Certyfikaty a bezpieczeństwo w Internecie

Dokonując płatności w Internecie za pomocą karty kredytowej lub wykonując przelewy poprzez Internet, chciałbyś realizować te transakcje poprzez bezpieczne, szyfrowane połączenia. Tymczasem przeglądarka internetowa zgłasza niekiedy problemy z certyfikatem. Co począć?

Właściwa reakcja w przedstawionej sytuacji zależy od treści komunikatu.

Niezgodność nazwy. Jeśli nazwa witryny odbiega od nazwy właściciela certyfikatu, musisz zbadać różnice i na ich podstawie oszacować, czy certyfikat został sfałszowany, czy może błąd powstał przez omyłkę. Oto przykład. Jeśli witryna www .example.com legitymuje się certyfikatem wystawionym na adres www .exampie.com, masz do czynienia z falsyfikatem. Na pierwszy rzut oka ma zmylić potencjalną ofiarę, bo mała litera i w drugim z wymienionych adresów URL może zostać zapisana wielką literą, a wówczas będzie do złudzenia przypominała małą literę L (czyli jak w pierwszym adresie URL). W ten sposób witryny oszustów podsuwają nieświadomym internautom certyfikaty takich instytucji jak banki, aby wyłudzić od nich numery kart kredytowych, hasła i inne poufne informacje. W opisanej sytuacji nigdy nie należy podawać swoich danych osobowych.

Jeśli natomiast witryna www1 .example.com zgłosi certyfikat wystawiony na www. example.com, przypuszczalnie zaszła zwyczajna pomyłka. Witryna została przeniesiona na inny serwer, a jej operator zapomniał zaktualizować certyfikat. Niemniej jednak błąd powinien zostać usunięty najpóźniej w ciągu jednego dnia. W przeciwnym razie należy zachować największą ostrożność.

Upłynął okres ważności certyfikatu. Również certyfikat, który stracił ważność, jest oznaką, że dział informatyczny danej firmy podchodzi niezbyt starannie do kwestii bezpieczeństwa. Jeśli opisany komunikat pojawi się w mało newralgicznej witrynie (np. forum internetowym), możesz go zignorować. Niemniej jednak nie powinieneś zdradzać w niej swoich danych osobowych ani informacji o posiadanej karcie kredytowej.

Brakuje certyfikatu głównego, a przeglądarka nie wykrywa urzędu certyfikacji. Oferując w Internecie witrynę z zabezpieczeniem SSL, jej operator powinien uwierzytelnić swój certyfikat u właściciela certyfikatu głównego (czyli podpisanego przez urząd certyfikacji). Wiąże się to z poniesieniem wysokich kosztów, dlatego niektórzy operatorzy rezygnują z tej powinności. Dlatego w wypadku witryny utrzymywanej przez hobbystów nie należy nabierać podejrzeń, jeśli certyfikat nie jest uwierzytelniony. Tymczasem banki, firmy i pozostałe instytucje, którym chcesz powierzyć swoje poufne dane, muszą koniecznie wylegitymować się uwierzytelnionym certyfikatem.