'N SSL / TLS-sertifikaat-kopergids

Artikel geskryf deur:
  • Online Business
  • Opgedateer: Jul 02, 2019

Niemand hou daarvan om te vertel dat hulle iets moet doen nie. Dis net die menslike natuur om daardeur te rebelleer, maar soms is die beste wat jy kan doen, byt jou lip en gaan daarmee saam. So is die geval met die HTTPS mandaat Dit is afgelaai deur Google en die ander leser-maker se laaste somer.

Vandag word 'n webwerf wat nog steeds via HTTP bedien word, aangedui as 'Nie Secure', 'n epithet wat verkeer en omskakelings bedreig. Dit beteken dat elke webwerf nou 'n SSL / TLS-sertifikaat benodig, wat migrasie na HTTPS fasiliteer en help om kommunikasie tussen jou webwerf en sy besoekers te verseker.

Vanaf Julie 2018 het Chrome alle HTTP-webwerwe gemerk as "nie veilig nie" (meer).

Hierdie handleiding gaan oor die dinge wat u moet oorweeg wanneer u 'n SSL / TLS-sertifikaat aankoop. Ons begin met 'n kort oorsig van die tegnologie voordat u in die besonderhede wat u nodig het om deur te sorteer, besluit om die regte sertifikaat vir u en u webwerf te bepaal.

SSL / TLS 101: 'n Oorsig

Om veilig op die internet te kommunikeer, moet die bediener wat die webwerf aanbied en die kliënt probeer om daarmee te konnekteer, enkripsie gebruik. Enkripsie is 'n wiskundige proses wat maak data onleesbaar vir enigiemand behalwe 'n gemagtigde party. Dit word uitgevoer met behulp van enkripsiesleutels, en in volgorde van 'n kliënt en bediener om die albei moet 'n kopie van dieselfde sleutel besit.

Dit bied egter 'n probleem, hoe ruil jy daardie sleutels veilig? As 'n aanvaller in staat is om 'n enkripsiesleutel te kompromitteer, maak dit die enkripsie nutteloos omdat die aanvaller steeds al die data kan sien wat asof dit in duidelike teks is.

SSL / TLS is die oplossing vir die sleutelruilprobleem.

SSL / TLS bereik twee dinge:

  1. Dit verifieer die bediener sodat kliënte weet watter entiteit hulle verbind
  2. Dit vergemaklik die uitruil van 'n sessie sleutel wat gebruik kan word om veilig te kommunikeer

Dit mag dalk 'n bietjie abstrak lyk, kom ons sit dit in beweging.

Wanneer 'n kliënt probeer om met 'n webwerf te skakel via HTTPS - wat is die veilige weergawe van die Hypertext Transfer Protocol (HTTP) wat Die internet het al dekades gebruik - 'n reeks interaksies vind plaas agter die skerms tussen die genoemde kliënt en die bediener wat die werf aanbied.

Daar is twee tipes enkripsiesleutels betrokke by SSL / TLS-enkripsie. Daar is die simmetriese sessie sleutels wat ons net genoem het. Hulle kan beide enkripteer en dekripteer en word gebruik om tydens die verbinding self te kommunikeer. Die ander sleutels is die publieke / private sleutelpaar. Hierdie vorm van enkripsie word publieke sleutelkriptografie genoem. Die publieke sleutel kan enkripteer, die privaat sleutel decrypts.

Aanvanklik kies die kliënt en die bediener 'n onderling ondersteunde kode. 'N Cipher suite is die stel algoritmes wat die enkripsie beheer wat tydens die konneksie gebruik sal word.

Sodra 'n kode gekies is, word die SSL-sertifikaat en publieke sleutel gestuur. Deur 'n reeks tjeks verifieer die kliënt die bediener, verifieer sy identiteit en dat dit die regmatige eienaar van die geassosieerde publieke sleutel is.

Na aanleiding van hierdie verifikasie, genereer die kliënt 'n sessie sleutel (of die geheim wat gebruik kan word om een ​​af ​​te lei) en gebruik die publieke sleutel van die bediener om dit te enkripteer voordat dit na die bediener gestuur word. Met die gebruik van die privaat sleutel word die sessie sleutel afgekeur en die geïnkripteerde verbinding begin (dit is die mees algemene vorm van sleuteluitruiling, soos uitgevoer met RSA - Diffie-Hellman sleutel ruil verskil effens).

As dit nog 'n bietjie ingewikkeld lyk, laat ons dit nog meer vereenvoudig.

  • Om veilig te kommunikeer, moet beide partye simmetriese sessiesleutels deel
  • SSL / TLS fasiliteer die uitruil van daardie sessiesleutels met publieke sleutelkriptografie
  • Nadat die bedieneridentiteit nagegaan is, word 'n sessie sleutel of geheim geïnkripteer met die publieke sleutel
  • Die bediener gebruik sy privaat sleutel om die sessie sleutel te ontsyfer en versleutelde kommunikasie te begin

Kom ons gaan nou in wat u as 'n webwerf eienaar moet oorweeg wanneer u 'n SSL / TLS sertifikaat aankoop of verkry.

Wat moet jy oorweeg wanneer jy 'n SSL / TLS sertifikaat koop?

Wanneer u 'n SSL / TLS sertifikaat aankoop, maak u 'n besluit oor twee primêre vrae:

  1. Watter oppervlak moet jy bedek?
  2. Hoeveel identiteit wil jy beweer?

Wanneer u hierdie vrae kan beantwoord, word 'n sertifikaat gekies om handelsmerk en koste te bespreek. U sal die produk tipe wat u benodig, reeds weet.

Nou, voordat ons verder gaan, stel ons een baie belangrike feit: ongeag hoe u hierdie twee vrae beantwoord, bied alle SSL / TLS sertifikate dieselfde enkripsie sterkte.

Kodering sterkte word bepaal deur 'n kombinasie van die ondersteunde cipher suites en die rekenaar krag van die kliënt en bediener aan beide kante van die verbinding. Die duurste SSL / TLS-sertifikaat op die mark en 'n heeltemal gratis een gaan dieselfde vlak van bedryfstandaardkripsie fasiliteer.

Wat wissel van sertifikate is die vlak van identiteit en hul funksionaliteit.

Kom ons begin met watter oppervlaktes u moet bedek.

1-SSL / TLS-sertifikaat-funksionaliteit

Moderne webwerwe het baie ver ontwikkel as wat hulle in die vroeë dae van die internet was toe jy steeds tellers op die bodem van 'n bladsy sit om die verkeer op te spoor. Tans het organisasies ingewikkelde webinfrastruktuur, intern sowel as ekstern. Ons praat oor verskeie domeine, subdomeine, pos bedieners, ens.

Gelukkig het SSL / TLS sertifikate saam met moderne webwerwe ontwikkel om hulle beter te beveilig. Daar is 'n sertifikaat tipe vir elke gebruiksgeval, maar dit is aan jou om te weet wat jou spesifieke gebruiksgeval gaan wees.

Kom ons kyk na die vier verskillende SSL / TLS sertifikaat tipes en hul funksionaliteit:

  • Enkel Domein - Soos die naam aandui, is hierdie SSL / TLS sertifikaat vir 'n enkele domein (beide die WWW en nie-WWW weergawes).
  • Multi-Domain - Hierdie tipe SSL / TLS-sertifikaat is vir organisasies met verskeie webwerwe, hulle kan gelyktydig tot 250 verskillende domeine beveilig.
  • Wildcard - Sekuriteit vir 'n enkele domein, plus al die gepaardgaande subvlakke op die eerste vlak - soveel as wat u het (onbeperk).
  • Multi-Domain Wildcard - 'n SSL / TLS-sertifikaat met volle funksionaliteit, kan gelyktydig op 250 verskillende domeine en alle meegaande subdomeine enkripteer.

'N Vinnige woord oor Wildcard-sertifikate. Wildcards is besonder veelsydig, hulle kan 'n onbeperkte aantal subdomeine enkripteer en kan selfs nuwe subdomeine wat na die uitreiking bygevoeg word, verseker. By die opwekking van 'n wildkaart word 'n asterisk (soms bekend as 'n wildkaartkarakter) gebruik op die subdomeinvlak wat u wil enkripteer. Dit dui daarop dat enige subdomein op daardie URL-vlak van die geverifieerde domein geldig geassosieer word met die sertifikaat se publieke / private sleutelpaar.

2- SSL / TLS Sertifikaat Validasie Vlak

Nadat jy vasgestel het watter oppervlaktes jy moet dek, is dit tyd om te bepaal hoeveel identiteit jy wil beweer. Daar is drie vlakke van validering, dit verwys na die bedrag wat die Sertifiseringsowerheid waarborg dat u SSL / TLS-sertifikaat u probleme en u webwerf sal deurbring.

Drie vlakke van validering: Domein Validation, Organisasie Validation, en Extended Validation.

Die mees basiese vlak van validering word genoem domein Validation. Dit duur net 'n paar minute om hierdie geldigheid te voltooi en die sertifikaat uit te reik, maar dit gee die minste identiteitsinligting - net die bediener verifieer. DV SSL / TLS sertifikate word die algemeenste gebruik, maar as gevolg van hul gebrek aan identiteit, ontvang webtuistes wat hulle gebruik, neutrale blaaierbehandeling.

Organisasie Validation bied meer organisatoriese inligting, wat jou besoekers 'n beter idee gee oor wie hulle te doen het, op voorwaarde dat hulle weet waar om te kyk. OV SSL / TLS sertifikate vereis 'n matige hoeveelheid waarskuwing, maar hulle beweer nie genoeg identiteit om neutrale blaaierbehandeling te voorkom nie. OV SSL-sertifikate kan ook toegewyde IP-adresse beveilig. Hulle word algemeen gebruik in ondernemingsomgewings en op interne netwerke.

Die meeste identiteit wat 'n SSL / TLS sertifikaat kan beweer kom by die uitgebreide Validation vlak. EV SSL / TLS sertifikate vereis 'n grondige verifikasie deur die KS, maar hulle beweer genoeg identifiserende inligting dat weblesers webwerwe sal gee wat hulle unieke behandeling implementeer. Hulle sal hul geverifieerde organisatoriese naam in die adresbalk van die leser vertoon.

'N vinnige ding om te oorweeg met betrekking tot die validering vlakke en funksionaliteit is dat EV SSL / TLS sertifikate word nooit verkoop met Wildcard funksionaliteit. Dit is te danke aan die openlike aard van Wildcard-sertifikate, wat ons in die laaste gedeelte bespreek het.

Pluk Sertifiseringsowerhede en Pryse

Noudat jy weet wat jy nodig het, kom ons praat oor waar om dit te bekom. Nie net iemand kan geldige SSL / TLS sertifikate uitreik nie, en met geld bedoel ons betroubaar. Jy moet deur 'n betroubare sertifikaatowerheid of CA gaan. KAB's is gebind deur streng industrie vereistes en onderhewig aan gereelde oudits en ondersoek. Die rede hiervoor spruit uit die manier waarop openbare sleutelinfrastruktuur werk. PKI is die trust model wat SSL / TLS onderliggend is. Dit is hoekom 'n gebruiker se blaaier die egtheid van, en vertroue op 'n gegewe SSL / TLS sertifikaat kan verifieer.

Terwyl delf in PKI en wortels is buite die omvang van hierdie artikel, is dit belangrik om te weet dat slegs vertroude KS's vertroude sertifikate kan uitreik. Dit is hoekom jy nie net jou eie en selfbeeld kan uitreik nie. Browsers sou dit nie kon vertrou nie sonder om hul instellings handmatig aan te pas.

Maar watter CA moet jy kies?

Dit hang af van wat jy soek.

Vir baie eenvoudige webwerwe wat nie veel identiteit nodig het nie, is 'n gratis DV SSL / TLS sertifikaat van Kom ons enkripteer (of ander gratis CA's) is 'n goeie keuse. Dit kos niks en dit is voldoende vir wat jy nodig het.

Enigiets noord daarvan, of as jy nie spesifiek tegnies vaardig is nie, moet jy met 'n kommersiële Sertifiseringsowerheid soos DigiCert, Sectigo, Entrust Datacard, ens.

Maar hier is die ding: jy kry nie die beste prys wat direk van die KS koop nie.

U kry die beste kombinasie van prys en keuse deur te koop deur middel van 'n SSL-diens wat SSL / TLS-sertifikate van verskeie KS bied. Die rede hiervoor is eenvoudig, hierdie SSL-dienste koop sertifikate van die CA's in grootmaat teen baie laer pryse as wat kleinhandelkliënte kry. Dit laat hulle die sertifikate teen diep verdiskonteerde pryse verkoop en die spaargeld aan verbruikers oorgee.

In sommige gevalle kan u soveel as 85% afslag op die vervaardiger se voorgestelde kleinhandelprys teen gaan deur 'n SSL-diens in plaas daarvan om direk te koop.

Hou in gedagte, toegewyde SSL-dienste SPESIALISEer in SSL / TLS, hulle sal beter kliëntediens bied, hulle kan jou help om dit te installeer en hulle weet hoe om jou implementerings te optimaliseer om jou webwerf die beste moontlike sekuriteit te bied.

Kontrasteer dit met gratis CA's (en selfs 'n paar kommersiële een) waar jy deur 'n kaartjiesisteem moet werk of deur ou forumposte moet slyp vir hulpverlenende ondersteuning en die waarde is duidelik.

Toegestaan, vir sommige tegnologie-vaardige webwerf-eienaars, is die ondersteuning probleem nie 'n probleem nie. En daar is beslis niks verkeerd met die gratis roete as jy weet hoe om alles self te ondersteun nie.

Maar vir ander webwerf-eienaars betaal jy minder vir die sertifikaat self en meer vir die ondersteuningsapparaat wat daar rondom gebou is. U het ook nie toegang tot hoër validering vlakke (OV / EV) of gevorderde funksionaliteit (Multi-Domain, Wildcards) met gratis SSL / TLS. Jy moet dié van kommersiële CA's of SSL-dienste kry.

Dus, betaal of gratis? Dit kom neer op hoe tegnies jy of jou organisasie tegnies is, benewens of jy funksionaliteit en validering wil hê as 'n enkele domein DV.

SSL / TLS-kopergids-vrae

Q1. Is Uitgebreide Validasie die moeite werd?

Vir baie webwerwe is 'n EV SSL / TLS sertifikaat meer van 'n belegging as 'n uitgawe. Daar is geen ander manier om maksimum identiteit te beweer en kry jou webwerf voorkeur blaaier behandeling. Wanneer besoekers na 'n webwerf kom en die organisasie se naam in die adresbalk sien, het dit 'n diepgaande sielkundige effek. Alhoewel die effek moeilik is om op papier te kwantifiseer, vind opnames konsekwent dat mense beter voel om webwerwe met EV te besoek as besoekende webwerwe sonder dit.

Op die internet tel elke klein dingetjie, so as jy 'n organisasie is wat identiteit op die web wil aanhê, is EV SSL / TLS sertifikate die beste beskikbare metode om dit te doen.

Q2. Jy bly SSL / TLS skryf, wat beteken dit?

SSL staan ​​voor Secure Sockets Layer, en dit was die oorspronklike weergawe van die enkripsie protokol wat ons gebruik om ons verbindings tot vandag toe te beveilig. Ons het al die pad na SSL 3.0 voor kwesbaarhede die bedryf teruggedryf na die tekenbord, waar Vervoer Layer Security (TLS) is ontwerp om SSL se opvolger te wees.

Vandag is ons op TLS 1.3, SSL 3.0 is amper heeltemal verouder en deur 2020 TLS 1.0 en 1.1 sal ook verouder word. Terwyl vandag se internet amper uitsluitlik op die TLS-protokol staatmaak, is dit steeds algemeen bekend as SSL.

Q3. Wat is SSL / TLS protokol weergawes?

Dit verwys terug na ons laaste vraag. SSL en TLS is die twee protokolle wat HTTPS-verbindings fasiliteer. En net soos enige ander tegnologie, moet die protokolle gereeld opgedateer word, aangesien nuwe kwesbaarhede en aanvalle ontdek word. As jy SSL 3.0 of TLS 1.2 sien, verwys dit na 'n spesifieke weergawe van die SSL / TLS protokolle.

Op die oomblik is die beste praktyk om TLS 1.2 en TLS 1.3 te ondersteun, aangesien alle vorige weergawes kwesbaar is vir sommige ontginning of ander.

Q4. Wat moet ek weet oor Cipher Suites?

'N Cipher Suite is 'n versameling van algoritmes Dit sal tydens die SSL / TLS enkripsieproses gebruik word. Hulle sluit tipies een of ander openbare sleutel algoritme, 'n boodskap-verifikasie-algoritme en 'n simmetriese (blok / stroom) enkripsie-algoritme in.

Voordat u enige bepaling kan maak oor wat Cipher-pakkette ondersteun, moet u weet wat u bedieners in staat is, wat u OpenSSL-biblioteek (of alternatiewe SSL-sagteware) tot sy nuutste iterasie kan laat opdateer. 'N Woord van advies, Die gebruik van elliptiese kromme Kriptografie is beter as RSA.

Q5. Is waarborge belangrik?

Dit is lekker om 'n groot waarborg met enige produk te hê, en die SSL / TLS-industrie bied 'n paar van die ruimste waarborge daar buite. Hulle betaal uit in geval die CA wat u sertifikaat uitgereik het, ooit 'n probleem ervaar wat u organisasie se geld kos. Dit is weliswaar nie so algemeen nie, en dit is soort van 'n endossement vir SSL / TLS sertifikate in die algemeen, maar ook iets wat ons wil verwys as om nie te wys nie.


Patrick Nohe
Oor die skrywer: Patrick Nohe

Patrick Nohe het sy loopbaan as klopverslaggewer en rubriekskrywer vir die Miami Herald begin. Hy dien ook as Content Manager for Die SSL Store ™.

Oor WHSR Guest

Hierdie artikel is geskryf deur 'n gas bydraer. Die skrywer se standpunte hieronder is heeltemal sy of haar eie en mag nie die siening van WHSR weerspieël nie.