Τι είναι η πιστοποίηση;
Οι αρχές πιστοποίησης εκδίδουν πιστοποιητικά που φέρουν:
- ένα δημόσιο κλειδί και
- την ταυτότητα του ιδιοκτήτη για τον οποίο γίνεται η έκδοση του SSL.
Όταν ένας χρήστης επισκέπτεται ένα site με πιστοποιητικό, ο browser παράγει ένα μοναδικό session key, το οποίο κρυπτογραφείται με το δημόσιο κλειδί του SSL κι εν συνεχεία κρυπτογραφείται η επικοινωνία του χρήστη με τη σελίδα. Ανάλογα με τον browser, ο χρήστης μπορεί να δει ένα εικονίδιο κλειδιού ή ένα λουκέτο, το οποίο επισημαίνει ότι η επικοινωνία είναι ασφαλής.
Η αρχή έκδοσης φέρει ως υποχρέωση να πιστοποιήσει τα στοιχεία της οντότητας που αιτήθηκε το SSL, ενώ η τελική έκδοση αποτελεί επιβεβαίωση από μέρους της αρχής, ότι το δημόσιο κλειδί που περιλαμβάνεται στο πιστοποιητικό ανήκει στην οντότητα αυτή.
Ανάλογα με τα βήματα που ακολουθεί η εκάστοτε αρχή για να επιβεβαιώσει την ταυτότητα της οντότητας, προκύπτουν τρία διαφορετικά είδη πιστοποίησης: η Domain, η Organization και η Extended Validation.
Ποια η διαφορά ανάμεσα στα είδη πιστοποίησης;
Domain Validation (DV SSL)
Η Domain validation εγγυάται ότι κατά την χρήση του SSL, η ανταλλαγή πληροφοριών με αυτό το domain θα είναι κωδικοποιημένη και ασφαλής. Παρέχει πιστοποίηση σε βασικό επίπεδο, ενώ για την έκδοσή του επαρκεί η επιβεβαίωση ότι το domain name είναι έγκυρο και ότι ανήκει στην οντότητα που αιτήθηκε το πιστοποιητικό. Για τη συγκεκριμένη πιστοποίηση δεν απαιτείται η κατάθεση κάποιου εγγράφου, και απλά αρκεί ένα απλό click στο verification link που στέλνει η αρχή έκδοσης στον ιδιοκτήτη του domain name μέσω mail. Γι’ αυτόν το λόγο τo πιστοποιητικό εκδίδεται και ενεργοποιείται άμεσα.
Η χρήση του συνίσταται για οντότητες (φυσικά πρόσωπα, επιχειρήσεις κ.λπ.) που χρειάζονται άμεσα ένα SSL, χωρίς υποβολή εταιρικών εγγράφων και ενδείκνυται για σελίδες που απαιτούν ανταλλαγή πληροφορίας σε κρυπτογραφημένη μορφή π.χ. για login pages, σελίδες που υλοποιούν συναλλαγές μικρή κλίμακας, email servers κ.λπ.
Organization Validation (OV SSL)
Με την Organization Validation πιστοποιούνται, εκτός από την ιδιοκτησία του domain name, επιπλέον πληροφορίες για τον οργανισμό ή την επιχείρηση που έχει αιτηθεί το SSL. Αυτές οι πληροφορίες περιλαμβάνουν την επωνυμία της οντότητας, την πόλη, το νομό και τη χώρα που αποτελούν την έδρα του. Η αρχή έκδοσης πραγματοποιεί αναζητήσεις σε τραπεζικές ή τοπικές κυβερνητικές πηγές και βάσεις δεδομένων. Σε περίπτωση που δεν επιβεβαιωθούν τα στοιχεία, απαιτείται η καταβολή εγγράφων που αποδεικνύουν την ταυτότητα του αιτούντος και του οργανισμού.
Τα Organization validated πιστοποιητικά είναι κατάλληλα για επιχειρήσεις που, εκτός από την δυνατότητα κρυπτογράφησης της πληροφορίας στην σελίδα τους, επιθυμούν να παρέχουν στους επισκέπτες της σελίδας και πιστοποίηση για τα εταιρικά τους στοιχεία και την εταιρική τους ταυτότητα. Προτείνεται σε ανεξαρτήτου μεγέθους επιχειρήσεις, οι οποίες απαιτούν το μεγαλύτερο επίπεδο ασφάλειας, με σκοπό να κερδίσουν τη μέγιστη δυνατή εμπιστοσύνη από τους πελάτες τους και να διατηρήσουν την ανταγωνιστικότητα τους. Σε ορισμένους browsers, η μπάρα διευθύνσεων για τις σελίδες με Organization Validated πιστοποιητικό, γίνεται μπλε.
Extended Validation (EV SSL)
Τα Extended Validated SSL είναι αυτά που συνοδεύονται από την αυστηρότερη διαδικασία ελέγχων, ώστε να επιβεβαιωθεί η ταυτότητα του οργανισμού. Διαφοροποιούνται από τα Organization πιστοποιητικά ως προς τη διαδικασία πιστοποίησης, καθώς στα EV SSL υπαγορεύεται από το Certification Authority Browser Forum και περιλαμβάνει 7 επίπεδα, που απαιτούν την υποβολή εγγράφων για: την αποκλειστική ιδιοκτησία του domain name, την έδρα του οργανισμού, τη φυσική και νόμιμη υπόστασή του, τη λειτουργία του, την επιβεβαίωση ότι ο ίδιος ο οργανισμός αιτήθηκε την έκδοση του SSL καθώς και τη φυσική και νόμιμη ύπαρξη του νομίμου εκπροσώπου.
Είναι ιδανικό SSL για εταιρίες και οργανισμούς, που επιθυμούν να προβάλουν ότι έχουν περάσει από τον αυστηρότερο έλεγχο αξιολόγησης, ώστε να κερδίσουν άμεσα την εμπιστοσύνη του πελάτη. Προτείνεται σε μεγάλες επιχειρήσεις με online και e-commerce υπηρεσίες, που επιθυμούν να διατηρήσουν την ανταγωνιστικότητά τους και να γνωστοποιήσουν άμεσα στον πελάτη ότι βρίσκεται σε ασφαλή σελίδα με τα προσωπικά του στοιχεία και τις συναλλαγές του να προστατεύονται.