Comerțul electronic a înflorit datorită capacității de a efectua tranzacții online sigure folosind instrumentele adecvate. Aceste instrumente sunt criptarea cu chei publice și certificatele digitale.
Criptarea cu cheie publică utilizează SSL (Secure Sockets Layer) pentru a cripta toate datele dintre computerul clientului și site-ul de comerț electronic. Informațiile sunt trimise în formă criptată către site folosind cheia publică a site-ului. La primirea informațiilor, site-ul își folosește cheia privată pentru a decripta informațiile. Aceasta se numește pereche de chei. Intrușii care ar putea captura date pe drum le vor găsi ilizibile.
Problema, totuși, este că oricine poate crea un site web și o pereche de chei folosind un nume care nu îi aparține. Aici intervin certificatele digitale. Certificatele digitale sunt cărți de identitate de încredere în formă electronică care leagă cheia publică de criptare a unui site web de identitatea lor în scopuri de încredere publică.
Certificatele digitale sunt emise de o terță parte independentă, recunoscută și de încredere reciprocă, care garantează că site-ul web care funcționează este ceea ce pretinde a fi. Această terță parte este cunoscută ca o Autoritate de Certificare (CA). Fără certificate digitale, publicul are puține asigurări cu privire la legitimitatea unui anumit site web.
Un certificat digital conține, printre alte informații, numele unei entități, adresa, numărul de serie, cheia publică, data de expirare și semnătura digitală. Când un browser web precum Firefox, Netscape sau Internet Explorer realizează o conexiune securizată, certificatul digital este returnat automat pentru revizuire. Browserul verifică dacă există anomalii sau probleme și afișează o alertă dacă este găsită. Când certificatele digitale sunt în regulă, browserul realizează conexiuni securizate fără întrerupere.
Deși rare, au existat cazuri de escrocherii de tip phishing care au dublat un site web și „deturnează” certificatul digital al site-ului pentru a păcăli clienții să renunțe la informații personale. Aceste escrocherii implicau redirecționarea clientului către site-ul real pentru autentificare, apoi aducerea acestuia înapoi pe site-ul înșelat. Alte escrocherii de tip phishing folosesc certificate digitale autosemnate pentru a elimina complet terțul de încredere sau autoritatea de certificare. Emitentul certificatului digital și semnatarul sunt unul în același. Un browser va alerta în acest caz, dar majoritatea utilizatorilor fac clic oricum, fără a înțelege diferența.
Certificatele digitale joacă un rol esențial în menținerea în siguranță a comerțului online. Dacă browserul dvs. vă avertizează cu privire la o problemă cu un certificat digital, sunteți bine sfătuit să nu faceți clic. În schimb, apelați compania folosind un număr de telefon din extrasele dvs. de cont sau din agenda dvs. și întrebați problema.
Nu toate autoritățile de certificare sunt egale. Unele CA sunt mai noi și mai puțin cunoscute. Două exemple de CA de mare încredere sunt VeriSign și Thawte. Dacă browserul dvs. nu recunoaște o Autoritate de Certificare, vă va alerta.