HTTPS és SSL tanúsítványok: tegye biztonságossá webhelyét (és miért kellene)

Hogyan kell

ÁltalJack Busch

Utoljára frissítve:2018. április 20

A személyes adatok internetes küldésekor - legyen szó elérhetőségekről, bejelentkezési adatokról, fiókadatokról, helymeghatározási információk vagy bármi más, amelyet visszaélhetnek - a nyilvánosság általában paranoiás hackerekkel és személyazonossággal foglalkozik tolvajok. És jogosan. A félelem, hogy adatait ellopják, meghamisítják vagy jogellenesen felhasználják, messze nem irracionális. Az elmúlt évtizedekben a szivárgásokról és a biztonsági megsértésekről szóló címsorok ezt bizonyítják. De a félelem ellenére az emberek folyamatosan jelentkeznek, hogy banki, bevásárló, naplózási, randevú, szocializációs és egyéb internetes személyes és szakmai üzleti tevékenységeket végezzenek. És van egy kis dolog, amely bizalmat ad nekik. Megmutatom neked:

Bár nem mindegyik megérti, hogyan működik, a címsorban ez a kis lakat jelzi a webes felhasználók számára, hogy megbízható kapcsolatuk van egy legitim webhellyel. Ha a látogatók ezt nem látják a címsorban, amikor felveszik az Ön webhelyét, akkor nem fogják - és nem is kellene - megkapniuk vállalkozásaikat.

Annak érdekében, hogy webhelyéhez megkapja ezt a kis címsáv-lakat, SSL-tanúsítványra van szüksége. Hogy szerezhetsz egyet? Olvassa tovább, hogy megtudja.

Cikk vázlata:

• Mi az SSL / TLS?
• Hogyan kell használni a HTTPS-t?
• Mi az SSL tanúsítvány és hogyan szerezhetem be?
• SSL tanúsítási vásárlási útmutató
• • Tanúsító hatóság
  • Domain érvényesítés vs. Bővített érvényesítés
  • Megosztott SSL vs. Privát SSL
  • Bizalmi pecsétek
  • Helyettesítő karakterű SSL tanúsítványok
  • Garanciák
  • Ingyenes SSL tanúsítványok és önaláírt SSL tanúsítványok
• SSL tanúsítvány telepítése
• HTTPS előnye és hátránya

Mi az SSL / TLS?

Az interneten az adatok továbbítása a Hypertext Transfer Protocol segítségével történik. Ez az oka annak, hogy minden weboldal URL-je „ http://” vagy „https://" előttük.

Mi a különbség a http és a https között? Ennek az extra kis S-nek nagy következményei vannak: Biztonság.

Hadd magyarázzam.

A HTTP az a „nyelv”, amellyel a számítógép és a kiszolgáló beszélgetnek egymással. Ez a nyelv általánosan érthető, ami kényelmes, de ennek vannak hátrányai is. Amikor az adatokat az interneten keresztül továbbítják közted és a kiszolgáló között, néhány megállást tesz az út mentén, mielőtt elérné a végső rendeltetési helyét. Ez három nagy kockázatot jelent:

• Hogy valaki ereszalja a beszélgetésed során (olyan, mint egy digitális vezetékes rögzítés).

• Hogy valaki impersonate a felek egyikét (vagy mindkettőt) mindkét oldalon.

• Hogy valaki szabotázs az üzenetek továbbításával.

A hackerek és a rándulások a fentiek kombinációját használják számos csaláshoz, beleértve adathalászatot, közép-középső támadásokat és a régimódi jó reklámot. A rosszindulatú támadások olyan egyszerűek lehetnek, mint a Facebook hitelesítő adatainak szippantása a titkosítatlan sütik elhallgatásával (lehallgatás), vagy kifinomultak. Gondolhatja például, hogy azt mondja a bankjának: „Kérjük, utaljon át 100 dollárt az internetszolgáltatójára”, de valaki a közepén megváltoztathatja az üzenetet: $100az összes pénzem nak nek az internetszolgáltatómPeggy Szibériában”(Adatok meghamisítása és megszemélyesítés).

Tehát ezek vannak a HTTP problémái. Ezeknek a problémáknak a megoldására a HTTP-t egy biztonsági protokollra rétegezhetjük, amelynek eredményeként HTTP Secure (HTTPS) lesz. Leggyakrabban az S HTTPS-ben a Secure Sockets Layer (SSL) protokollt vagy az újabb Transport Layer Security (TLS) protokollt biztosítja. Telepítéskor a HTTPS kétirányú Titkosítás (a hallgatás megelőzése), szerverhitelesítés (a megszemélyesítés megelőzése) és üzenet hitelesítés (az adatok meghamisításának megakadályozása érdekében).

Hogyan kell használni a HTTPS-t

Mint a beszélt nyelv, a HTTPS csak akkor működik, ha mindkét fél úgy dönt, hogy beszéli. Az ügyféloldalon a HTTPS használatát úgy döntheti el, hogy beírja a „https” elemet a böngésző címsorába az URL elé (pl. http://www.facebook.com, típus https://www.facebook.com), vagy egy olyan kiterjesztés telepítésével, amely automatikusan kényszeríti a HTTPS-t, például a HTTPS Mindenhol Firefox és Króm. Amikor a böngészője HTTPS-t használ, akkor lakat ikonra, zöld böngészősávra, remekre vagy más megnyugtató jelre utal, hogy a szerverrel való kapcsolat biztonságos.

A HTTPS használatához azonban a webszervernek támogatnia kell azt. Ha Ön webmester, és HTTPS-t kíván ajánlani a webes látogatók számára, akkor szüksége lesz egy SSL-tanúsítványra vagy TLS-tanúsítványra. Hogyan szerezhet be SSL vagy TLS tanúsítványt? Olvass tovább.

További olvasás: Néhány népszerű webalkalmazás lehetővé teszi a HTTPS kiválasztását a felhasználói beállításokban. Olvassa el felírásainkat Facebook, Gmailés Twitter.

Mi az SSL tanúsítvány és hogyan szerezhetem be?

A HTTPS használatához a webszervernek telepített SSL-tanúsítvánnyal vagy TLS-tanúsítvánnyal kell rendelkeznie. Az SSL / TLS tanúsítvány egyfajta fotóazonosító az Ön webhelyén. Amikor a HTTPS-t használó böngésző hozzáfér az Ön weboldalához, akkor „kézfogást” hajt végre, amelynek során az ügyfélszámítógép SSL-tanúsítványt kér. Az SSL-tanúsítványt ezután egy megbízható tanúsító hatóság (CA) hitelesíti, amely ellenőrzi, hogy a szerver az, aki azt állítja. Ha mindent ellenőriz, a webes látogató megkapja a megnyugtató zöld pipa vagy a zár ikonját. Ha valami rosszul történik, figyelmeztetést kapnak a webböngészőből, amelyben kijelenti, hogy a szerver identitását nem lehet megerősíteni.

SSL-tanúsítvány vásárlása

Amikor SSL-tanúsítványt telepít a webhelyére, rengeteg paramétert kell eldöntenie. Végezzük el a legfontosabbat:

Tanúsító hatóság

A hitelesítésszolgáltató (CA) az a vállalat, amely kiállítja az SSL-tanúsítványt, és az a vállalat, amely minden egyes alkalommal ellenőrzi a tanúsítványt, amikor egy látogató meglátogatja az Ön weboldalát. Míg az egyes SSL-tanúsítvány-szolgáltatók versenyeznek az ár és a szolgáltatások szempontjából, az ellenőrzés során az első számú szempontot kell figyelembe venni a tanúsító hatóságok annak megítélése, hogy rendelkeznek-e olyan tanúsítvánnyal, amely előre telepítve van a legnépszerűbb webre böngészők. Ha az SSL-tanúsítványt kiállító hitelesítésszolgáltató nem szerepel a listán, akkor a felhasználót figyelmezteti a rendszer, hogy a webhely biztonsági tanúsítványa nincs megbízható. Természetesen ez nem azt jelenti, hogy webhelye illegális - ez csak azt jelenti, hogy CA-ja nem szerepel a listán (még). Ez problémát jelent, mivel a legtöbb felhasználó nem zavarja a figyelmeztetés olvasását vagy az ismeretlen CA vizsgálatát. Valószínűleg csak kattintanak el.

Szerencsére a fő böngészőkben előre telepített CA-k listája meglehetősen nagy. Ide tartozik néhány nagy márkanév, valamint kevésbé ismert és olcsóbb CA. A háztartások nevei között szerepel Verisign, Hajrá apu, Comodo, Thawte, regisztrálása |és Megbíz.

Azt is megnézheti saját böngészőjének beállításain, hogy megtudja, mely igazolási hatóságok vannak előre telepítve.

• A Chrome esetén nyissa meg a Beállítások -> Speciális beállítások mutatása… -> Tanúsítványok kezelése menüpontot.
• Firefox esetén hajtsa végre az Opciók -> Speciális -> Tanúsítványok megtekintése lehetőséget.
• IE esetén Internetbeállítások -> Tartalom -> Tanúsítványok.
• A Safari esetén lépjen a Finderbe, és válassza az Ugrás -> Segédprogramok -> KeyChain hozzáférés lehetőséget, majd kattintson a Rendszer elemre.

A gyors áttekintés érdekében nézze meg ezt a szálat, amely felsorolja a elfogadható SSL tanúsítványok a Google Checkout számára.

Domain érvényesítés vs. Bővített érvényesítés

Az SSL tanúsítvány célja annak a webhelynek a személyazonosságának igazolása, amelyre információkat küld. Annak biztosítása érdekében, hogy az emberek ne vegyenek ki hamis SSL tanúsítványokat olyan területeken, amelyeket nem jogszerűen ellenőriznek, a A tanúsító hatóság ellenőrzi, hogy a tanúsítványt kérő személy valóban a domain tulajdonosa név. Általában ezt gyors e-mail vagy telefonhívás-ellenőrzéssel hajtják végre, hasonlóan ahhoz, amikor egy webhely e-mailt küld Önnek egy fiók-visszaigazoló hivatkozással. Ezt hívják a domain érvényesítve SSL tanúsítvány. Ennek előnye, hogy lehetővé teszi az SSL tanúsítványok szinte azonnali kiadását. Valószínűleg kevesebb idő alatt szerezhet be egy domain által ellenőrzött SSL-tanúsítványt, mint amennyire el kellett olvasnia ezt a blogbejegyzést. A domain által jóváhagyott SSL tanúsítvánnyal megkapja a lakatot és lehetőséget arra, hogy titkosítsa webhelye forgalmát.

A domain által érvényesített SSL-tanúsítvány előnye, hogy gyorsan, egyszerűen és olcsón szerezhető be. Ez is a hátrányuk. Mint el tudod képzelni, könnyebb automatizált rendszert összekapcsolni, mint az élő emberek által működtetett rendszerrel. Olyan, mintha valami középiskolás gyerek bemegy a DMV-be, mondván, hogy Barack Obama, és meg akarja szerezni a kormány által kiállított igazolványt. az íróasztalnál az ember egy pillantást vetett rá, és felhívná a Feds-t (vagy a zsúfolt kukát). De ha egy robot személyazonosító kiosztot működtető robot lehet, akkor szerencséje lehet. Hasonló módon az adathalászok „hamis azonosítókat” kaphatnak olyan webhelyek számára, mint a Paypal, az Amazon vagy a Facebook, a domain-érvényesítő rendszerek becsapásával. 2009-ben Dan Kaminsky közzétett egy példát egy módjára átverés CA-k tanúsítványok beszerzése céljából így az adathalász webhely úgy néz ki, mintha biztonságos, jogszerű kapcsolat lenne. Egy ember számára ezt a csalást könnyű észrevenni. De az automatizált domain-érvényesítésnek abban az időben hiányzott a szükséges ellenőrzések valami hasonló megakadályozására.

Az SSL és a tartomány által érvényesített SSL tanúsítványok sebezhetőségére válaszul az iparág bevezette a Bővített érvényesítés bizonyítvány. Az EV SSL tanúsítvány megszerzéséhez a vállalatának vagy szervezetének szigorú ellenőrzést kell végeznie a biztosítás érdekében hogy jó állapotban van a kormányával, és jogszerűen ellenőrzi az Ön által alkalmazott domént A. Ezek az ellenőrzések többek között emberi elemet igényelnek, ezért hosszabb időt vesznek igénybe és drágábbak.

Egyes iparágakban EV tanúsítvány szükséges. De mások számára az előny csak annyira megy, amennyire a látogatói felismerik. A mindennapi internetes látogatók számára a különbség finom. A lakat ikon mellett a címsor zöldre vált, és megjeleníti a vállalat nevét. Ha további információra kattint, akkor nem csak a webhely, hanem a vállalat személyazonosságát is ellenőrizték.

Íme egy példa egy normál HTTPS-webhelyre:

Íme egy példa egy EVT tanúsítványú HTTPS webhelyre:

Iparágától függően előfordulhat, hogy egy EV tanúsítvány nem ér megértést. Ezenkívül vállalkozásnak vagy szervezetnek kell lennie, hogy megszerezze. Bár a nagyvállalatok az EV tanúsítás felé haladnak, észreveszik, hogy a HTTPS webhelyek többsége továbbra is az EV-n kívüli ízét használja. Ha elég jó a Google, a Facebook és a Dropbox számára, akkor talán elég jó az Ön számára.

Még egy dolog: van egy középút az ún szervezet validálva vagy üzleti validált tanúsítvány. Ez alaposabb ellenőrzés, mint az automatizált domain-érvényesítés, de nem megy túl annyira, hogy megfeleljen az iparágnak meghosszabbított érvényesítési tanúsítványra vonatkozó szabályok (vegye figyelembe, hogy a kibővített érvényesítés hogyan lett nagybetűs és „szervezeti érvényesítés ”nem?). Az OV vagy a vállalkozás által hitelesített tanúsítás költségesebb és hosszabb időt vesz igénybe, de nem adja meg a zöld címsort és a vállalati identitás ellenőrzött információit. Őszintén szólva, nem gondolok arra, hogy miért fizetnék az OV tanúsítványt. Ha gondolsz egyet, kérlek, hívj fel minket a megjegyzésekbe.

Megosztott SSL vs. Privát SSL

Néhány webtárhely megosztott SSL szolgáltatást kínál, amely gyakran megfizethetőbb, mint egy privát SSL. Az áron kívül a megosztott SSL előnye, hogy nem kell magán IP-címet vagy dedikált gazdagépet megszereznie. A hátránya, hogy nem szabad a saját domain nevét használni. Ehelyett a webhely biztonságos része valami hasonló lesz:

https://www.hostgator.com/~yourdomain/secure.php

Ellentétben egy privát SSL-címmel:

https://www.yourdomain.com/secure.php

A nyilvánosság felé néző webhelyek, például az e-kereskedelem és a szociális hálózati oldalak esetében ez nyilvánvalóan vonzerő, mivel úgy tűnik, hogy átirányították a fő webhelyre. De azokon a területeken, amelyeket általában nem lát a nagyközönség, például egy e-mail rendszer belépõit vagy adminisztrátori területeket, akkor a megosztott SSL jó lehet.

Bizalmi pecsétek

Számos tanúsító hatóság lehetővé teszi, hogy megbízhatósági pecsétet tegyen weblapjára, miután feliratkozott valamelyik tanúsítványra. Ez nagyjából ugyanazt az információt nyújtja, mintha a böngészőablakban lakatra kattintana, de nagyobb láthatósággal. A bizalmi pecsét beillesztése nem kötelező, és nem is felerősíti az Ön biztonságát, de ha melegen látványossá teszi a látogatókat, tudván, ki adta ki az SSL tanúsítványt, mindenképpen dobja oda.

Helyettesítő karakterű SSL tanúsítványok

Az SSL tanúsítvány ellenőrzi egy domain identitását. Tehát, ha HTTPS-t szeretne több aldomagáltatásban - például a groovypost.com, mail.groovypost.com és answers.groovypost.com- három különféle SSL-igazolást kell vásárolnia. Egy bizonyos ponton a helyettesítő SSL tanúsítvány gazdaságosabbá válik. Vagyis egy tanúsítvány, amely lefedi az egyik domaint és az összes aldomaint, azaz a * .groovypost.com.

Garanciák

Függetlenül attól, hogy a vállalat jó hírneve hosszú ideje fennáll, vannak sebezhetőségek. A hackerek még megbízható CA-kat is megcélozhatnak, amint azt a a VeriSignnél elkövetett jogsértés, amelyet 2010-ben nem jelentettek be. Ezenkívül a CA megbízhatósági listáján szereplő állapotát gyorsan vissza lehet vonni, amint azt a DigiNotar snafu vissza 2011-ben. Cucc történik.

Annak érdekében, hogy elkerüljék az esetleges nyugtalanságot az SSL ilyen véletlenszerű cselekedeteivel kapcsolatban, sok CA most szavatosságot kínál. A fedezet néhány ezer dollártól több mint egymillió dollárig terjed, és magában foglalja az igazolás visszaéléséből vagy egyéb balesetekből származó veszteségeket. Fogalmam sincs, hogy ezek a jótállások valóban hozzáadott értéket képviselnek-e vagy sem, vagy vajon valaki sikeresen nyert-e igényt. De ott vannak az ön megfontolására.

Ingyenes SSL tanúsítványok és önaláírt SSL tanúsítványok

Kétféle ingyenes SSL-tanúsítvány érhető el. Saját aláírású, elsősorban magánteszteléshez és teljes körű nyilvános SSL-igazolványokhoz, amelyeket egy érvényes Tanúsító Hatóság bocsátott ki. A jó hír az, hogy 2018-ban van néhány lehetőség a 100% -ban ingyenes, érvényes 90 napos SSL tanúsítványok megszerzésére mindkettőtől SSL ingyen vagy Titkosítsuk. Az ingyenes SSL elsősorban a Let’s Encrypt API felhasználói felülete. Az SSL for Free webhely előnye, hogy egyszerűen használható, mivel szép grafikus felhasználói felülettel rendelkezik. A Legyen titkosítás azonban nagyon jó, mivel teljesen automatizálhatja tőlük az SSL-engedély kérését. Ideális, ha több webhelyhez / szerverhez SSL-igazolványokra van szüksége.

Az önaláírt SSL tanúsítvány örökre ingyenes. Önaláírt tanúsítvánnyal Ön a saját CA. Mivel azonban nem tartozik a webböngészőkbe beépített megbízható CA-k közé, a látogatók figyelmeztetést kapnak, hogy az operációs rendszer nem ismeri fel a jogosultságot. Mint ilyen, valójában nincs garancia arra, hogy Ön az, akit állítasz (ez olyan, mintha egy személyi igazolványt kiállítana, és megpróbálná átadni a likőrüzletben). Az önaláírt SSL-tanúsítvány előnye azonban, hogy lehetővé teszi a webes forgalom titkosítását. Jó lehet a belső használatra, ahol a személyzet felveheti a szervezetét megbízható hitelesítésszolgáltatóként, hogy megszabaduljon a figyelmeztető üzenettől, és biztonságos internetkapcsolaton dolgozzon.

Az önaláírt SSL-tanúsítvány beállításával kapcsolatos utasításokat a következő dokumentációban találhatja meg OpenSSL. (Vagy ha elegendő igény van, felírom egy oktatóanyagot.)

SSL tanúsítvány telepítése

Miután megvásárolta az SSL tanúsítványt, telepítenie kell a webhelyére. Egy jó internetes házigazda felajánlja ezt az Ön számára. Néhányan talán el is mennek, ha megveszik neked. Gyakran ez a legjobb módszer, mivel egyszerűsíti a számlázást és biztosítja, hogy megfelelően legyen beállítva a webszerver számára.

Ennek ellenére mindig lehetősége van saját SSL-tanúsítvány telepítésére. Ha ezt megteszi, érdemes megkeresnie a webgazda tudásbázisát, vagy megnyitva egy ügyfélszolgálati jegyet. Ők irányítják az SSL-tanúsítvány telepítéséhez szükséges legjobb utasításokat. Olvassa el a CA által adott utasításokat is. Ezek jobb útmutatást nyújtanak, mint bármely általános tanács, amit itt adhatok.

Érdemes lehet megnéznie az alábbi utasításokat az SSL-tanúsítvány telepítéséhez:

• Telepítsen egy SSL tanúsítványt, és telepítse a tartományt a cPanelben
• Az SSL telepítése az IIS-ben (Windows Server)
• Apache SSL / TLS titkosítás

Ezen utasítások mindegyike magában foglalja egy SSL tanúsítvány-aláírási kérelem (CSR) létrehozását. Valójában CSR-re szükséged lesz csak az SSL-tanúsítvány kiállításához. A webgazda ismét segíthet ebben. A CSR létrehozásával kapcsolatos részletesebb DIY-információkért olvassa el ezt az írást a DigiCert.

A HTTPS előnyei és hátrányai

Már határozottan meghatároztuk a HTTPS előnyeit: biztonság, biztonság, biztonság. Ez nemcsak enyhíti az adatok megsértésének kockázatát, hanem felgyorsítja a bizalmat és növeli a weboldal megbízhatóságát. A hozzáértő ügyfelek nem is zavarják a feliratkozást, ha „ http://” a bejelentkezési oldalon.

Vannak azonban bizonyos hátrányai a HTTPS-nek. Tekintettel a HTTPS szükségességére bizonyos típusú weboldalaknál, ésszerűbb ezeket a „ellenérvekötletek ”, nem pedig negatívok.

• A HTTPS pénzbe kerül. Először is, az SSL-tanúsítvány megvásárlásának és megújításának költségei vannak, hogy évről évre érvényes legyen. Vannak bizonyos „rendszerkövetelmények” a HTTPS-hez is, például egy dedikált IP-cím vagy dedikált tárhely-terv, amelyek drágábbak lehetnek, mint a megosztott tárhelycsomag.
• A HTTPS lelassíthatja a szerver válaszát. Az SSL / TLS-rel kapcsolatos két kérdés lassíthatja az oldal betöltési sebességét. Először: ahhoz, hogy első alkalommal megkezdhesse a kommunikációt az Ön webhelyével, a felhasználó böngészőjének el kell lépnie a kézfogás folyamatán keresztül, amely visszatér a tanúsító hatóság webhelyére, hogy ellenőrizze a bizonyítvány. Ha a CA webszervere lassú, akkor késlelteti az oldal betöltése. Ez nagyrészt önön kívül esik. Másodszor, a HTTPS titkosítást használ, amely több feldolgozási energiát igényel. Ez megoldható a tartalom sávszélességre való optimalizálásával és a szerver hardverének korszerűsítésével. CloudFlare jó blogbejegyzést tartalmaz arról, hogy az SSL hogyan és miért lassíthatja le webhelyét.
• A HTTPS befolyásolhatja a SEO erőfeszítéseit Amikor átvált a HTTP-ről a HTTPS-re; Ön új webhelyre költözik. Például, https://www.groovypost.com nem ugyanaz, mint http://www.groovypost.com. Fontos ellenőrizni, hogy átirányította-e a régi linkeket és a megfelelő szabályokat írta a szerver motorja alá, hogy elkerülje az értékes link-levelek elvesztését.
• A vegyes tartalom sárga zászlót dobhat fel. Egyes böngészők esetében, ha a weboldal fő részét a HTTPS-ből töltötte be, de a képeket és más elemeket (például stíluslapok vagy szkriptek), amelyeket egy HTTP URL-ből töltöttek be, majd felugró üzenet jelenhet meg, figyelmeztetve, hogy az oldal nem biztonságos tartalom. Természetesen, miután néhány a biztonságos tartalom jobb, mint ha nincs ilyen, bár az utóbbi nem eredményez felbukkanást. De mégis érdemes lehet megbizonyosodni arról, hogy az Ön oldalain nincs „vegyes tartalom”.
• Időnként könnyebb megszerezni egy harmadik féltől származó fizetési feldolgozót. Nincs szégyen, ha hagyja, hogy a Google Checkout, Paypal vagy az Amazon az Checkout kezeli a kifizetéseket. Ha a fentiek mindegyike túlságosan bonyolultnak tűnik, akkor hagyhatja, hogy az ügyfelek fizetési információkat cseréljenek a Paypal biztonságos webhelyén vagy a Google biztonságos webhelyén, és megtakarítsák magukat a bajban.

További kérdése vagy észrevétele van a HTTPS és az SSL / TLS tanúsítványokkal kapcsolatban? Hadd hallgassam megjegyzéseiben.