Czy SSL jest obowiązkowy dla formularzy kontaktowych? W jaki sposób amerykańska inicjatywa przyczynia się do zwiększenia pewności prawnej

Johannes Benz Ostatnia aktualizacja 21.01.2020
3 Min.
Formularz kontaktowy Zobowiązanie SSL Bezpieczeństwo prawne

Inicjatywa non-profit Let's Encrypt z San Francisco oferuje darmowe certyfikaty SSL od maja tego roku. Według własnych informacji, celem jest demokratyzacja Internetu i uczynienie go bardziej bezpiecznym. W ten sposób Amerykanie zapewniają większą pewność prawną w Niemczech. Na przykład w kwestii tego, czy SSL jest obowiązkowy dla formularza kontaktowego.

HTTPS ma stać się nowym standardem w sieci. Przynajmniej jeśli amerykańsko-amerykańska grupa badawcza ds. bezpieczeństwa w Internecie zrobi to po swojemu. W ramach projektu Let's Encrypt grupa chce zapewnić każdemu operatorowi strony internetowej na świecie darmowy certyfikat SSL. Bez względu na ich pochodzenie lub zdolność do zapłaty.

Szczególnie operatorzy stron polscy mogą skorzystać na tej szlachetnej idei. Dzięki sponsorom takim jak Facebook, Mozilla czy Linux, certyfikaty Let's Encrypt cieszą się wysokim poziomem wiarygodności. A darmowy SSL technicznie nie różni się od płatnej wersji.

Tak więc operatorzy mniejszych blogów lub stron firmowych mogą również korzystać z zalet HTTPS: większa szybkość dzięki HTTP/2, większe bezpieczeństwo danych, a przede wszystkim większe bezpieczeństwo prawne. A raczej mniejszej niepewności prawnej, bo do tej pory blogerzy, a w szczególności operatorzy mniejszych stron, stawali przed pytaniem, czy SSL jest obowiązkowy np. dla formularza kontaktowego i czy może im grozić ostrzeżenie.

Czy szyfrowanie SSL jest obowiązkowe?

W Niemczech od lat istnieje obowiązek tworzenia kopii zapasowych wrażliwych danych. Przynajmniej w teorii. Ponieważ zgodnie z §13 ustawy o telemediach:

"Dostawcy usług [...], o ile jest to technicznie możliwe i ekonomicznie uzasadnione, w zakresie swojej odpowiedzialności za telemedia oferowane na zasadach komercyjnych, zapewniają za pomocą technicznych i organizacyjnych środków ostrożności, że [...] używane urządzenia techniczne [...] są zabezpieczone przed naruszeniem ochrony danych osobowych [...]"
- Ustawa o telemediach §13

Szczególnie niejasne sformułowania spowodowały wiele niepewności wśród niemieckich operatorów stron: Czy własny blog ma charakter biznesowy? W którym momencie można ją zakwalifikować jako taką? Co jest technicznie możliwe? Co jest ekonomicznie uzasadnione? Te i inne pytania zostały bardzo szczegółowo omówione. Bez wyraźnego rezultatu.

Wydaje się jednak, że tenor jest następujący: szyfrowanie SSL nie jest obowiązkowe. Ale tylko kopia zapasowa danych. Nie musi się to odbywać za pomocą certyfikatu SSL. Szyfrowanie komunikacji pomiędzy przeglądarką a serwerem WWW jest jednak bardzo dobrym sposobem na ochronę wrażliwych danych osób odwiedzających witrynę.
Oprócz niejasnych sformułowań prawnych brakuje również precedensów.

Niebezpieczeństwo związane z ostrzeżeniem powinno być dość niskie

Wiąże się to również z problemami ze strony władz. Dzieje się tak dlatego, że organy nadzorcze zazwyczaj po prostu nie dysponują zasobami umożliwiającymi systematyczne skanowanie wszystkich stron internetowych w obszarze ich kompetencji pod kątem naruszeń. Ryzyko faktycznego otrzymania ostrzeżenia powinno być zatem dość niskie. Ale: Nie można być tego pewnym.

Przeciw tym wszystkim nieprawdopodobnym i szarym strefom prawnym można teraz skutecznie i przede wszystkim w prosty sposób chronić siebie jako operatora strony internetowej. Ponieważ darmowe certyfikaty SSL z Let's Encrypt wywarły presję na środowisko hostingowe polscy. I tak firmy hostingowe stworzyły kilka możliwości uzyskania darmowych certyfikatów SSL.

Teoretycznie każdy może dziś kupić darmowy certyfikat SSL

Przynajmniej klienci dużych i wyspecjalizowanych niemieckich dostawców nie muszą już płacić za zwykłe certyfikaty SSL. Ponieważ dostawcy zareagowali na wolny SSL z Ameryki co najmniej trzema różnymi podejściami:

  • Pełna integracja Let's Encrypt: Kilku hostingodawców całkowicie zintegrowało certyfikaty z San Francisco ze swoją ofertą. Na przykład na stronie RAIDBOXES można skonfigurować SSL za pomocą jednego kliknięcia.
  • Częściowa integracja Let's Encrypt: Inne firmy hostingowe wzięły pod uwagę Let's Encrypt i pozwalają na jego instalację. Częściowo, opcja Let's Encrypt jest zależna od taryfy. Jednak wolny SSL nie został zintegrowany z interfejsem użytkownika hostingu tutaj. Użytkownik musi sam podjąć działania i skonfigurować swój darmowy certyfikat SSL za pomocą programu o nazwie Certbot.
  • Obejście Let's Encrypt: Zwłaszcza duzi hostingodawcy jak 1und1 czy Mittwald całkowicie zrezygnowali z integracji certyfikatów Let's Encrypt. Zamiast tego oferują darmowe certyfikaty SSL od partnerów, z którymi współpracują.

Wniosek: Mniej obaw o niepewność prawną dla polscy operatorów obiektów

Niezależnie od tego, czy prowadzisz bloga, stronę firmową czy sklep internetowy: dzięki obecnym ruchom na rynku hostingowym, darmowe certyfikaty są już dziś dostępne dla wielu użytkowników. Dzięki nim można w bardzo prosty sposób wyeliminować wątpliwości prawne związane z ustawą o telemediach i obowiązkami operatorów stron internetowych. Ponieważ niezależnie od tego, czy certyfikat jest bezpłatny czy płatny: wrażliwe dane są niezawodnie szyfrowane i tym samym chronione przed dostępem osób trzecich.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.