E-ticaret, uygun araçları kullanarak çevrimiçi güvenli işlem yapma becerisi nedeniyle gelişti. Bu araçlar ortak anahtar şifreleme ve dijital sertifikalardır.
Genel anahtar şifrelemesi, müşterinin bilgisayarı ile e-ticaret web sitesi arasındaki tüm verileri şifrelemek için SSL (Güvenli Yuva Katmanı) kullanır. Bilgi sitenin genel anahtarını kullanarak şifreli olarak siteye gönderilir. Bilgiyi aldıktan sonra, site bilginin şifresini çözmek için özel anahtarını kullanır. Buna anahtar çifti denir. Yoldayken veri yakalayabilecek konuşlandırıcılar okunamayacaklarını görecektir.
Ancak sorun, herkesin kendisine ait olmayan bir isim kullanarak bir web sitesi ve anahtar çifti oluşturabilmesidir. Dijital sertifikaların girdiği yer burasıdır. Dijital sertifikalar, bir web sitesinin genel şifreleme anahtarını kimliğine kamu yararı amacıyla bağlayan elektronik biçimde güvenilir kimlik kartlarıdır.
Dijital sertifikalar, web sitesinin faaliyet gösterdiğini iddia ettiği kişi olduğunu garanti eden bağımsız, tanınmış ve karşılıklı olarak güvenilen bir üçüncü tarafça verilir. Bu üçüncü taraf bir Sertifika Yetkilisi (CA) olarak bilinir. Dijital sertifikalar olmadan, halk herhangi bir web sitesinin yasallığı konusunda çok az güvenceye sahiptir.
Bir dijital sertifika, diğer bilgilerin yanı sıra bir işletmenin adı, adresi, seri numarası, genel anahtarı, son kullanma tarihi ve dijital imzasını içerir. Firefox, Netscape veya Internet Explorer gibi bir Web tarayıcısı güvenli bir bağlantı kurduğunda, dijital sertifika otomatik olarak incelenmek üzere teslim edilir. Tarayıcı anomalileri veya sorunları kontrol eder ve varsa bulunursa bir uyarı açar. Dijital sertifikalar verildiğinde, tarayıcı güvenli bağlantıları kesintisiz tamamlar.
Nadiren olsa da, bir web sitesini kopyalayan ve sitenin dijital sertifikasını müşterilerin kişisel bilgilerinden vazgeçmeleri için kandırmak için yapılan kimlik avı dolandırıcılık vakaları olmuştur. Bu dolandırıcılık, müşteriyi kimlik doğrulaması için gerçek siteye yönlendirmek ve ardından tekrar kontrol edilen web sitesine geri getirmeyi içeriyordu. Diğer kimlik avı dolandırıcılıkları, güvenilir üçüncü taraf veya Sertifika Yetkilisini tamamen elden çıkarmak için kendinden imzalı dijital sertifikalar kullanır. Dijital sertifikayı veren ve imzalayan kişi aynıdır. Bir tarayıcı bu durumda sizi uyaracaktır, ancak çoğu kullanıcı farkı anlayamıyor, yine de tıklıyor.
Dijital sertifikalar, çevrimiçi ticaretin güvenliğinin sağlanmasında önemli bir rol oynamaktadır. Tarayıcınız sizi bir dijital sertifika ile ilgili bir sorun konusunda uyarırsa, tıklamamanız önerilir. Bunun yerine, işinizi ifadelerinizden veya telefon rehberinizden bir telefon numarası kullanarak arayın ve soruna sorun.
Tüm Sertifika Yetkilileri eşit değildir. Bazı CA'lar daha yeni ve daha az iyi bilinmektedir. Çok güvenilir CA'lara iki örnek VeriSign ve Thawte'dir. Tarayıcınız bir Sertifika Yetkilisini tanımıyorsa sizi uyaracaktır.
