Certyfikaty SSL nie zawsze działają tak samo. Wyróżnia się trzy ich rodzaje w zależności od poziomu wiarygodności oraz zakresu działania. W każdym przypadku mechanizm obsługi takiej witryny jest dokładnie taki sam, jednak certyfikaty te różnią się ceną (podstawowe można znaleźć nawet za darmo) i poziomem zaufania, jaki zapewniają. Oczywiście każdy certyfikat jest lepszy niż brak certyfikatu, ale z wielu powodów nie jest obojętne, który z certyfikatów SSL się zastosuje.
Certyfikaty DV – domain validation
Jest to najbardziej podstawowy rodzaj certyfikatu. Nie daje on gwarancji tożsamości właściciela domeny. W czasie wydawania certyfikatu sprawdza się, czy podmiot wnioskujący o certyfikat może się domeną posługiwać, ale nie ma tutaj elementu weryfikacji tożsamości podmiotu. Nie zwraca się więc na przykład uwagi na dane rejestrowe firmy prowadzącej sklep zabezpieczony takim certyfikatem.
Po co więc decydować się na taki certyfikat? Dlatego, że jest tani i zapewnia szyfrowanie ruchu. W praktyce oznacza to, że dane przekazane w obrębie zabezpieczonej domeny pozostają bezpieczne.
To jednak często za mało – dobrze, że żadne informacje nie zostaną przechwycone, ale z drugiej strony nie można też mieć pewności, do kogo w ogóle dotrą.
Tej klasy certyfikaty stosowane są jednak bardzo często. Choć ich właściciele chwalą się bezpieczną stroną, witryna nie wykorzystuje wszelkich możliwości SSL w celu zbudowania zaufania dla konsumenta.
Certyfikaty klasy OV – organization validation
Certyfikaty klasy OV zapewniają większy poziom zaufania. Nie tylko szyfrują cały ruch, ale również gwarantują, że ich użytkownik jest osobą bądź firmą, która rzeczywiście istnieje. Przed ich wydaniem trzeba przekazać do weryfikacji np. dane firmy z KRS albo CEIDG.
Nazwa firmy zostaje na stałe przypisana do certyfikatu – można to zweryfikować w pełnym certyfikacie. W tym przypadku problem polega na tym, że sprawdza się istnienie firmy, ale tylko na poziomie rejestrowym. Jest to oczywiście znacznie lepsze rozwiązanie niż pominięcie weryfikacji w ogóle, natomiast można wyobrazić sobie sytuację, w której domeny obsługuje firma-krzak stworzona tylko po to, aby wyłudzać dane użytkowników. Taka akcja wymagałaby sporo zachodu, ale jest to teoretycznie możliwe i kilka podobnych przypadków już miało miejsce.
Certyfikaty klasy EV – extended validation
To najsilniejsze certyfikaty SSL. Nie tylko zapewniają szyfrowanie ruchu i ochronę przesyłanych pakietów danych, ale dają także pewność co do osobowości prawnej posiadacza domeny.
Weryfikowane jest prawo do posługiwania się domeną (zakres certyfikatu DV), dane rejestrowe podmiotu (zakres certyfikatu OV), a dodatkowo także faktyczne prowadzenie działalności pod danym adresem oraz fizyczna obecność.
Tutaj już więc otwarcie fikcyjnej firmy jest już bardzo utrudnione. Tej klasy certyfikaty mają największą wartość, zapewniają najwyższe możliwe bezpieczeństwo i choć kosztują sporo (jest to koszt rzędu kilkuset złotych), to mają wiele zalet.
Dlaczego warto zainwestować w certyfikaty EV?
Powodów jest kilka, a nie wszystkie są oczywiste.
- Klasa EV zapewnia potwierdzenie tożsamości posiadacza certyfikatu: nie tylko prawo do użytkownika domeny, nie tylko potwierdzenie danych rejestrowych, ale potwierdzenie faktycznej działalności.
- Użytkownicy zabezpieczonej domeny zyskują najwyższy stopień bezpieczeństwa przesyłanych danych i ochronę przed wyłudzeniami.
- Podnosisz komfort psychiczny użytkowników, którzy troszczą się o swoje dane osobowe (to coraz poważniejszy problem, o czym przekonali się nawet właściciele newsletterów – po zainstalowaniu certyfikatu zbierają znacznie więcej zapisów niż przed).
- Witryna chroniona certyfikatem ma większy potencjał marketingowy, co przyznaje nawet Google (certyfikaty SSL wpływają pozytywnie na pozycję w wyszukiwarkach).
- Z takim certyfikatem można bezproblemowo zintegrować sklep z Facebookiem (FB wprowadził jako wymóg kategoryczny posiadanie SSL przez wszystkie sklepy z nim współpracujące).
- Jest to niewypowiedziany wprost, ale wyraźnie zasugerowany wymóg GIODO dla stron zbierających dane użytkowników – po zakupie certyfikatu możesz spać spokojnie, że przynajmniej z tej strony działasz w 100% zgodnie z prawem.