Упатство за купувачот на SSL / TLS сертификат

Член напишан од:
  • Онлајн Бизнис
  • Ажурирано: Jul 02, 2019

Никој не сака да му се каже дека треба да направат нешто. Тоа е само човечка природа да се бунтува против тоа, но понекогаш најдоброто што можете да направите е да ја залачете усната и да одите со неа. Таков е случајот со мандатот на HTTPS што го изнесоа Гугл и последното лето на другиот производител на прелистувач.

Денес, секој веб-сајт кој сеуште се служи преку HTTP е означен како "Не е сигурен", епитет кој го загрозува сообраќајот и имплементацијата. Тоа значи дека секој веб-сајт сега треба SSL / TLS сертификат, кој ја олеснува миграцијата кон HTTPS и помага да се обезбеди комуникација помеѓу вашата веб-страница и нејзините посетители.

Почнувајќи од јули 2018, Хром ги означи сите HTTP-страници како "несигурни" (дознаете повеќе).

Овој водич ќе ги надмине работите што треба да ги разгледате кога купувате сертификат SSL / TLS. Ќе започнеме со краток преглед на технологијата, пред да се разбереме во спецификите што ќе треба да ги решите, кога ќе одлучите за вистинскиот сертификат за вас и за вашиот веб-сајт.

SSL / TLS 101: Преглед

Со цел да се комуницира безбедно на интернет, серверот кој е домаќин на веб-страницата и клиентот кој се обидува да се поврзе со него треба да користи шифрирање. Енкрипцијата е математички процес кој ги прави податоците непрочитани за сите освен за овластена страна. Се извршува со клучеви за шифрирање, а со цел клиентот и серверот безбедно да се поврзат и двете треба да поседуваат копија од ист клуч.

Но, тоа претставува проблем, како безбедно да ги разменувате тие клучеви? Ако напаѓачот е во можност да го компромитира клучот за криптирање, тоа го прави енкрипцијата бескорисна бидејќи напаѓачот сè уште може да ги види сите податоци што се разменуваат како да се наоѓаат во чист текст.

SSL / TLS е решение за проблемот со размена на клучеви.

SSL / TLS постигнува две работи:

  1. Тој го автентицира серверот, така што клиентите знаат на кој субјект се поврзуваат
  2. Ја олеснува размената на клучот за сесија што може да се користи за безбедно комуницирање

Тоа може да изгледа малку апстрактно, па да го ставиме во движење.

Во секое време клиентот се обидува да се поврзе со веб-сајт преку HTTPS - што е безбедна верзија на протоколот за пренос на хипертекст (HTTP) што на интернет се користи со децении - серијата на интеракции се случува зад сцената меѓу споменатиот клиент и серверот кој го хостира сајтот.

Постојат два вида клучеви за шифрирање вклучени во енкрипција на SSL / TLS. Постојат симетрични клучеви за сесии кои штотуку ги спомнавме. Оние можат да ги шифрираат и дешифрираат и се користат за комуникација за време на самата врска. Другите клучеви се пар на јавен / приватен клуч. Оваа форма на енкрипција се нарекува јавна клучна криптографија. Јавниот клуч може да се шифрира, приватниот клуч дешифрира.

На самиот почеток, клиентот и серверот ќе изберат заемно поддржан шифриран пакет. Шифрирана сопствена е множество на алгоритми кои ја уредуваат енкрипцијата што ќе се користи за време на врската.

Откако ќе биде договорено шифрираниот пакет, серверот го испраќа SSL-сертификатот и јавниот клуч. Преку серија проверки клиентот го автентицира серверот, потврдувајќи го својот идентитет и дека е вистинскиот сопственик на придружниот јавен клуч.

По оваа верификација, клиентот генерира клуч за сесија (или тајната што може да се користи за да се изведе) и го користи јавниот клуч на серверот за шифрирање пред да го испрати на серверот. Користејќи го Приватен клуч, серверот го дешифрира клучот за сесијата и започнува шифрирана врска (ова е најчестата форма на размена на клучеви, како што се изведува со RSA - Размена на клучеви Дифи-Хелман малку се разликува).

Ако тоа сепак изгледа малку комплицирано, ајде да го поедноставиме уште повеќе.

  • За да комуницираат безбедно двете страни треба да делат симетрични клучеви за сесии
  • SSL / TLS ја олеснува размената на овие клучеви за сесија со криптографија од јавен клуч
  • По потврдување на идентитетот на серверот, клучот за седницата или тајната е шифриран со јавниот клуч
  • Серверот го користи својот приватен клуч за дешифрирање на клучот за сесија и започнување на шифрирана комуникација

Ајде да влеземе во она што, како сопственик на веб-страница, треба да размислите кога купувате или стекнувате SSL / TLS сертификат.

Што да се разгледа кога купувате SSL / TLS сертификат?

Кога купувате SSL / TLS сертификат, донесувате одлука за две основни прашања:

  1. Која површина ви е потребна за покривање?
  2. Колку идентитет сакате да го потврдите?

Кога можете да одговорите на овие прашања, изборот на сертификат станува прашање на бренд и цена, веќе ќе знаете типот на производот што ви треба.

Сега, пред да тргнеме понатаму, дозволете да утврдиме еден многу важен факт: без оглед на тоа како одговарате на овие две прашања, сите SSL / TLS сертификати нудат иста сили за шифрирање.

Силата на шифрирање се определува со комбинација на поддржани шифри и компјутери на клиентот и серверот на едниот крај на врската. Најскапиот SSL / TLS сертификат на пазарот и целосно бесплатен ќе го олеснат истото ниво на индустриско стандардно шифрирање.

Она што се разликува со сертификатите е нивото на идентитет и нивната функционалност.

Ајде да почнеме со она што површините треба да ги покриете.

Функционалност на сертификатот 1- SSL / TLS

Модерните веб-локации се развија многу подалеку од она што беа во првите денови на интернетот, кога сеуште ги ставате шалтерите на дното на страницата за следење на сообраќајот. Денес организациите имаат комплицирани веб-инфраструктури, внатрешно и надворешно. Зборуваме за повеќе домени, под-домени, поштенски сервери итн.

За среќа, SSL / TLS сертификатите се развија заедно со модерните веб-страници за да им помогнат подобро да ги обезбедат. Постои тип на сертификат за секој случај за користење, но е обврзан да знаете што ќе биде вашиот специфичен случај на употреба.

Ајде да погледнеме во четири различни SSL / TLS типови на сертификати и нивната функционалност:

  • Единствен домен - Како што подразбира името, овој SSL / TLS сертификат е за еден домен (и WWW и не-WWW верзии).
  • Мулти-домен - Овој тип SSL / TLS сертификат е за организации со повеќе веб-страници, истовремено можат да обезбедат до 250 различни домени.
  • Маска - Безбедност за еден домен, плус сите негови придружни поддомени од прво ниво - колку што имате (неограничено).
  • Мулти-доменска маска - SSL / TLS сертификат со целосна функционалност, може да шифрира до 250 различни домени и сите придружни под-домени истовремено.

Брз збор за сертификати за маска. Дизаркети се исклучително разновидни, можат да шифрираат неограничен број на поддомени и дури се способни да обезбедат нови поддомени кои се додаваат по издавањето. Кога генерирате Wildcard, ѕвездичка (понекогаш позната како знак со маска) се користи на ниво на под-домен што сакате да го криптирате. Ова означува дека секој под-домен на тоа УРЛ-ниво на верификуваниот домен е валидно поврзан со пар на јавен / приватен клуч на сертификатот.

Ниво на валидација на сертификатот 2- SSL / TLS

Откако ќе дознаете кои површини треба да ги покриете, време е да се утврди колку идентитет сакате да го потврдите. Постојат три нивоа на валидација, кои се однесуваат на износот на проверка на сертификатниот орган кој издава вашиот SSL / TLS сертификат ќе ве стави вас и вашиот веб-сајт.

Три нивоа на валидација: валидација на домен, валидација на организацијата и продолжена валидација.

Се нарекува најосновно ниво на валидација Валидација на домени. Потребно е само неколку минути за да се заврши оваа валидација и да се издаде сертификатот, но обезбедува најмалку информации за идентитет - автентицирање само на серверот. DV SSL / TLS сертификатите се најчесто користени, но поради нивниот недостаток на идентитет, веб-сајтовите што ги користат добиваат неутрален третман на прелистувачот.

Валидација на организацијата обезбедува повеќе организациски информации, што им дава на посетителите на вашата страница подобра идеја за тоа со кого работат, под услов да знаат каде да бараат. OV SSL / TLS сертификатите бараат умерена количина на проверка, меѓутоа, тие не наметнуваат доволно идентитет за да го избегнат лекувањето со неутрален прелистувач. OV SSL сертификатите можат да обезбедат и посветени IP адреси. Тие најчесто се користат во опкружувањата на претпријатијата и на внатрешните мрежи.

Најмногу идентитет SSL / TLS сертификат може да се тврди доаѓа на Напредно Валидација ниво. ЕС SSL / TLS сертификатите бараат длабинска проверка од страна на CA, но тие наметнуваат доволно идентификување на информации дека веб-прелистувачите ќе им дадат веб-страници што ќе ги распореди уникатен третман - прикажување на нивното потврдено Организациско име во лентата за адреси на прелистувачот.

Една брза работа што треба да се разгледа во однос на нивоата на валидација и функционалноста е дека EV SSL / TLS сертификатите никогаш не се продаваат со функционалност на Wildcard. Ова се должи на отворената природа на сертификатите на Wildcard, за кои дискутиравме во последниот дел.

Подигање на сертификат власти и цени

Сега кога знаете што ви треба, ајде да зборуваме за тоа од каде да го стекнете. Никој не може да издаде валидни SSL / TLS сертификати, а со валидни значи да имаме доверба. Морате да поминат низ орган за доверлив сертификат или CA. CA се обврзани со строги барања на индустријата и се предмет на редовни ревизии и надзор. Причината за ова произлегува од начинот на кој функционира јавниот клуч инфраструктура. PKI е модел на доверба кој поткопува SSL / TLS, затоа пребарувачот на корисникот може да ја потврди автентичноста и доверба во дадениот SSL / TLS сертификат.

Додека снема во PKI и корени е надвор од опсегот на овој член, важно е да знаете дека само доверливи CA може да издаваат доверливи сертификати. Ова е причината зошто не можете само да го издавате вашиот сопствен и себепотпишете го. Прелистувачите немаа начин да им веруваат без рачно прилагодување на нивните поставувања.

Но, она што треба да го избереш од CA?

Тоа зависи од она што го барате.

За многу едноставни веб-сајтови кои не треба да се тврди многу идентитет, бесплатен DV SSL / TLS сертификат од Ајде да шифрираме (или други бесплатни CAs) е добар избор. Тоа не чини ништо и тоа е доволно за она што ви треба.

Сè што е северно од тоа, или ако не сте особено технички чувствителни, треба да одите со комерцијални сертификати како DigiCert, Sectigo, Entrust Datacard, итн.

Но, тука е нешто: вие не го добивате најдоброто ценовно купување директно од ГИ.

Вие добивате најдобра комбинација на цените и изборот со купување преку SSL-услуга која нуди SSL / TLS сертификати од повеќе CA-и. Причината за ова е едноставна, овие SSL услуги купување сертификати од ГИ во најголемиот дел по многу пониски цени од оние на мало клиенти. Тоа им овозможува да ги продадат сертификатите на длабоко намалени стапки, пренесувајќи ги заштедите на потрошувачите.

Во некои случаи, можете да заштедите колку што е предложената цена за малопродажба на производителот 85% попуст за минува низ SSL услуга, наместо да купува директно.

Имајте на ум, посветен SSL-сервиси SPECIALIZE во SSL / TLS, тие ќе понудат подобра поддршка на корисниците, тие можат да ви помогнат да ја инсталирате и тие знаат како да ги оптимизираат вашите имплементации за да им обезбедат на вашиот веб-сајт најдобрата можна безбедност.

Спротивно на тоа со бесплатни CA (и дури и некои комерцијални), каде што морате да работите преку систем за билети или да ги прелистувате старите форуми за поддршка на извонредна поддршка и вредноста е јасна.

Доделено, за некои сопственици на веб-страници со технички вештини, проблемот со поддршка не е проблем. И таму сигурно ништо не е во ред со одење на бесплатна рута ако знаете како да го поддржите сè себе.

Но, за други сопственици на сајтови, плаќате помалку за самиот сертификат и повеќе за апаратот за поддршка што е изграден околу него. Исто така, немате пристап до повисоки нивоа за валидација (OV / EV) или напредна функционалност (Multi-Domain, Wildcards) со бесплатни SSL / TLS. Мора да ги добиете оние од комерцијални CA или SSL услуги.

Значи, платени или слободни? Се сведува на тоа колку технички сте вешти или вас, покрај тоа дали сакате функционалност и валидација надвор од еден домен DV.

Најчесто поставувани прашања за купувачот SSL / TLS

Q1. Дали е поминато продолжено потврдување?

За многу веб-страници, сертификатот EV SSL / TLS е повеќе од инвестиција отколку трошок. Не постои друг начин да се потврди максималниот идентитет и да се добие преференцијален прелистувач на вашиот веб-сајт. Кога посетителите ќе пристигнат на веб-страница и ќе го видат името на организацијата прикажано во полето за адреси, тој има длабок психолошки ефект. Додека тој ефект е тешко да се измери на хартија, истражувањата постојано наоѓаат дека луѓето се чувствуваат подобро за посета на сајтови со ЕВ отколку посета на сајтови без него.

На интернет, секој малку се брои, па ако сте организација која сака да потврди идентитет на интернет, EV SSL / TLS сертификатите се најдобриот достапен метод за да го направите тоа.

Q2. Вие пишувате SSL / TLS, што значи тоа?

Се залага за SSL Secure Sockets Layer, и тоа беше оригиналната верзија на протоколот за шифрирање што го користиме за да ги обезбедиме нашите врски до овој ден. Добивме сè до SSL 3.0 пред слабостите да ја принуди индустријата назад кон цртање одбор, каде Безбедност на транспортниот слој (TLS) беше дизајниран да биде наследник на SSL.

Денес сме на TLS 1.3, SSL 3.0 е речиси целосно заостанато и од 2020 TLS 1.0 и 1.1 ќе бидат застарени. Додека денешниот интернет се потпира речиси исклучиво на протоколот TLS, тој сеуште е колоквијално познат како SSL.

Q3. Кои се верзии на протоколот SSL / TLS?

Ова се однесува на нашето последно прашање, SSL и TLS се двата протоколи кои ги олеснуваат HTTPS-врските и многу слично со било кој друг дел од технологијата, овие протоколи треба периодично да се ажурираат со откривање на нови пропусти и напади. Кога ќе видите SSL 3.0 или TLS 1.2, тоа се однесува на одредена верзија на протоколите SSL / TLS.

Во моментов, најдобрата практика е да се поддржат TLS 1.2 и TLS 1.3, бидејќи сите претходни верзии се ранливи на некои експлоатира или на друг.

Q4. Што треба да знам за Cipher Suites?

Шифрирана сопствена е збирка на алгоритми што ќе се користи за време на SSL / TLS процесот на енкрипција. Тие обично вклучуваат некој вид на алгоритам за јавен клуч, алгоритам за автентикација на пораки и симетричен (блок / поток) алгоритам за шифрирање.

Пред да можете да направите каква било определба за тоа што ги поддржуваат Cipher-теките, треба да знаете за што се способни вашите сервери, што може да значи ажурирање на вашата OpenSSL (или алтернативна SSL софтверска) библиотека до најсовремена итерација. Еден збор на совет, користејќи елиптична крива криптографија е препорачливо за RSA.

Q5. Дали гаранциите се важни?

Убаво е да се има голема гаранција со кој било производ, а индустријата SSL / TLS обезбедува некои од најпродаваните гаранции таму. Тие плаќаат во случај CA дека издаде вашиот сертификат некогаш се соочува со проблем кој чини вашата организација пари. Очигледно, ова не е сето она што е вообичаено, што е вид на поддршка за SSL / TLS сертификатите воопшто, но и нешто што би било несоодветно да не укажеме.


Патрик Нох
За авторот: Патрик Нох

Патрик Нох ја започна својата кариера како новинар и колумнист за Мајами Хералд. Тој, исто така, служи како Менаџер на содржини SSL Store ™.

За WHSR гостин

Оваа статија е напишана од гостин учесник. Погледите на авторот подолу се целосно негови и не може да ги одразуваат ставовите на КОСР.