Mae diogelwch yn ffactor hollbwysig o ran llwyddiant unrhyw wefan. Mae hyn yn arbennig o wir ar gyfer safleoedd sydd angen casglu PIA, neu "wybodaeth adnabyddadwy", gan ymwelwyr. Meddyliwch am safle sy'n gofyn ichi roi rhif diogelwch cymdeithasol, neu yn fwy cyffredin, ar wefan e-fasnach y mae angen i chi ychwanegu gwybodaeth cerdyn credyd iddo er mwyn cwblhau'ch pryniant. Ar safleoedd fel hyn, nid yn unig y disgwylir i ddiogelwch gan yr ymwelwyr hynny, mae'n hanfodol i lwyddiant.
Pan fyddwch yn adeiladu gwefan e-fasnach, un o'r pethau cyntaf y bydd angen i chi eu gosod yw tystysgrif diogelwch fel bod eich data gweinyddwr yn ddiogel. Pan fyddwch yn gosod hyn i fyny, mae gennych yr opsiwn o greu tystysgrif hunan-lofnodedig neu greu tystysgrif a gymeradwywyd gan awdurdod tystysgrif. Gadewch i ni edrych ar y gwahaniaethau rhwng y ddwy ymagwedd hon at dystysgrifau diogelwch gwefan.
Amodau tebyg rhwng Tystysgrifau wedi'u Llofnodi a Hunan-Arwyddwyd
P'un a ydych chi'n cael eich tystysgrif a lofnodwyd gan awdurdod tystysgrif neu ei arwyddo'ch hun, mae yna un peth sy'n union yr un fath ar y ddau:
- Bydd y ddau dystysgrif yn creu safle na ellir ei ddarllen gan drydydd parti. Caiff y data a anfonir dros gysylltiad HTTPS , neu SSL , ei amgryptio waeth a yw'r tystysgrif wedi'i lofnodi neu ei hun-lofnodi.
Mewn geiriau eraill, bydd y ddau fath o dystysgrif yn amgryptio'r data i greu gwefan ddiogel. O safbwynt diogelwch digidol, dyma gam 1 y broses.
Pam y byddech chi'n talu Awdurdod Tystysgrif
Mae awdurdod tystysgrif yn dweud wrth eich cwsmeriaid bod y wybodaeth gweinydd hon wedi'i gwirio gan ffynhonnell ddibynadwy ac nid y cwmni sy'n berchen ar y wefan yn unig. Yn y bôn, mae cwmni trydydd parti sydd wedi gwirio'r wybodaeth ddiogelwch.
Yr Awdurdod Tystysgrif a ddefnyddir amlaf yw Verisign. Gan ddibynnu ar ba CA, defnyddir y parth a chyhoeddir tystysgrif. Bydd Verisign a CAs dibynadwy eraill yn gwirio bodolaeth y busnes dan sylw a pherchenogaeth y parth i ddarparu ychydig yn fwy sicr bod y safle dan sylw yn ddilys.
Y broblem wrth ddefnyddio tystysgrif hunan-lofnod yw bod bron pob porwr gwe yn gwirio bod cysylltiad https wedi'i lofnodi gan CA cydnabyddedig. Os yw'r cysylltiad wedi'i hun-lofnodi, fe fydd hyn yn cael ei nodi fel posibilrwydd o beryglus a bydd negeseuon gwall yn annog eich cwsmeriaid i beidio â bod yn ymddiried yn y safle, hyd yn oed os yw, yn wir, yn ddiogel.
Defnyddio Tystysgrif Hunan-Arwyddwyd
Gan eu bod yn darparu'r un amddiffyniad, gallwch ddefnyddio tystysgrif hunan-lofnod unrhyw le y byddech chi'n defnyddio tystysgrif wedi'i lofnodi, ond mae rhai mannau'n gweithio'n well nag eraill.
Mae tystysgrifau hunan-lofnod yn wych ar gyfer profi gweinyddwyr . Os ydych chi'n creu gwefan y mae angen i chi ei brofi dros gysylltiad https, ni fydd yn rhaid i chi dalu am dystysgrif wedi'i lofnodi ar gyfer y safle datblygu hwnnw (sy'n debygol o fod yn adnodd mewnol). Mae'n rhaid i chi ddweud wrth eich profwyr mai efallai y bydd eu porwr yn negeseuon rhybuddio pop.
Gallwch hefyd ddefnyddio tystysgrifau hunan-lofnodedig ar gyfer sefyllfaoedd sydd angen preifatrwydd, ond efallai na fydd pobl yn poeni amdanyn nhw. Er enghraifft:
- Ffurflenni enw defnyddiwr a chyfrinair
- Casglu gwybodaeth bersonol, ond anariannol o PIA
- Ar ffurflenni lle mae'r unig ddefnyddwyr yn bobl sy'n gwybod ac yn ymddiried i chi, fel Mewnrwyd cwmni
Yr hyn a ddaw i lawr yw ymddiriedaeth. Pan fyddwch chi'n defnyddio tystysgrif hunan-lofnod, dywedwch wrth eich cwsmeriaid "ymddiried fi fi - dwi'n dweud rwyf." Pan fyddwch chi'n defnyddio tystysgrif a lofnodwyd gan CA, dywedwch, "Rwy'n ymddiried i mi - mae Verisign yn cytuno mai dwi ydw i'n dweud rwyf." Os yw'ch gwefan yn agored i'r cyhoedd ac rydych chi'n ceisio gwneud busnes gyda hwy, mae'r ddadl yn ddiweddarach yn ddadl llawer cryfach i'w wneud.
Os Rydych Chi'n Gwneud E-Fasnach, mae angen Tystysgrif Arwyddedig arnoch
Mae'n bosib y bydd eich cwsmeriaid yn maddau i chi am dystysgrif hunan-lofnodedig os mai'r cyfan y maent yn ei ddefnyddio yw logio i mewn i'ch gwefan, ond os ydych chi'n gofyn iddynt fewnbynnu eu cerdyn credyd neu wybodaeth PayPal, yna mae angen arwyddo mewn gwirionedd tystysgrif. Mae'r mwyafrif o bobl yn ymddiried yn y tystysgrifau a lofnodwyd ac ni fyddant yn gwneud busnes dros weinydd HTTPS heb un. Felly, os ydych chi'n ceisio gwerthu rhywbeth ar eich gwefan, buddsoddwch yn y dystysgrif honno. Mae'n rhan o gost gwneud busnes a bod yn ymwneud â gwerthu ar-lein.
Erthygl wreiddiol gan Jennifer Krynin. Golygwyd gan Jeremy Girard.