Panduan Pembeli Sijil SSL / TLS

Artikel yang ditulis oleh:
  • Perniagaan Online
  • Dikemaskini: Jul 02, 2019

Tiada siapa yang suka diberitahu bahawa mereka MEMILIKI sesuatu. Ia hanya sifat manusia untuk memberontak terhadapnya, tapi kadang-kadang yang terbaik yang boleh anda lakukan adalah menggigit bibir anda dan pergi bersamanya. Begitu juga dengannya mandat HTTPS yang telah diserahkan oleh Google dan pembuat musim panas lalu pembuat lain yang lain.

Pada masa ini, mana-mana laman web yang masih disiarkan melalui HTTP dilabelkan sebagai "Tidak Aman," satu julukan yang mengancam lalu lintas dan penukaran. Ini bermakna setiap laman web kini memerlukan sijil SSL / TLS, yang memudahkan penghijrahan ke HTTPS dan membantu untuk menjamin komunikasi di antara tapak web anda dan pelawatnya.

Bermula pada Julai 2018, Chrome menandakan semua laman HTTP sebagai "tidak selamat" (mengetahui lebih lanjut).

Panduan ini akan membahas perkara yang perlu anda pertimbangkan apabila membeli sijil SSL / TLS. Kami akan mulakan dengan gambaran ringkas mengenai teknologi sebelum mengkaji ke dalam spesifik yang perlu anda semakan semasa menentukan sijil yang tepat untuk anda dan laman web anda.

SSL / TLS 101: Tinjauan Keseluruhan

Untuk berkomunikasi dengan selamat di internet, pelayan yang menjadi tuan rumah laman web dan pelanggan yang cuba berhubung dengannya perlu menggunakan penyulitan. Penyulitan adalah proses matematik yang membuat data tidak boleh dibaca kepada sesiapa tetapi pihak yang diberi kuasa. Ia dilakukan dengan menggunakan kunci penyulitan, dan agar pelanggan dan pelayan untuk menyambung dengan selamat kedua-duanya perlu mempunyai satu salinan kunci yang sama.

Yang memberikan masalah walaupun, bagaimana anda dengan selamat menukar kunci tersebut? Sekiranya penyerang dapat berkompromi dengan kunci penyulitan ia menjadikan penyulitan itu tidak berguna kerana penyerang masih dapat melihat semua data yang ditukar seolah-olah dalam plaintext.

SSL / TLS adalah penyelesaian kepada masalah pertukaran utama.

SSL / TLS menyelesaikan dua perkara:

  1. Ia mengesahkan pelayan supaya pelanggan tahu entiti mana yang mereka sambungkan
  2. Ia memudahkan pertukaran kunci sesi yang boleh digunakan untuk berkomunikasi dengan selamat

Yang mungkin kelihatan sedikit abstrak jadi mari kita meletakkannya dalam gerakan.

Bila-bila masa klien cuba untuk menyambung dengan laman web melalui HTTPS - yang merupakan versi selamat Protokol Pemindahan Hypertext (HTTP) yang internet telah digunakan selama beberapa dekad - satu siri interaksi berlaku di sebalik tabir di antara pelanggan dan pelayan hosting laman web tersebut.

Terdapat dua jenis kunci penyulitan yang terlibat dalam penyulitan SSL / TLS. Terdapat kunci sesi simetri yang baru kita sebutkan. Mereka boleh menyulitkan dan menyahsulit dan digunakan untuk berkomunikasi semasa sambungan itu sendiri. Kunci lain adalah pasangan kunci awam / swasta. Bentuk penyulitan ini disebut kriptografi kunci awam. Kunci awam boleh menyulitkan, dekri kunci peribadi.

Pada mulanya, pelanggan dan pelayan akan memilih suite cipher yang disokong bersama. Sebuah suite cip adalah set algoritma yang mengawal enkripsi yang akan digunakan semasa sambungan.

Sebaik sahaja suite cipher telah dipersetujui, pelayan menghantar sijil SSL dan kunci awamnya. Melalui satu siri cek klien mengesahkan pelayan, mengesahkan identiti dan bahawa ia adalah pemilik sah kunci Awam yang berkaitan.

Berikutan pengesahan ini, pelanggan menjana kunci sesi (atau rahsia yang boleh digunakan untuk mendapatkan satu) dan menggunakan kunci awam pelayan untuk menyulitkannya sebelum menghantarnya ke pelayan. Menggunakan kekunci Pribadi, pelayan menyahsulit kunci sesi dan sambungan yang disulitkan bermula (ini merupakan bentuk pertukaran utama yang paling biasa, seperti yang dilakukan dengan RSA - Pertukaran utama Diffie-Hellman berbeza sedikit).

Jika itu masih agak rumit, mari kita mudahkannya.

  • Untuk berkomunikasi dengan selamat kedua-dua pihak perlu berkongsi kunci sesi simetri
  • SSL / TLS memudahkan pertukaran kunci sesi tersebut dengan kriptografi kunci awam
  • Selepas mengesahkan identiti pelayan, kunci sesi atau rahsia disulitkan dengan kunci awam
  • Server menggunakan kekunci persendirian untuk menyahsulit kunci sesi dan memulakan komunikasi yang disulitkan

Kini, mari masuk ke dalam apa yang anda, sebagai pemilik laman web, perlu dipertimbangkan semasa membeli atau memperoleh sijil SSL / TLS.

Apa yang perlu dipertimbangkan semasa membeli sijil SSL / TLS?

Apabila anda membeli sijil SSL / TLS, anda membuat keputusan mengenai dua soalan utama:

  1. Permukaan apa yang perlu anda tutupi?
  2. Berapa banyak identiti yang anda mahu menegaskan?

Apabila anda boleh menjawab soalan-soalan ini, memilih sijil menjadi perkara jenama dan kos, anda sudah tahu jenis produk yang anda perlukan.

Sekarang, sebelum kita pergi lagi mari kita buat satu fakta yang amat penting: tanpa mengira bagaimana anda menjawab kedua soalan tersebut, semua sijil SSL / TLS menawarkan kekuatan penyulitan yang sama.

Kekuatan enkripsi ditentukan oleh kombinasi suite cipher yang disokong dan kuasa pengkomputeran pelanggan dan pelayan pada kedua-dua hujung sambungan. Sijil SSL / TLS yang paling mahal di pasaran dan yang benar-benar percuma akan memudahkan tahap penyulitan standard industri yang sama.

Apa yang berbeza dengan sijil adalah tahap identiti dan fungsinya.

Mari kita mulakan dengan permukaan apa yang anda perlu tutupi.

Fungsi Sijil 1- SSL / TLS

Laman web moden telah berkembang jauh melampaui apa yang mereka berada pada masa awal internet ketika anda masih meletakkan counter di bawah halaman untuk menjejaki lalu lintas. Pada masa kini organisasi mempunyai infrastruktur web rumit, baik secara dalaman dan luaran. Kami bercakap mengenai pelbagai domain, sub-domain, pelayan mel, dll.

Nasib baik, sijil SSL / TLS telah berkembang bersama laman web moden untuk membantu mengamankannya dengan lebih baik. Terdapat jenis sijil untuk setiap kes penggunaan, tetapi ia adalah kewajipan anda untuk mengetahui kes penggunaan khusus anda.

Mari lihat empat jenis sijil SSL / TLS berbeza dan fungsinya:

  • Domain Tunggal - Seperti namanya, perakuan SSL / TLS ini adalah untuk satu domain (kedua-dua versi WWW dan bukan WWW).
  • Multi-Domain - Jenis sijil SSL / TLS ini adalah untuk organisasi yang mempunyai banyak laman web, mereka dapat menjamin sehingga 250 domain yang berbeza pada masa yang sama.
  • Wildcard - Keselamatan untuk satu domain, ditambah semua sub-domain peringkat pertama yang disertakan - sebanyak yang anda miliki (tanpa had).
  • Wildcard Multi-Domain - Sijil SSL / TLS dengan kefungsian penuh, boleh menyulitkan ke domain yang berbeza 250 dan semua sub-domain yang disertakan secara serentak.

Perkataan cepat mengenai sijil Wildcard. Wildcards adalah sangat serba boleh, mereka boleh menyulitkan nombor sub-domain yang tidak terhad, dan bahkan mampu mendapatkan sub-domain baru yang ditambahkan selepas terbitan. Apabila menjana Wildcard, asterisk (kadangkala dirujuk sebagai karakter wildcard) digunakan pada tahap sub-domain yang anda mahu menyulitkan. Ini menandakan bahawa mana-mana sub-domain pada tahap URL domain yang disahkan itu sah dikaitkan dengan pasangan kunci awam / persendirian sijil.

Tahap Pengesahan Sijil 2- SSL / TLS

Selepas anda mengetahui apa permukaan yang perlu anda tutupi, sudah tiba masanya untuk menentukan berapa banyak identiti yang anda mahu tegaskan. Terdapat tiga tahap pengesahan, ini merujuk kepada jumlah menilai Pihak Berkuasa Sijil yang mengeluarkan sijil SSL / TLS anda akan meletakkan anda dan laman web anda melalui.

Tiga tahap pengesahan: Pengesahan Domain, Pengesahan Organisasi, dan Extended Validation.

Tahap pengesahan yang paling asas dipanggil domain Validation. Ia hanya mengambil masa beberapa minit untuk menyelesaikan pengesahan ini dan mengeluarkan sijil, tetapi ia menyediakan maklumat identiti yang paling sedikit - mengesahkan hanya pelayan. Sijil DV SSL / TLS adalah yang paling biasa digunakan, tetapi disebabkan kekurangan identiti mereka, laman web yang menggunakannya menerima rawatan penyemak imbas neutral.

Pengesahan Organisasi menyediakan lebih banyak maklumat organisasi, yang memberikan pengunjung anda gambaran yang lebih baik tentang siapa yang mereka hadapi, dengan syarat mereka tahu di mana hendak melihat. Sijil OV SSL / TLS memerlukan jumlah pengukuran yang sederhana, namun, mereka tidak menuntut identiti yang cukup untuk menghindari rawatan pelayar netral. Sijil OV SSL boleh mendapatkan alamat IP berdedikasi juga. Ia biasanya digunakan dalam persekitaran Perusahaan dan rangkaian dalaman.

Kebanyakan identiti sijil SSL / TLS boleh ditegaskan pada extended Validation tahap. Sijil EV SSL / TLS memerlukan pemeriksaan mendalam oleh CA, tetapi mereka menuntut cukup mengenal pasti maklumat yang pelayar web akan memberikan laman web yang menggunakan rawatan unik - memaparkan nama Organisasi yang disahkan mereka di bar alamat penyemak imbas.

Satu perkara yang perlu dipertimbangkan berkaitan dengan tahap pengesahan dan kefungsian ialah bahawa sijil EV SSL / TLS tidak pernah dijual dengan fungsi Wildcard. Ini terhutang kepada sifat Sijil Wildcard yang terbuka, yang dibincangkan di bahagian terakhir.

Memilih Pihak Berkuasa Sijil dan Harga

Sekarang bahawa anda tahu APA yang anda perlukan, mari kita bicarakan di mana untuk memperolehnya. Bukan hanya orang yang boleh mengeluarkan sijil SSL / TLS yang sah, dan dengan sah kami bermaksud dipercayai. Anda perlu melalui pihak berkuasa sijil yang dipercayai atau CA. CAs terikat oleh keperluan industri yang ketat dan tertakluk kepada pemeriksaan dan pemeriksaan biasa. Sebabnya ini berasal dari cara Kerja Infrastruktur Utama Awam. PKI adalah model amanah yang mengikuti SSL / TLS, sebab itu penyemak imbas pengguna dapat mengesahkan keaslian, dan mempercayai sijil SSL / TLS yang diberikan.

Manakala menyelidiki ke dalam PKI dan akar tiada ruang untuk artikel ini, penting untuk mengetahui bahwa hanya CA yang dapat dipercaya dapat mengeluarkan sertifikat yang dipercaya. Ini sebabnya anda tidak boleh mengeluarkan sendiri dan menandatangani sendiri. Pelayar tidak akan mempercayainya tanpa menyesuaikan tetapannya secara manual.

Tetapi apa yang perlu anda pilih?

Itu bergantung pada apa yang anda cari.

Untuk banyak laman web mudah yang tidak perlu menegaskan banyak identiti, sijil DV percuma SSL / TLS dari Ayo Sulitkan (atau CA percuma lain) adalah pilihan yang baik. Ia tidak membebankan apa-apa dan ia mencukupi untuk apa yang anda perlukan.

Apa pun yang berlaku di utara itu, atau jika anda tidak begitu mahir secara teknikal, anda harus pergi dengan Pihak Berkuasa Sijil komersial seperti DigiCert, Sectigo, Entrust Datacard, dll.

Tetapi inilah perkara itu: anda tidak mendapat harga terbaik membeli langsung dari CA.

Anda mendapat kombinasi harga dan pemilihan terbaik dengan membeli melalui Perkhidmatan SSL yang menawarkan sijil SSL / TLS dari pelbagai CA. Alasannya adalah mudah, perkhidmatan SSL ini membeli sijil dari CA secara pukal pada harga yang lebih rendah berbanding pelanggan runcit. Itu membolehkan mereka menjual sijil pada kadar diskaun yang mendalam, lulus simpanan kepada pengguna.

Dalam sesetengah kes, anda boleh menyimpan sebanyak 85% daripada harga runcit disyorkan pengilang oleh melalui perkhidmatan SSL dan bukannya membeli terus.

Perlu diingat, perkhidmatan SSL berdedikasi SPECIALIZE dalam SSL / TLS, mereka akan menawarkan sokongan pelanggan yang lebih baik, mereka boleh membantu anda memasangnya dan mereka tahu bagaimana untuk mengoptimumkan pelaksanaan anda untuk memberikan laman web anda keselamatan terbaik.

Sebaliknya, dengan CA percuma (dan juga beberapa yang komersial) di mana anda perlu bekerja melalui sistem tiket atau mengayuh melalui jawatan forum lama untuk sokongan orang ramai dan nilai yang jelas.

Diberikan, bagi sesetengah pemilik laman web teknologi, isu sokongan tidak menjadi masalah. Dan sudah tentu tidak ada yang salah dengan pergi laluan percuma jika anda tahu bagaimana untuk menyokong semuanya.

Tetapi bagi pemilik laman web lain, anda membayar kurang untuk sijil itu sendiri dan banyak lagi untuk alat sokongan yang dibina di sekelilingnya. Anda juga tidak mempunyai akses ke tahap pengesahan yang lebih tinggi (OV / EV) atau fungsi canggih (Multi-Domain, Wildcards) dengan SSL / TLS percuma. Anda perlu mendapatkan mereka dari CA komersial atau perkhidmatan SSL.

Jadi, dibayar atau percuma? Ia datang kepada bagaimana mahir teknis anda atau organisasi anda, sebagai tambahan kepada sama ada anda mahukan kefungsian dan pengesahan melebihi DV domain tunggal.

FAQ Panduan Pembeli SSL / TLS

Q1. Adakah Validasi Dipanjangkan?

Bagi banyak laman web, sijil EV SSL / TLS lebih banyak daripada pelaburan daripada perbelanjaan. Tidak ada cara lain untuk menegaskan identiti maksimum dan mendapatkan rawatan pelayar keutamaan laman web anda. Apabila pengunjung tiba di laman web dan melihat nama organisasi yang dipaparkan di bar alamat ia mempunyai kesan psikologi mendalam. Walaupun kesan itu sukar dikira di atas kertas, tinjauan secara konsisten mendapati bahawa orang merasa lebih baik untuk melawat laman web dengan EV daripada melawat tapak tanpa ia.

Di internet, setiap tuduhan kecil, jadi jika anda adalah sebuah organisasi yang ingin menegaskan identiti di web, sijil EV SSL / TLS adalah kaedah terbaik untuk melakukannya.

Q2. Anda terus menulis SSL / TLS, apakah maksudnya?

SSL bermaksud Lapisan Soket Selamat, dan ia merupakan versi asal protokol penyulitan yang kami gunakan untuk menjamin hubungan kami hingga ke hari ini. Kami mendapat semua jalan ke SSL 3.0 sebelum kerentanan memaksa industri kembali ke papan lukisan, di mana Keselamatan Layer Pengangkutan (TLS) direka untuk menjadi pengganti SSL.

Hari ini kita berada di TLS 1.3, SSL 3.0 hampir tidak digunakan lagi dan oleh 2020 TLS 1.0 dan 1.1 akan ditamatkan juga. Walaupun internet hari ini bergantung hampir pada protokol TLS, ia masih lagi dikenali sebagai SSL.

Q3. Apakah versi protokol SSL / TLS?

Ini berkaitan dengan pertanyaan terakhir kami, SSL dan TLS adalah dua protokol yang memudahkan sambungan HTTPS, dan seperti mana-mana bahagian teknologi lain, protokol tersebut perlu dikemas kini secara berkala kerana kelemahan dan serangan baru ditemui. Apabila anda melihat SSL 3.0 atau TLS 1.2, itu merujuk kepada versi spesifik protokol SSL / TLS.

Pada masa ini, amalan terbaik adalah untuk menyokong TLS 1.2 dan TLS 1.3, kerana semua versi terdahulu telah didapati terdedah kepada beberapa eksploit atau yang lain.

Q4. Apa yang perlu saya ketahui tentang Cipher Suites?

Satu suite cipher adalah kumpulan algoritma yang akan digunakan semasa proses penyulitan SSL / TLS. Mereka biasanya termasuk beberapa jenis algoritma kunci awam, algoritma pengesahan mesej dan algoritma penyulitan simetrik (blok / aliran).

Sebelum anda boleh membuat apa-apa penentuan mengenai apa yang diperlukan oleh suite Cipher, anda perlu tahu apa yang pelayan anda mampu, yang mungkin bermakna mengemas kini perpustakaan OpenSSL anda (atau perisian SSL alternatif) ke lelaran yang paling moden. Satu perkataan nasihat, menggunakan Cryptography Curve Elliptic lebih baik daripada RSA.

Q5. Adakah jaminan penting?

Adalah baik untuk mempunyai jaminan besar dengan apa-apa produk, dan industri SSL / TLS menyediakan beberapa jaminan yang paling murah di luar sana. Mereka membayar sekiranya CA yang mengeluarkan sijil anda pernah mengalami masalah yang menjejaskan wang organisasi anda. Diakui, ini bukan semua yang biasa, yang merupakan jenis pengesahan untuk sijil SSL / TLS secara amnya, tetapi juga sesuatu yang kami tidak akan menunjukkan.



Mengenai pengarang: Patrick Nohe

Patrick Nohe memulakan kerjayanya sebagai wartawan dan kolumnis untuk Miami Herald. Beliau juga berfungsi sebagai Pengurus Kandungan untuk Kedai SSL ™.

Mengenai tetamu WHSR

Artikel ini ditulis oleh penyumbang tetamu. Tontonan pengarang di bawah ini adalah miliknya sendiri dan mungkin tidak mencerminkan pandangan WHSR.