוצת השנים הפך לסטנדרט וכיום כמעט כל אתר מסחר שמכבד את עצמו עושה בו שימוש.
את תעודת SSL עצמה קונה האתר מחברת האבטחה בה הוא בוחר והמחיר נקבע לפי רמת האבטחה של התעודה, החברה המספקת אותה ואורך התקופה בעבורה היא נרכשת. תעודה זו מקושרת אך ורק לאתר ולשם המתחם (דומיין) שלו. כל מי שגולש באתר בעמודים המאובטחים יכול לצפות בפרטי התעודה ולראות כי היא אכן בתוקף ומקושרת אך ורק לאתר בו היא מוצגת.
כיצד נשלחים הנתונים באתר מאובטח באמצעות תעודת SSL?
מבלי להיכנס לכל הפרטים הטכניים של שיטת ההצפנה עצמה, מספיק להסביר כי ברגע שהגולש נכנס אל הדף בחנות הווירטואלית או אתר המסחר בו הוא צריך להקליד פרטים רגישים, הדפדפן מציג בפניו אייקון של מפתח נעול המציין כי החיבור בו הוא עומד לשלוח את הנתונים הוא חיבור מאובטח בתקן SSSL. במקרה ויש בעיה עם תעודת האבטחה כגון תאריך פקיעת תוקף שחלף כבר ,הדפדפן יזהיר את המשתמש כי מדובר בחיבור לא מאובטח ולא ניתן להבטיח כי הנתונים אשר יועברו בו יוצפנו כראוי.
בזמן שהנתונים נשלחים בצורה מאובטחת, הרי שרק המחשב המקבל והמחשב השולח יכולים לפענח אותו מכיוון שרק להם יש את מפתח האבטחה המתאים. מפתח זה הינו מפתח חד פעמי ולאחר העברת הנתונים עצמם הוא אינו נשמר אצל אף אחד מן הצדדים. לכן, גם אם גורם כלשהו יצליח ליירט את הנתונים המוצפנים, הרי שלא תהיה לו אפשרות לפענח אותם. יתרה מכך, אם במהלך השליחה חלה שגיאה מסוימת בהעברת הנתונים, הם ישלחו שוב עד שיאומתו במלואם על ידי הצד המקבל.
כל דפדפן מציג את תעודת האבטחה באופן מעט אחר, אך חשוב לוודא כי ההצפנה היא ברמה של 128 ביטים לפחות וכי נשלח מפתח פרטי ייחודי :
4 סיבות נוספות מדוע כדאי להתקין תעודת SSL באתרי מסחר אלקטרוני
1.בראש ובראשונה, חלק גדול מחברות האשראי דורשות מאתרי אינטרנט העושים שימוש בכרטיסי האשראי שלהן להתקין גם תעודת SSL כחלק מהדרישות הבסיסיות למטרת אבטחת אתרי מסחר. אתר שלא יתקין תעודת SSL כפי שחברת האשראי דורשת, ייאלץ להתבסס על שירותים חיצונים כגון PayPal או Google Checkout. למרות שאין בכך שום דבר רע כשלעצמו, אתר כזה למעשה מגביל את מגוון אפשרויות התשלום שהוא מציע ולכן לא מממש את מלוא הפוטנציאל שלו. כמו כן, סביר להניח שהבעלים של אתר שכזה יאלצו להקדיש זמן רב לקבלת פרטי האשראי דרך הטלפון.
2.יתרון נוסף להתקנת תעודת SSL באתר היא שיותר ויותר גולשים כיום מודעים לקשר שבין מסחר באינטרנט ואבטחה ומחפשים אתרים בטוחים בהם יוכלו לקנות ללא חשש. בעוד אתרים רבים שמרו את מספרי כרטיסי האשראי של הגולשים במסד הנתונים המקומי שלהם והיו חשופים לפריצה, השימוש בתקן SSL מבטיח שהנתונים לא יישמרו על השרת, אלא אם כן המשתמש יאשר זאת ויהיה מודע לסיכונים הכרוכים בכך. במילים אחרות, הרבה יותר גולשים יעדיפו להקליד מחדש את פרטי כרטיס האשראי שלהם (פעולה שלוקחת מספר דקות לכל היותר), אך בידיעה שהם יהיו בטוחים יותר.
3. ברגע שאתר משתמש בתעודת SSL מעודכנת , הוא למעשה יכול להוכיח בקלות כי לא שמר מעולם את פרטי כרטיסי האשראי של הלקוח וכי כל הנתונים עברו בצורה מאובטחת, וכך למעשה להקל על עצמו במקרה של תביעות משפטיות. לדוגמה, ייתכן כי פרטיו של הלקוח נגנבו דרך אתר אחר או מכיוון ששמר פרטים רגישים על המחשב עצמו או בחשבון שהיה מקושר אליו (כגון בחשבון דואר אלקטרוני).
4.חוסר תלות באמצעי תשלום חיצונים – כאשר מתקינים באתר תעודת SSL לסליקה באמצעות כרטיס אשראי, למעשה מורידים את התלות באמצעי תשלום חיצוני כגון PayPal או Google Checkout, כך שגם אם מחליטים בשלב מסוים להפסיק לעבוד עם השירותים הנ"ל מסיבות שונות (כמו למשל העלאת גובה העמלות על מכירות), האתר עדיין יכול להציע שיטת תשלום חלופית. כמו כן, ישנן מדינות רבות בהן שירותים אלו עדיין לא זמינים והאפשרות היחידה היא תשלום באמצעות כרטיס אשראי.
סיכום
תעודות ה – SSL הן אחד מעמודי התווך של אבטחת אתרי מסחר מודרנית ובאמצעותן ניתן להבטיח כי כל הפרטים הרגישים יעברו בערוצים מוצפנים ולא יהיו חשופים לעיניים זרות. כמו כן, ניתן לקנות את התעודות במספר תצורות בהתאם לתכונות הנדרשות ולתקציב העמוד לרשותו של בעל האתר.