Een SSL / TLS-certificaat kopersgids

Bijgewerkt: 2020-03-11 / Artikel door: WHSR Guest

Niemand vindt het leuk om te horen dat ze iets moeten doen. Het is gewoon de menselijke natuur om daar tegenin te gaan, maar soms is het beste wat je kunt doen is je lip bijten en ermee akkoord gaan. Dat is het geval met het HTTPS-mandaat die afgelopen zomer door Google en de browser van de andere browser is doorgegeven.

Tegenwoordig wordt elke website die nog steeds via HTTP wordt bediend aangeduid als "Niet beveiligd", een epithet die verkeer en conversies bedreigt. Dat betekent dat elke website nu een SSL / TLS-certificaat nodig heeft, dat de migratie naar HTTPS vergemakkelijkt en de communicatie tussen uw website en zijn bezoekers beveiligt.

Vanaf juli 2018 heeft Chrome alle HTTP-sites gemarkeerd als 'niet beveiligd' (meer informatie).

Deze gids gaat over de dingen die u moet overwegen bij het kopen van een SSL / TLS-certificaat. We beginnen met een kort overzicht van de technologie voordat we ingaan op de details die u nodig hebt om het juiste certificaat voor u en uw website te bepalen.

SSL / TLS 101: een overzicht

Om veilig op internet te kunnen communiceren, moeten de server die de website host en de client die er verbinding mee probeert te maken, gebruikmaken van encryptie. Encryptie is een wiskundig proces dat: maakt gegevens onleesbaar voor iedereen behalve een geautoriseerde partij. Het wordt uitgevoerd met behulp van coderingssleutels en om een ​​client en server veilig met elkaar te verbinden beide moeten een kopie van dezelfde sleutel bezitten.

Dat levert echter een probleem op, hoe kun je veilig die sleutels uitwisselen? Als een aanvaller in staat is om een ​​coderingssleutel in gevaar te brengen, maakt die versleuteling nutteloos omdat de aanvaller nog steeds alle gegevens kan zien die worden uitgewisseld alsof het in leesbare tekst is.

SSL / TLS is de oplossing voor het probleem met de sleuteluitwisseling.

SSL / TLS bereikt twee dingen:

  1. Het authenticeert de server, zodat klanten weten met welke entiteit ze verbinding maken
  2. Het vergemakkelijkt de uitwisseling van een sessiesleutel die kan worden gebruikt om veilig te communiceren

Dat lijkt misschien een beetje abstract, dus laten we het in gang zetten.

Telkens wanneer een client via HTTPS verbinding probeert te maken met een website, is dat de beveiligde versie van het Hypertext Transfer Protocol (HTTP) het internet heeft tientallen jaren lang gebruikt - een reeks interacties vindt plaats achter de schermen tussen de client en de server die de site host.

Er zijn twee soorten coderingssleutels betrokken bij SSL / TLS-codering. Er zijn de symmetrische sessiesleutels die we zojuist noemden. Die kunnen zowel coderen als decoderen en worden gebruikt om te communiceren tijdens de verbinding zelf. De andere sleutels zijn het openbare / private sleutelpaar. Deze vorm van codering wordt openbare-sleutelcryptografie genoemd. De openbare sleutel kan coderen, de privésleutel decodeert.

In het begin kiezen de client en de server een wederzijds ondersteunde coderingssuite. Een cipher-suite is de verzameling algoritmen die de codering bepaalt die tijdens de verbinding wordt gebruikt.

Zodra een coderingssuite is overeengekomen, verzendt de server het SSL-certificaat en de openbare sleutel. Via een reeks controles verifieert de client de server, verifieert hij zijn identiteit en is hij de rechtmatige eigenaar van de bijbehorende openbare sleutel.

Na deze verificatie genereert de client een sessiesleutel (of het geheim dat kan worden gebruikt om er een af ​​te leiden) en gebruikt de openbare sleutel van de server om deze te coderen voordat deze naar de server wordt verzonden. Met behulp van zijn persoonlijke sleutel decodeert de server de sessiesleutel en begint de gecodeerde verbinding (dit is de meest gebruikelijke vorm van sleuteluitwisseling, zoals uitgevoerd met RSA - Diffie-Hellman sleuteluitwisseling verschilt enigszins).

Als dat nog steeds een beetje ingewikkeld lijkt, laten we het nog verder vereenvoudigen.

  • Om veilig te communiceren, moeten beide partijen symmetrische sessiesleutels delen
  • SSL / TLS vergemakkelijkt de uitwisseling van die sessiesleutels met openbare sleutelcryptografie
  • Nadat de serveridentiteit is geverifieerd, wordt een sessiesleutel of geheim gecodeerd met de openbare sleutel
  • De server gebruikt zijn persoonlijke sleutel om de sessiesleutel te decoderen en gecodeerde communicatie te starten

Laten we nu eens kijken naar wat u als eigenaar van een website moet overwegen bij het kopen of kopen van een SSL / TLS-certificaat.

Waarop moet u letten bij de aanschaf van een SSL / TLS-certificaat?

Wanneer je schaf een SSL / TLS-certificaat aan u neemt een beslissing over twee hoofdvragen:

  1. Welk oppervlak moet je bedekken?
  2. Hoeveel identiteit wil je beweren?

Wanneer u deze vragen kunt beantwoorden, wordt het kiezen van een certificaat een kwestie van merk en kosten. U weet dus al welk producttype u nodig heeft.

Laten we, voordat we verder gaan, een zeer belangrijk feit vaststellen: ongeacht hoe u die twee vragen beantwoordt, bieden alle SSL / TLS-certificaten dezelfde coderingssterkte.

De coderingssterkte wordt bepaald door een combinatie van de ondersteunde versleutelingssuites en de rekenkracht van de client en de server aan beide uiteinden van de verbinding. Het duurste SSL / TLS-certificaat op de markt en een volledig gratis SSL-certificaat zullen hetzelfde niveau van standaard encryptie mogelijk maken.

Wat varieert met certificaten, is het identiteitsniveau en hun functionaliteit.

Laten we beginnen met welke oppervlakken u moet bedekken.

1- SSL / TLS-certificaatfunctionaliteit

Moderne websites zijn veel verder geëvolueerd dan ze in het begin van het internet waren toen je nog steeds tellers op de bodem van een pagina zette om het verkeer te volgen. Tegenwoordig hebben organisaties ingewikkelde webinfrastructuren, zowel intern als extern. We hebben het over meerdere domeinen, subdomeinen, mailservers, enzovoort.

Gelukkig zijn SSL / TLS-certificaten samen met moderne websites geëvolueerd om ze beter te beveiligen. Er is een certificaattype voor elke use case, maar het is aan u om te weten wat uw specifieke use case zal zijn.

Laten we eens kijken naar de vier verschillende SSL / TLS-certificaattypen en hun functionaliteit:

  • Eén domein - Zoals de naam aangeeft, is dit SSL / TLS-certificaat voor een enkel domein (zowel de WWW- als niet-WWW-versies).
  • Multi-Domain - Dit type SSL / TLS-certificaat is voor organisaties met meerdere websites, ze kunnen tot 250 verschillende domeinen tegelijkertijd beveiligen.
  • wildcard - Beveiliging voor een enkel domein, plus alle bijbehorende subdomeinen op het eerste niveau - zoveel als je hebt (onbeperkt).
  • Wildcard met meerdere domeinen - Een SSL / TLS-certificaat met volledige functionaliteit, kan tot 250 verschillende domeinen en alle bijbehorende subdomeinen tegelijkertijd coderen.

Een kort woordje over Wildcard-certificaten. Wildcards zijn uitzonderlijk veelzijdig, ze kunnen een onbeperkt aantal subdomeinen coderen en zijn zelfs in staat nieuwe subdomeinen te beveiligen die na de uitgifte worden toegevoegd. Bij het genereren van een jokerteken wordt een asterisk (ook wel een jokerteken genoemd) gebruikt op het subdomeinniveau dat u wilt coderen. Dit geeft aan dat elk subdomein op dat URL-niveau van het geverifieerde domein geldig is gekoppeld aan het openbare / privésleutelpaar van het certificaat.

2- SSL / TLS certificaatvalidatieniveau

Nadat je hebt uitgezocht welke oppervlakten je moet bedekken, is het tijd om te bepalen hoeveel identiteit je wilt laten gelden. Er zijn drie validatieniveaus, deze hebben betrekking op de mate waarin de certificeringsinstantie die uw SSL / TLS-certificaat verstrekt, door u en uw website wordt gecontroleerd.

Drie validatieniveaus: domeinvalidatie, organisatievalidatie en uitgebreide validatie.

Het meest eenvoudige niveau van validatie wordt genoemd domein Validation. Het duurt slechts enkele minuten om deze validatie uit te voeren en het certificaat uit te geven, maar het biedt de minste identiteitsinformatie - alleen de server verifiëren. DV SSL / TLS-certificaten worden het meest gebruikt, maar vanwege hun gebrek aan identiteit ontvangen websites die deze gebruiken een neutrale browserbehandeling.

Organisatie Validatie biedt meer informatie over de organisatie, waardoor de bezoekers van uw site een beter idee krijgen van wie ze te maken hebben, op voorwaarde dat ze weten waar ze moeten kijken. OV SSL / TLS-certificaten vereisen een bescheiden aantal controles, maar ze beweren onvoldoende identiteit om een ​​neutrale browserbehandeling te voorkomen. OV SSL-certificaten kunnen ook specifieke IP-adressen beveiligen. Ze worden vaak gebruikt in Enterprise-omgevingen en op interne netwerken.

De meest identiteit die een SSL / TLS-certificaat kan geven, komt op de Extended Validation niveau. EV SSL / TLS-certificaten vereisen een grondige controle door de CA, maar zij stellen voldoende identificerende informatie vast dat webbrowsers websites die ze een unieke behandeling toepassen geven - door hun geverifieerde naam van de organisatie weer te geven in de adresbalk van de browser.

Een snel ding om te overwegen met betrekking tot validatieniveaus en functionaliteit is dat EV SSL / TLS-certificaten nooit worden verkocht met Wildcard-functionaliteit. Dit is te danken aan het open karakter van Wildcard-certificaten, die we in het laatste deel hebben besproken.

Certificaatautoriteiten en prijzen kiezen

Nu dat je weet WAT je nodig hebt, laten we praten over waar het vandaan komt. Niet alleen iedereen kan geldige SSL / TLS-certificaten uitgeven, en met geldig bedoelen we vertrouwd. U moet een vertrouwde certificeringsinstantie of CA doorlopen. CA's zijn gebonden aan strikte branchevereisten en zijn onderworpen aan regelmatige audits en controle. De reden hiervoor komt voort uit de werking van Public Key Infrastructure. PKI is het vertrouwensmodel dat SSL / TLS ondersteunt, daarom kan de browser van een gebruiker de authenticiteit van een SSL / TLS-certificaat verifiëren en vertrouwen.

Terwijl zich verdiepen in PKI en wortels valt buiten de scope van dit artikel, het is belangrijk om te weten dat alleen vertrouwde CA's vertrouwde certificaten kunnen uitgeven. Dit is waarom je niet alleen jezelf kunt uitreiken en het zelf kunt ondertekenen. Browsers zouden het op geen enkele manier kunnen vertrouwen zonder hun instellingen handmatig aan te passen.

Maar welke CA zou je moeten kiezen?

Dat hangt ervan af wat je zoekt.

Voor veel eenvoudige websites die niet veel identiteit behoeven te bevestigen, een gratis DV SSL / TLS-certificaat van Laten we versleutelen (of andere gratis CA's) is een goede keuze. Het kost niets en het is voldoende voor wat je nodig hebt.

Iets ten noorden daarvan, of als u niet bijzonder technisch onderlegd bent, moet u gaan met een commerciële certificeringsinstantie zoals DigiCert, Sectigo, Entrust Datacard, enz.

Maar hier is het ding: u krijgt niet de beste prijsaankopen rechtstreeks van de CA's.

U krijgt de beste combinatie van prijs en selectie door te kopen via een SSL-service die SSL / TLS-certificaten van meerdere CA's aanbiedt. De reden hiervoor is simpel, deze SSL-services certificaten van de CA's in bulk kopen tegen veel lagere prijzen dan retailklanten krijgen. Daardoor kunnen ze de certificaten tegen sterk gereduceerde tarieven verkopen en de besparingen aan consumenten doorgeven.

In sommige gevallen kunt u tot 85% besparen op de adviesprijs van de fabrikant met door een SSL-service gaan in plaats van direct te kopen.

Houd in gedachten, speciale SSL-services SPECIALISEREN in SSL / TLS, ze zullen betere klantenondersteuning bieden, ze kunnen je helpen het te installeren en ze weten hoe je je implementaties kunt optimaliseren om je website de best mogelijke beveiliging te bieden.

Vergelijk dat eens met gratis CA's (en zelfs enkele commerciële) waar je via een ticketsysteem moet werken of oude forum berichten voor crowdsourced-ondersteuning en de waarde is duidelijk.

Toegegeven, voor sommige technisch onderlegde website-eigenaren is het ondersteuningsprobleem geen probleem. En er is zeker niets mis met het volgen van de gratis route als je weet hoe je alles zelf kunt ondersteunen.

Maar voor andere site-eigenaren betaalt u minder voor het certificaat zelf en meer voor het ondersteuningsapparaat dat eromheen is gebouwd. U heeft ook geen toegang tot hogere validatieniveaus (OV/EV) of geavanceerde functionaliteit (Multi-Domain, Wildcards) met gratis SSL/TLS. Je moet die krijgen van commerciële CA's of SSL-services.

Dus, betaald of gratis? Het komt erop neer hoe technisch u of uw organisatie bekwaam is, naast of u functionaliteit en validatie wilt hebben die verder gaan dan DV-systemen met één domein.

SSL / TLS Kopersgids Veelgestelde vragen

Q1. Is Extended Validation de moeite waard?

Voor veel websites is een EV SSL / TLS-certificaat meer een investering dan een uitgave. Er is geen andere manier om maximale identiteit te bereiken en uw website een voorkeursbehandeling voor de browser te geven. Wanneer bezoekers op een website aankomen en de naam van de organisatie in de adresbalk zien, heeft dit een diepgaand psychologisch effect. Hoewel dat effect moeilijk te kwantificeren is op papier, blijkt uit enquêtes dat mensen zich beter voelen bij het bezoeken van sites met EV dan het bezoeken van sites zonder deze.

Op internet telt elk klein beetje, dus als u een organisatie bent die identiteit op het web wil laten gelden, zijn EV SSL / TLS-certificaten de beste beschikbare methode om dit te doen.

Q2. U blijft SSL / TLS schrijven, wat betekent dat?

SSL staat voor Secure Sockets Layeren het was de oorspronkelijke versie van het coderingsprotocol dat we gebruiken om onze verbindingen met deze dag te beveiligen. We zijn helemaal tot SSL 3.0 gekomen voordat kwetsbaarheden de industrie terug naar de tekentafel dwongen, waar Transport Layer Security (TLS) is ontworpen om de opvolger van SSL te zijn.

Vandaag staan ​​we op TLS 1.3, SSL 3.0 is bijna volledig verouderd en door 2020 zijn TLS 1.0 en 1.1 ook verouderd. Hoewel het internet van vandaag bijna volledig afhankelijk is van het TLS-protocol, is het nog steeds gemeenzaam bekend als SSL.

Q3. Wat zijn SSL / TLS-protocolversies?

Dit heeft te maken met onze laatste vraag, SSL en TLS zijn de twee protocollen die HTTPS-verbindingen mogelijk maken, en net als bij elk ander stukje technologie moeten die protocollen periodiek worden bijgewerkt naarmate nieuwe kwetsbaarheden en aanvallen worden ontdekt. Wanneer u SSL 3.0 of TLS 1.2 ziet, verwijst dat naar een specifieke versie van de SSL / TLS-protocollen.

Momenteel is het de beste praktijk om TLS 1.2 en TLS 1.3 te ondersteunen, omdat alle eerdere versies kwetsbaar zijn gebleken voor misbruik of een ander misbruik.

Q4. Wat moet ik weten over Cipher Suites?

Een coderingssuite is een verzameling algoritmen die wordt gebruikt tijdens het SSL / TLS-coderingsproces. Ze bevatten doorgaans een soort algoritme voor openbare sleutels, een algoritme voor berichtauthentificatie en een symmetrisch (blok / stream) versleutelingsalgoritme.

Voordat u een beslissing kunt nemen over welke Cipher-suites u moet ondersteunen, moet u weten waar uw servers toe in staat zijn, wat betekent dat uw OpenSSL-bibliotheek (of alternatieve SSL-software) moet worden bijgewerkt tot de meest moderne iteratie. Een woord van advies, het gebruik van Elliptic Curve Cryptography heeft de voorkeur boven RSA.

Q5. Zijn garanties belangrijk?

Het is prettig om een ​​grote garantie te hebben bij elk product en de SSL / TLS-industrie biedt een aantal van de meest genereuze garanties die er zijn. Ze betalen uit in het geval dat de CA die uw certificaat heeft uitgegeven ooit een probleem tegenkomt dat uw organisatie geld kost. Toegegeven, dit is niet alles wat gebruikelijk is, wat een soort van goedkeuring is voor SSL / TLS-certificaten in het algemeen, maar ook iets dat we niet nalaten erop te wijzen.


Patrick Nohe
Over de auteur: Patrick Nohe

Patrick Nohe begon zijn carrière als beat reporter en columnist voor de Miami Herald. Hij is ook als Content Manager voor De SSL Store ™.

Over WHSR Gast

Dit artikel is geschreven door een gastbijdrager. De onderstaande standpunten van de auteur zijn volledig van hemzelf en komen mogelijk niet overeen met de mening van WHSR.