Handel elektroniczny rozkwitł dzięki możliwości dokonywania bezpiecznych transakcji online przy użyciu odpowiednich narzędzi. Narzędzia te to szyfrowanie kluczem publicznym i certyfikaty cyfrowe.
Szyfrowanie kluczem publicznym wykorzystuje protokół SSL (Secure Sockets Layer) do szyfrowania wszystkich danych między komputerem klienta a witryną handlu elektronicznego. Informacje są przesyłane do serwisu w formie zaszyfrowanej przy użyciu klucza publicznego serwisu. Po otrzymaniu informacji witryna używa swojego klucza prywatnego do odszyfrowania informacji. Nazywa się to parą kluczy. Interloperzy, którzy mogą przechwycić dane w drodze, uznają je za nieczytelne.
Problem polega jednak na tym, że każdy może stworzyć stronę internetową i parę kluczy, używając nazwy, która do niego nie należy. Tutaj pojawiają się certyfikaty cyfrowe. Certyfikaty cyfrowe to zaufane karty identyfikacyjne w formie elektronicznej, które wiążą publiczny klucz szyfrowania witryny z ich tożsamością w celu zaufania publicznego.
Certyfikaty cyfrowe są wydawane przez niezależną, uznaną i wzajemnie zaufaną stronę trzecią, która gwarantuje, że strona internetowa działa tak, jak podaje. Ta strona trzecia jest znana jako urząd certyfikacji (CA). Bez certyfikatów cyfrowych opinia publiczna ma niewielką pewność co do legalności jakiejkolwiek konkretnej strony internetowej.
Certyfikat cyfrowy zawiera między innymi nazwę podmiotu, adres, numer seryjny, klucz publiczny, datę ważności i podpis cyfrowy. Gdy przeglądarka internetowa, taka jak Firefox, Netscape lub Internet Explorer, nawiązuje bezpieczne połączenie, certyfikat cyfrowy jest automatycznie przekazywany do przeglądu. Przeglądarka sprawdza go pod kątem anomalii lub problemów i wyświetla alert, jeśli jakieś zostaną znalezione. Gdy certyfikaty cyfrowe są w porządku, przeglądarka realizuje bezpieczne połączenia bez przerw.
Choć rzadkie, zdarzały się przypadki oszustw phishingowych polegających na powielaniu witryny internetowej i „przechwytywaniu” jej cyfrowego certyfikatu w celu nakłonienia klientów do podania danych osobowych. Oszustwa te polegały na przekierowywaniu klienta do prawdziwej witryny w celu uwierzytelnienia, a następnie sprowadzaniu go z powrotem do oszukanej witryny. Inne oszustwa phishingowe wykorzystują samopodpisane certyfikaty cyfrowe do całkowitego pozbycia się zaufanej strony trzeciej lub urzędu certyfikacji. Wystawca certyfikatu cyfrowego i osoba podpisująca są tym samym. W takim przypadku przeglądarka wyświetli ostrzeżenie, ale większość użytkowników i tak klika, nie rozumiejąc różnicy.
Certyfikaty cyfrowe odgrywają integralną rolę w zapewnianiu bezpieczeństwa handlu online. Jeśli Twoja przeglądarka ostrzega Cię o problemie z certyfikatem cyfrowym, radzimy nie klikać. Zamiast tego zadzwoń do firmy pod numer telefonu z wyciągów lub książki telefonicznej i zapytaj o problem.
Nie wszystkie urzędy certyfikacji są sobie równe. Niektóre urzędy certyfikacji są nowsze i mniej znane. Dwa przykłady zaufanych urzędów certyfikacji to VeriSign i Thawte. Jeśli Twoja przeglądarka nie rozpoznaje urzędu certyfikacji, ostrzeże Cię.