HTTPS ja SSL-sertifikaadid: muutke oma veebisait turvaliseks (ja miks peaksite seda tegema)

Kuidas

KõrvalJack Busch

Viimati uuendatud20. aprill 2018

Kui tegemist on isikliku teabe saatmisega Interneti kaudu - olgu see kontaktteave, sisselogimismandaadid, kontoteave, asukohateave või midagi muud, mida võidakse kuritarvitada - avalikkus on häkkerite ja identiteedi osas üldiselt paranoiline vargad. Ja õigustatult. Hirm, et teie teave võidakse varastada, võltsida või omastada, pole kaugeltki irratsionaalne. Viimaste aastakümnete lekete ja turvarikkumiste pealkirjad tõestavad seda. Kuid hoolimata sellest hirmust logivad inimesed endiselt sisse oma panganduse, sisseostude tegemise, ajakirjade sõlmimise, kohtingute, suhtluse ja muu isikliku ja professionaalse ettevõtluse jaoks veebis. Ja seal on üks väike asi, mis annab neile enesekindluse seda teha. Ma näitan seda teile:

Ehkki mitte kõik neist ei mõista, kuidas see töötab, annab see väike aadressiriba tabalukk veebikasutajatele märku, et neil on usaldusväärne ühendus õigustatud veebisaidiga. Kui külastajad ei näe seda teie veebisaidi ülesvõtmisel aadressiribal, siis te ei saa - ja ei peakski - nende ettevõtet saama.

Oma veebisaidi jaoks selle väikese aadressiriba tabaluku saamiseks vajate SSL-sertifikaati. Kuidas sa selle saad? Loe edasi, et teada saada.

Artikli ülevaade:

• Mis on SSL / TLS?
• Kuidas kasutada HTTPS-i?
• Mis on SSL-sertifikaat ja kuidas seda saada?
• SSL-sertifikaadi ostuteatmik
• • Sertifikaadiasutus
  • Domeeni valideerimine vs. Laiendatud valideerimine
  • Jagatud SSL vs. Privaatne SSL
  • Usalduse tihendid
  • Metamärgi SSL-sertifikaadid
  • Garantiid
  • Tasuta SSL-sertifikaadid ja iseallkirjastatud SSL-sertifikaadid
• SSL-sertifikaadi installimine
• HTTPS plussid ja miinused

Mis on SSL / TLS?

Veebis edastatakse andmeid hüperteksti edastusprotokolli abil. Sellepärast on kõigil veebilehtede URL-idel “ http://” või „https: // ”nende ees.

Mis vahe on http ja https vahel? Sellel väikesel ekstra S-l on suured tagajärjed: turvalisus.

Las ma selgitan.

HTTP on „keel”, mida teie arvuti ja server kasutavad omavahel rääkimiseks. Seda keelt mõistetakse üldiselt, mis on mugav, kuid sellel on ka oma puudusi. Kui teie ja serveri vahel edastatakse andmeid Interneti kaudu, teeb see enne lõppsihtkohta jõudmist mõned peatused. See kujutab endast kolme suurt riski:

• Et keegi võiks pealtkuulamine teie vestluses (nagu digitaalne juhtmevaba tekst).

• Et keegi võiks esinema üks (või mõlemad) pooled kummaski otsas.

• Et keegi võiks omavoliline koos edastatud sõnumitega.

Häkkerid ja tõmblused kasutavad ülalnimetatud kombinatsiooni paljude pettuste ja tõendite tegemiseks, sealhulgas andmepüügipiiride, keskel aset leidvate rünnakute ja hea vanamoodsa reklaami jaoks. Pahatahtlikud rünnakud võivad olla sama lihtsad kui Facebooki mandaatide nuusutamine, krüpteerimata küpsiste pealtkuulamise teel (pealtkuulamine), või võivad need olla keerukamad. Näiteks võite arvata, et ütlete oma pangale: „Palun kandke minu ISP-le 100 dollarit”, kuid keegi keskel võib sõnumit muuta järgmiselt: „Palun tehke ülekanne $100kogu mu raha kuni minu ISPPeggy Siberis”(Andmete võltsimine ja kellegi teisena esinemine).

Niisiis, need on probleemid HTTP-ga. Nende probleemide lahendamiseks võib HTTP kihistada turvaprotokolliga, mille tulemuseks on HTTP Secure (HTTPS). Kõige tavalisemalt pakub S HTTPS-is S-protokollit Secure Sockets Layer (SSL) või uuemat TLS-protokolli (Transport Layer Security). Juurutamisel pakub HTTPS kahesuunalist krüptimine (pealtkuulamise ärahoidmiseks), serverautentimine (kellegi teisena esinemise vältimiseks) ja sõnumi autentimine (andmete rikkumise vältimiseks).

Kuidas kasutada HTTPS-i

Nagu kõnekeel, töötab ka HTTPS ainult siis, kui mõlemad pooled otsustavad seda rääkida. Kliendipoolse valiku saab HTTPS-i kasuks teha siis, kui sisestate brauseri aadressiribale URL-i ette https (nt sisestamise asemel http://www.facebook.com, tüüp https://www.facebook.com) või installides laienduse, mis sunnib automaatselt HTTPS-i (nt HTTPS kõikjal Firefox ja Chrome. Kui teie veebibrauser kasutab HTTPS-i, näete tabaluku ikooni, rohelist brauseri riba, pöidlaid või mõnda muud rahustavat märki, et teie ühendus serveriga on turvaline.

HTTPS-i kasutamiseks peab veebiserver seda siiski toetama. Kui olete veebimeister ja soovite oma veebikülastajatele pakkuda HTTPS-i, siis vajate SSL-sertifikaati või TLS-sertifikaati. Kuidas saada SSL- või TLS-sertifikaat? Jätkake lugemist.

Lisateave: mõned populaarsed veebirakendused võimaldavad teil oma kasutajaseadetes valida HTTPS. Lugege meie kirjutisi Facebook, Gmailja Twitter.

Mis on SSL-sertifikaat ja kuidas seda saada?

HTTPS-i kasutamiseks peab teie veebiserveril olema installitud SSL-sertifikaat või TLS-sertifikaat. SSL / TLS-sertifikaat on omamoodi teie veebisaidi foto ID. Kui HTTPS-i kasutav brauser pääseb teie veebisaidile juurde, teeb see käepigistuse, mille käigus klientarvuti küsib SSL-sertifikaati. Seejärel valideerib SSL-sertifikaadi usaldusväärne sertifikaadiasutus (CA), kes kontrollib, kas server on see, kelleks ta ütleb. Kui kõik saab teada, saab teie veebikülastaja rahustava rohelise linnukese või lukuikooni. Kui midagi läheb valesti, saavad nad veebibrauserilt hoiatuse, milles öeldakse, et serveri identiteeti ei õnnestunud kinnitada.

SSL-sertifikaadi ostmine

Teie veebisaidile SSL-sertifikaadi installimisel on hulgaliselt parameetreid, mille üle otsustada. Lähme üle kõige tähtsamale:

Sertifikaadiasutus

Sertifikaatide väljastaja (CA) on ettevõte, kes väljastab teie SSL-sertifikaadi, ja valideerib teie sertifikaadi iga kord, kui mõni teie veebisaidile külastaja tuleb. Ehkki iga SSL-sertifikaatide pakkuja konkureerib hinna ja omaduste osas, on kontrollimisel arvestatav kõige olulisem asi sertifikaatide autoriteediks on see, kas neil on populaarseimasse veebi eelinstallitud sertifikaate või mitte brauserid. Kui teie SSL-sertifikaadi väljastanud sertimisasutust ei ole selles loendis, palutakse kasutajal hoiatust, et saidi turvasertifikaati ei usaldata. Muidugi ei tähenda see, et teie veebisait on ebaseaduslik - see tähendab lihtsalt seda, et teie CA pole loendis (veel). See on probleem, kuna enamik kasutajaid ei viitsi hoiatust lugeda ega tundmatut CA uurida. Tõenäoliselt klõpsavad nad lihtsalt ära.

Õnneks on peamistes brauserites eelinstalleeritud CA-de loend üsna suur. See sisaldab nii suuri kaubamärke kui ka vähemtuntud ja soodsamaid CA-sid. Kodumajapidamise nimed hõlmavad Verisign, Mine isa, Komodo, Thawte, Geotrustja Usaldada.

Samuti saate oma brauseri seadetes vaadata, millised sertifikaatide autoriteedid on eelinstalleeritud.

• Chrome'i jaoks minge seadetesse -> Kuva täpsemad seaded… -> Halda sertifikaate.
• Firefoxi jaoks tehke suvandid Valikud -> Täpsemalt -> Kuva sertifikaadid.
• IE jaoks on Interneti-valikud -> Sisu -> Sertifikaadid.
• Safari jaoks minge Finderisse ja valige Mine -> Utiliidid -> KeyChaini juurdepääs ja klõpsake nuppu Süsteem.

Kiire ülevaate saamiseks tutvuge selle lõimega, kus on loetletud aktsepteeritavad Google Checkouti SSL-sertifikaadid.

Domeeni valideerimine vs. Laiendatud valideerimine

SSL-sertifikaat on mõeldud selle veebisaidi identiteedi tõestamiseks, kuhu teavet saadate. Tagamaks, et inimesed ei võta võltsitud SSL-sertifikaate välja nende domeenide jaoks, mida nad õigusega ei kontrolli, a sertifikaadiasutus kontrollib, kas sertifikaati taotlev isik on tõepoolest domeeni omanik nimi. Tavaliselt tehakse seda kiire e-posti või telefonikõne valideerimise kaudu, sarnaselt siis, kui veebisait saadab teile konto kinnituslingiga meilisõnumi. Seda nimetatakse a-ks domeen valideeritud SSL-sertifikaat. Selle eeliseks on see, et see võimaldab SSL-sertifikaate välja anda peaaegu kohe. Tõenäoliselt võiksite domeeni valideeritud SSL-sertifikaadi hankida lühema aja jooksul kui selle ajaveebi lugemiseks kulus. Domeeni kinnitatud SSL-sertifikaadiga saate tabaluku ja võimaluse oma veebisaidi liiklust krüptida.

Domeeniga kinnitatud SSL-sertifikaadi eelised on see, et seda on kiire, lihtne ja odav hankida. See on ka nende puudus. Nagu võite ette kujutada, on automatiseeritud süsteemi hõlpsam ühendada kui elusate inimeste juhtimisel. See on omamoodi, kui mõni keskkoolilaps kõndis DMV-sse öeldes, et ta on Barack Obama ja soovib saada valitsuse väljastatud isikutunnistust. laua taga olev inimene vaataks talle ühe pilgu ja helistaks Feds-ile (või loony bin-le). Kuid kui see oleks foto ID-kioski töötav robot, võib tal õnne olla. Samal viisil saavad andmepüüdjad domeeni valideerimissüsteemide abil trükkides kätte võltsitud ID-sid selliste veebisaitide jaoks nagu Paypal, Amazon või Facebook. 2009. aastal avaldas Dan Kaminsky näite viisist kelmused CA-delt sertifikaatide saamiseks mis muudaks andmepüügisaidi näeks välja nagu see oleks turvaline ja seaduslik ühendus. Inimesele oleks seda pettust lihtne märgata. Kuid tollal automatiseeritud domeeni valideerimisel puudusid vajalikud kontrollid, et midagi sellist takistada.

Vastusena SSL-i ja domeeni poolt kinnitatud SSL-sertifikaatide haavatavustele on tööstuses kasutusele võetud Laiendatud valideerimine tunnistus. EV SSL-sertifikaadi saamiseks peab teie ettevõte või organisatsioon läbima selle tagamiseks range kontrolli et see on teie valitsusega heas seisus ja kontrollib teie rakendatavat domeeni õigustatult jaoks. Need kontrollid nõuavad muu hulgas inimlikku elementi ja nõuavad seetõttu kauem aega ning on kallimad.

Mõnes tööstuses on vaja EV-sertifikaati. Kuid teiste jaoks on kasu ainult niipalju, kui teie külastajad ära tunnevad. Igapäevaste veebikülastajate jaoks on erinevus väike. Lisaks tabaluku ikoonile muutub aadressiriba roheliseks ja kuvab teie ettevõtte nime. Kui klõpsate lisateabe saamiseks, näete, et ettevõtte identiteet, mitte ainult veebisait, on kinnitatud.

Siin on näide tavalisest HTTPS-saidist:

Ja siin on näide EV-sertifikaadi HTTPS-saidist:

Sõltuvalt teie majandusharust ei pruugi EV-sertifikaat seda väärt olla. Lisaks peate selle saamiseks olema ettevõte või organisatsioon. Ehkki suured ettevõtted on suundumas EV sertifitseerimise poole, võite märgata, et enamus HTTPS-i saite pakuvad endiselt EV-le mitte kuuluvat maitset. Kui see on Google'i, Facebooki ja Dropboxi jaoks piisavalt hea, võib-olla on see teie jaoks piisavalt hea.

Veel üks asi: on olemas maantee keskpunkt, mida nimetatakse organisatsioon kinnitatud või äri kinnitatud sertifitseerimine. See on põhjalikum kontroll kui automatiseeritud domeeni valideerimine, kuid see ei lähe nii kaugele, et vastab valdkonnale laiendatud valideerimise sertifikaadi reeglid (märkige, kuidas laiendatud valideerimine on suurtähtedega ja “organisatsiooniline valideerimine ”pole nii?). OV või ettevõtte kinnitatud sertifitseerimine maksab rohkem ja võtab kauem aega, kuid see ei anna teile rohelist aadressiriba ja ettevõtte identiteediga kinnitatud teavet. Ausalt öeldes ei suuda ma mõelda põhjusele, miks maksta OV sertifikaadi eest. Kui suudate ühe välja mõelda, palun valgustage mind kommentaarides.

Jagatud SSL vs. Privaatne SSL

Mõned veebimajutajad pakuvad ühist SSL-teenust, mis on sageli odavam kui privaatne SSL. Jagatud SSL-i eeliseks on lisaks hinnale ka see, et te ei pea hankima privaatset IP-aadressi või spetsiaalset hostit. Negatiivne külg on see, et te ei saa oma domeeninime kasutada. Selle asemel on teie saidi turvaline osa midagi sellist:

https://www.hostgator.com/~yourdomain/secure.php

Vastupidiselt privaatsele SSL-aadressile:

https://www.yourdomain.com/secure.php

Avalikult kasutatavate saitide, näiteks e-kaubanduse ja suhtlusvõrkude saitide jaoks on see ilmselgelt vedamine, kuna tundub, et teid suunati peamisele saidile. Kuid piirkondadele, mida laiem üldsus tavaliselt ei vaata, näiteks meilisüsteemi sisemised sised või administraatori ala, võib jagatud SSL olla hea asi.

Usalduse tihendid

Paljud sertifikaatidega tegelevad asutused lubavad teil oma veebisaidil usalduspitseri asetada pärast seda, kui olete registreerunud mõnele nende sertifikaadile. See annab peaaegu sama teabe nagu brauseriaknas tabalukul klõpsates, kuid suurema nähtavusega. Usalduspitseri lisamine pole nõutav ega suurenda teie turvalisust, kuid kui see annab külastajatele sooja teadvuse, kui teate, kes väljastas SSL-sertifikaadi, siis visake see sinna üles.

Metamärgi SSL-sertifikaadid

SSL-sertifikaat kontrollib ühe domeeni identiteeti. Niisiis, kui soovite, et HTTPS oleks mitmel alamdomeenil - nt groovypost.com, mail.groovypost.com ja vastused.groovypost.com- peate ostma kolm erinevat SSL-sertifikaati. Teatud hetkel muutub metamärgi SSL-sertifikaat säästlikumaks. See tähendab, et üks sertifikaat hõlmab ühte domeeni ja kõiki alamdomeene, st * .groovypost.com.

Garantiid

Pole tähtis, kui pikaajaline on ettevõtte hea maine, on nõrku kohti. Häkkerid võivad suunata isegi usaldusväärseid CA-sid, nagu tõestab rikkumine VeriSignis, millest 2010. aastal ei teatatud. Lisaks võib CA usaldusväärsete isikute staatuse kiiresti tühistada, nagu nägime DigiNotar snafu tagasi 2011. aastal. Asju juhtub.

Et leevendada muret SSL-i juhuslike juhuslike tegude võimaliku üle, pakuvad paljud pädevad asutused nüüd garantiisid. Katvus ulatub mõnest tuhandest dollarist üle miljoni dollarini ja hõlmab kahjusid, mis tulenevad teie sertifikaadi väärkasutamisest või muudest äpardustest. Mul pole aimugi, kas need garantiid lisavad tõepoolest väärtust või mitte, või kas keegi on kunagi nõude edukalt võitnud. Kuid need on teie jaoks olemas.

Tasuta SSL-sertifikaadid ja iseallkirjastatud SSL-sertifikaadid

Saadaval on kahte tüüpi tasuta SSL-sertifikaate. Iseallkirjastatud, mida kasutatakse peamiselt eraviisilisteks testimisteks ja täieõiguslikuks kasutamiseks SSL-sertifikaatidega, mille on välja andnud kehtiv sertifikaadi väljastaja. Hea uudis on see, et 2018. aastal on mõned võimalused 100% tasuta, kehtivate 90-päevaste SSL-sertifikaatide saamiseks mõlemalt SSL tasuta või Krüptime. Tasuta SSL on peamiselt Let's Encrypt API GUI. Saidi SSL for Free eeliseks on selle lihtne kasutamine, kuna sellel on kena GUI. Krüptimine on aga tore, kuna saate neilt täielikult SSL-sertifikaatide taotlemise automatiseerida. Ideaalne, kui vajate mitme veebisaidi / serveri jaoks SSL-sertifikaate.

Iseallkirjastatud SSL-sertifikaat on igavesti tasuta. Enda allkirjastatud sertifikaadiga olete teie enda CA. Kuna te ei kuulu veebibrauseritesse sisseehitatud usaldusväärsete CA-de hulka, saavad külastajad hoiatuse, et opsüsteem ei tunnista autoriteeti. Sellisena pole tegelikult mingit kindlust, et olete see, kelleks ütlete (umbes nagu väljastaksite endale isikut tõendava dokumendi ja prooviksite seda alkoholipoes välja anda). Iseallkirjastatud SSL-sertifikaadi eeliseks on aga see, et see võimaldab veebiliikluse krüptimist. See võib olla kasulik sisemiseks kasutamiseks, kus töötajad saavad lisada oma organisatsiooni usaldusväärse CA-na, et hoiatussõnumist lahti saada ja Interneti kaudu turvalist ühendust luua.

Iseallkirjastatud SSL-sertifikaadi seadistamise juhiste saamiseks lugege selle dokumente OpenSSL. (Või kui nõudlust on piisavalt, kirjutan ma õpetuse.)

SSL-sertifikaadi installimine

Kui olete oma SSL-sertifikaadi ostnud, peate selle oma veebisaidile installima. Hea veebimajutaja pakub seda teie jaoks. Mõni võib isegi minna selle ostmiseks teie jaoks. Sageli on see parim viis minna, kuna see lihtsustab arveldust ja tagab, et see on teie veebiserveri jaoks korralikult seadistatud.

Sellegipoolest on teil alati võimalus ise ostetud SSL-sertifikaat installida. Kui teete seda, võiksite alustada oma veebi teadmistebaasiga tutvumist või avada kasutajatoe pilet. Nad suunavad teid SSL-sertifikaadi installimise parimate juhiste juurde. Samuti peaksite tutvuma CA juhistega. Need annavad teile paremaid juhiseid kui ükski üldine nõuanne, mida ma teile siin anda saan.

Samuti võiksite vaadata järgmisi SSL-sertifikaadi installimise juhiseid:

• Installige SSL-sertifikaat ja seadistage domeen cPanelis
• SSL-i rakendamine IIS-is (Windows Server)
• Apache SSL / TLS krüptimine

Kõik need juhised hõlmavad SSL-sertifikaadi allkirjastamistaotluse (CSR) loomist. Tegelikult vajate CSR-i ainult selleks, et saada välja SSL-sertifikaat. Jällegi saab teie veebimajutaja teid selles aidata. Täpsemat DIY-teavet CSR-i loomise kohta leiate sellest kirjutusest aadressil DigiCert.

HTTPS plussid ja miinused

Oleme juba kindlalt kinnitanud HTTPS plussid: turvalisus, turvalisus, turvalisus. See mitte ainult ei leevenda andmete rikkumise riski, vaid sisendab ka usaldust ja lisab teie veebisaidile usaldusväärsust. Nutikad kliendid ei pruugi isegi registreerimisega vaeva näha, kui näevad „ http://” sisselogimislehel.

HTTPS-il on siiski mõned miinused. Arvestades HTTPS-i vajalikkust teatud tüüpi veebisaitide jaoks, on mõistlikum mõelda nendele kui „miinusedideed ”, mitte negatiivid.

• HTTPS maksab raha. Alustuseks maksavad teie SSL-sertifikaadi ostmise ja uuendamise kulud, et tagada kehtivus aastast aastasse. Kuid HTTPS-i jaoks on olemas ka teatud “süsteeminõuded”, näiteks spetsiaalne IP-aadress või spetsiaalne hostimisplaan, mis võib olla kulukam kui jagatud hostingu pakett.
• HTTPS võib aeglustada serveri reageerimist. SSL / TLS-iga on seotud kaks probleemi, mis võivad teie lehe laadimiskiirust aeglustada. Esiteks, selleks et oma veebisaidiga esimest korda suhelda, peab kasutaja brauser minema läbi käepigistuse protsessi, mis põrkub tagasi sertifikaadiasutuse veebisaidile, et kinnitada tunnistus. Kui CA veebiserver on loid, siis teie lehe laadimine viibib. See on suuresti teie kontrolli alt väljas. Teiseks kasutab HTTPS krüptimist, mis nõuab rohkem töötlemisvõimsust. Selle saavutamiseks saab optimeerida oma sisu ribalaiuse jaoks ja uuendada oma serveri riistvara. CloudFare omab head blogipostitust selle kohta, kuidas ja miks SSL võib teie veebisaiti aeglustada.
• HTTPS võib mõjutada SEO jõupingutusi HTTP-lt HTTPS-le üleminekul; kolite uuele veebisaidile. Näiteks, https://www.groovypost.com poleks sama mis http://www.groovypost.com. Väärislike linkide mahla kaotamise vältimiseks on oluline veenduda, et olete oma vanad lingid ümber suunanud ja oma serveri kapoti alla kirjutanud õiged reeglid.
• Segatud sisu võib visata kollase lipu. Mõne brauseri puhul, kui teil on põhiosa HTTPS-ist laaditud veebilehelt, kuid pilte ja muid elemente (nt stiililehed või skriptid), mis laaditakse HTTP URL-ist, siis võib ilmneda hüpik, mis hoiatab, et leht sisaldab mitte turvalist sisu. Muidugi, kellel on mõned turvaline sisu on parem kui seda pole, kuigi viimane ei too hüpikut. Kuid siiski tasub veenduda, et teie lehtedel pole „segatud sisu”.
• Mõnikord on kolmanda osapoole maksete töötleja hankimine lihtsam. Pole häbi, kui laseme Google Checkoutil, Paypalil või Amazonil Checkoutil teie makseid hallata. Kui tundub, et kõik ülaltoodud on liigne segadus, võite lasta oma klientidel makseteavet vahetada Paypali turvalisel saidil või Google'i turvalisel saidil ja päästa ennast vaevaga.

Kas teil on muid küsimusi või kommentaare HTTPS ja SSL / TLS sertifikaatide kohta? Las ma kuulen seda kommentaarides.