E-handel har blomstrat på grund av möjligheten att utföra säkra transaktioner online med hjälp av rätt verktyg. Dessa verktyg är kryptering med offentlig nyckel och digitala certifikat.
Public key-kryptering använder SSL (Secure Sockets Layer) för att kryptera all data mellan kundens dator och e-handelswebbplatsen. Information skickas i krypterad form till webbplatsen med hjälp av webbplatsens publika nyckel. Efter att ha tagit emot informationen använder webbplatsen sin privata nyckel för att dekryptera informationen. Detta kallas ett nyckelpar. Ingripare som kan fånga data på vägen kommer att tycka att det är oläsligt.
Problemet är dock att vem som helst kan skapa en webbplats och ett nyckelpar med ett namn som inte tillhör dem. Det är här digitala certifikat kommer in. Digitala certifikat är betrodda ID-kort i elektronisk form som binder en webbplatss offentliga krypteringsnyckel till sin identitet för allmänhetens förtroende.
Digitala certifikat utfärdas av en oberoende, erkänd och ömsesidigt betrodd tredje part som garanterar att webbsidan som fungerar är den den utger sig för att vara. Denna tredje part är känd som en Certification Authority (CA). Utan digitala certifikat har allmänheten liten säkerhet om legitimiteten för en viss webbplats.
Ett digitalt certifikat innehåller bland annat en enhets namn, adress, serienummer, publika nyckel, utgångsdatum och digitala signatur. När en webbläsare som Firefox, Netscape eller Internet Explorer gör en säker anslutning, överlämnas det digitala certifikatet automatiskt för granskning. Webbläsaren kontrollerar den för avvikelser eller problem, och poppar upp en varning om några hittas. När digitala certifikat är i ordning slutför webbläsaren säkra anslutningar utan avbrott.
Även om det är sällsynt har det förekommit fall av nätfiske som duplicerat en webbplats och ”kapat” webbplatsens digitala certifikat för att lura kunder att ge upp personlig information. Dessa bedrägerier involverade att omdirigera kunden till den riktiga webbplatsen för autentisering, och sedan föra dem tillbaka till den lurade webbplatsen. Andra nätfiskebedrägerier använder självsignerade digitala certifikat för att göra sig av med den betrodda tredje parten eller certifikatutfärdaren helt och hållet. Utfärdaren av det digitala certifikatet och undertecknaren är en i samma. En webbläsare kommer att varna i det här fallet, men de flesta användare klickar sig igenom ändå, utan att förstå skillnaden.
Digitala certifikat spelar en viktig roll för att hålla onlinehandel säker. Om din webbläsare uppmärksammar dig på ett problem med ett digitalt certifikat, bör du inte klicka dig vidare. Ring istället företaget med hjälp av ett telefonnummer från dina uttalanden eller telefonbok och fråga om problemet.
Alla certifikatutfärdare är inte lika. Vissa CA:er är nyare och mindre kända. Två exempel på högt pålitliga certifikatutfärdare är VeriSign och Thawte. Om din webbläsare inte känner igen en certifikatutfärdare kommer den att varna dig.