Przewodnik kupującego certyfikat SSL / TLS

Artykuł napisany przez:
  • Online Business
  • Zaktualizowano: Jul 02, 2019

Nikt nie lubi mówić, że muszą coś zrobić. Buntowanie się przeciwko temu jest po prostu ludzką naturą, ale czasami najlepiej jest ugryźć wargę i iść z nią. Tak jest w przypadku mandat HTTPS to zostało przekazane przez Google i innych twórców przeglądarek zeszłego lata.

Obecnie każda strona internetowa nadal obsługiwana przez HTTP jest oznaczona jako „Not Secure”, epitet, który zagraża ruchowi i konwersji. Oznacza to, że każda strona wymaga teraz certyfikatu SSL / TLS, który ułatwia migrację do HTTPS i pomaga zabezpieczyć komunikację między Twoją witryną a jej użytkownikami.

Począwszy od lipca 2018, Chrome oznaczył wszystkie witryny HTTP jako „niezabezpieczone” (dowiedz się więcej).

Ten przewodnik omawia rzeczy, które należy wziąć pod uwagę przy zakupie certyfikatu SSL / TLS. Zaczniemy od krótkiego przeglądu technologii, zanim zapoznamy się ze szczegółami, które trzeba będzie uporządkować, decydując o właściwym certyfikacie dla Ciebie i Twojej witryny.

SSL / TLS 101: przegląd

Aby bezpiecznie komunikować się w Internecie, serwer obsługujący witrynę i klient próbujący się z nią połączyć muszą korzystać z szyfrowania. Szyfrowanie to proces matematyczny powoduje, że dane są nieczytelne dla nikogo poza autoryzowaną stroną. Jest wykonywany przy użyciu kluczy szyfrowania, aby klient i serwer mogły bezpiecznie się połączyć obie muszą posiadać kopię tego samego klucza.

To stanowi problem, jak bezpiecznie wymieniać te klucze? Jeśli atakujący jest w stanie złamać klucz szyfrowania, powoduje, że szyfrowanie staje się bezużyteczne, ponieważ atakujący może nadal widzieć wszystkie wymieniane dane, jakby były w postaci zwykłego tekstu.

SSL / TLS to rozwiązanie problemu wymiany kluczy.

SSL / TLS realizuje dwie rzeczy:

  1. Uwierzytelnia serwer, aby klienci wiedzieli, z którą jednostką się łączą
  2. Ułatwia wymianę klucza sesji, który może być używany do bezpiecznej komunikacji

To może wydawać się trochę abstrakcyjne, więc uruchommy to.

Za każdym razem, gdy klient próbuje połączyć się z witryną za pośrednictwem HTTPS - która jest bezpieczną wersją protokołu Hypertext Transfer Protocol (HTTP), który Internet jest używany od dziesięcioleci - szereg interakcji występuje za kulisami między wspomnianym klientem a serwerem, na którym znajduje się witryna.

Istnieją dwa typy kluczy szyfrowania zaangażowanych w szyfrowanie SSL / TLS. Istnieją symetryczne klucze sesji, o których właśnie wspominaliśmy. Mogą one zarówno szyfrować, jak i deszyfrować, i są używane do komunikacji podczas samego połączenia. Pozostałe klucze to para kluczy publiczny / prywatny. Ta forma szyfrowania jest nazywana kryptografią klucza publicznego. Klucz publiczny może szyfrować, klucz prywatny odszyfrowuje.

Na początku klient i serwer wybierają wzajemnie obsługiwany zestaw szyfrów. Zestaw szyfrów to zestaw algorytmów zarządzających szyfrowaniem, które będzie używane podczas połączenia.

Po uzgodnieniu zestawu szyfrów serwer wysyła swój certyfikat SSL i klucz publiczny. Poprzez szereg kontroli klient uwierzytelnia serwer, weryfikuje jego tożsamość i jest prawowitym właścicielem powiązanego klucza publicznego.

Po tej weryfikacji klient generuje klucz sesji (lub sekret, który może zostać użyty do jego uzyskania) i używa klucza publicznego serwera do zaszyfrowania go przed wysłaniem go na serwer. Używając klucza prywatnego, serwer odszyfrowuje klucz sesji i rozpoczyna się szyfrowane połączenie (jest to najbardziej powszechna forma wymiany kluczy, jak w przypadku RSA - Wymiana kluczy Diffie-Hellman różni się nieznacznie).

Jeśli to wciąż wydaje się nieco skomplikowane, upraszczajmy to jeszcze bardziej.

  • Aby bezpiecznie komunikować się, obie strony muszą współdzielić symetryczne klucze sesji
  • SSL / TLS ułatwia wymianę tych kluczy sesji za pomocą kryptografii klucza publicznego
  • Po zweryfikowaniu tożsamości serwera klucz sesji lub sekret są szyfrowane kluczem publicznym
  • Serwer używa klucza prywatnego do odszyfrowania klucza sesji i rozpoczęcia szyfrowanej komunikacji

Przejdźmy teraz do tego, co ty, jako właściciel witryny, musisz rozważyć przy zakupie lub nabyciu certyfikatu SSL / TLS.

Co należy wziąć pod uwagę przy zakupie certyfikatu SSL / TLS?

Kupując certyfikat SSL / TLS podejmujesz decyzję w sprawie dwóch podstawowych pytań:

  1. Jaką powierzchnię musisz pokryć?
  2. Ile tożsamości chcesz potwierdzić?

Kiedy możesz odpowiedzieć na te pytania, wybór certyfikatu staje się kwestią marki i kosztów, będziesz już znać typ produktu, którego potrzebujesz.

Zanim przejdziemy dalej, ustalmy jeden bardzo ważny fakt: niezależnie od tego, w jaki sposób odpowiesz na te dwa pytania, wszystkie certyfikaty SSL / TLS oferują tę samą siłę szyfrowania.

Siła szyfrowania jest określana przez połączenie obsługiwanych zestawów szyfrów i mocy obliczeniowej klienta i serwera po obu stronach połączenia. Najdroższy na rynku certyfikat SSL / TLS i całkowicie darmowy certyfikat ułatwią szyfrowanie zgodne ze standardem branżowym.

To, co różni się od certyfikatów, to poziom tożsamości i ich funkcjonalność.

Zacznijmy od tego, jakie powierzchnie musisz pokryć.

Funkcjonalność certyfikatu 1-SSL / TLS

Współczesne strony internetowe ewoluowały daleko poza to, co było w pierwszych dniach internetu, kiedy nadal umieszczasz liczniki na dole strony, aby śledzić ruch. Obecnie organizacje mają skomplikowane infrastruktury sieciowe, zarówno wewnętrzne, jak i zewnętrzne. Mówimy o wielu domenach, subdomenach, serwerach pocztowych itp.

Na szczęście certyfikaty SSL / TLS ewoluowały wraz z nowoczesnymi stronami internetowymi, aby lepiej je zabezpieczyć. Dla każdego przypadku użycia istnieje typ certyfikatu, ale to Ty musisz wiedzieć, jaki będzie konkretny przypadek użycia.

Spójrzmy na cztery różne typy certyfikatów SSL / TLS i ich funkcjonalność:

  • Jedna domena - Jak sama nazwa wskazuje, ten certyfikat SSL / TLS jest przeznaczony dla pojedynczej domeny (zarówno WWW, jak i wersji innych niż WWW).
  • Multi-Domain - Ten typ certyfikatu SSL / TLS jest przeznaczony dla organizacji z wieloma stronami internetowymi, które mogą jednocześnie zabezpieczyć do różnych domen 250.
  • wieloznaczny - Bezpieczeństwo pojedynczej domeny oraz wszystkich towarzyszących jej subdomen pierwszego poziomu - tyle, ile masz (nieograniczona).
  • Wielodomenowa karta wieloznaczna - Certyfikat SSL / TLS z pełną funkcjonalnością, może szyfrować do różnych domen 250 i wszystkich towarzyszących subdomen jednocześnie.

Szybkie słowo o certyfikatach wieloznacznych. Symbole wieloznaczne są wyjątkowo wszechstronne, mogą szyfrować nieograniczoną liczbę subdomen, a nawet mogą zabezpieczać nowe subdomeny dodawane po wydaniu. Podczas generowania symbolu wieloznacznego gwiazdka (czasami nazywana znakiem wieloznacznym) jest używana na poziomie subdomeny, którą chcesz zaszyfrować. Oznacza to, że każda subdomena na tym poziomie adresu URL zweryfikowanej domeny jest prawidłowo powiązana z parą kluczy publicznych / prywatnych certyfikatu.

2- Poziom certyfikatu SSL / TLS

Po ustaleniu, jakie powierzchnie musisz pokryć, nadszedł czas, aby określić, jaką tożsamość chcesz potwierdzić. Istnieją trzy poziomy walidacji, odnoszą się one do ilości weryfikacji urzędu certyfikacji, który wystawia certyfikat SSL / TLS, dzięki czemu ty i twoja strona internetowa przejdą przez to.

Trzy poziomy walidacji: walidacja domeny, walidacja organizacji i walidacja rozszerzona.

Najbardziej podstawowy poziom walidacji jest nazywany walidacji domeny. Zakończenie weryfikacji i wydanie certyfikatu zajmuje tylko kilka minut, ale zapewnia najmniej informacji o tożsamości - uwierzytelnianie tylko serwera. Najczęściej używane są certyfikaty DV SSL / TLS, ale z powodu braku tożsamości strony internetowe, które z nich korzystają, są neutralnie traktowane przez przeglądarkę.

Sprawdzanie organizacji zapewnia więcej informacji organizacyjnych, co daje odwiedzającym witrynę lepszy pomysł na temat tego, z kim mają do czynienia, pod warunkiem, że wiedzą, gdzie szukać. Certyfikaty OV SSL / TLS wymagają umiarkowanej weryfikacji, jednak nie zapewniają wystarczającej tożsamości, aby uniknąć neutralnego traktowania przeglądarki. Certyfikaty SSL OV mogą również zabezpieczać dedykowane adresy IP. Są one powszechnie używane w środowiskach korporacyjnych i sieciach wewnętrznych.

Najbardziej tożsamość, jaką certyfikat SSL / TLS może potwierdzić, pojawia się na stronie Extended Validation poziom. Certyfikaty EV SSL / TLS wymagają dogłębnej weryfikacji przez urząd certyfikacji, ale zapewniają wystarczającą ilość informacji identyfikujących, że przeglądarki internetowe zapewnią stronom, które je wdrażają, unikalne leczenie - wyświetlając zweryfikowaną nazwę organizacji w pasku adresu przeglądarki.

Jedną z szybkich rzeczy do rozważenia w odniesieniu do poziomów walidacji i funkcjonalności jest to, że certyfikaty EV SSL / TLS nigdy nie są sprzedawane z funkcją Wildcard. Wynika to z otwartego charakteru certyfikatów wieloznacznych, które omówiliśmy w ostatniej sekcji.

Wybór urzędów certyfikacji i cen

Teraz, gdy już wiesz CO potrzebujesz, porozmawiajmy o tym, skąd go zdobyć. Nie tylko każdy może wystawiać ważne certyfikaty SSL / TLS, a przez poprawne rozumiemy zaufane. Musisz przejść przez zaufany urząd certyfikacji lub CA. CA są zobowiązane do spełnienia surowych wymagań branżowych i podlegają regularnym audytom i kontroli. Powodem tego jest sposób działania infrastruktury klucza publicznego. PKI to model zaufania, który łączy się z SSL / TLS, dlatego przeglądarka użytkownika może zweryfikować autentyczność i zaufać danemu certyfikatowi SSL / TLS.

Kompletujemy wszystkie dokumenty (wymagana jest kopia paszportu i 4 zdjęcia) potrzebne do zagłębianie się w PKI i korzenie jest poza zakresem tego artykułu, ważne jest, aby wiedzieć, że tylko zaufane urzędy certyfikacji mogą wystawiać zaufane certyfikaty. Dlatego nie możesz po prostu wydać własnego i samodzielnie go podpisać. Przeglądarki nie miałyby sposobu, aby mu zaufać bez ręcznego dostosowania ich ustawień.

Ale jaki CA powinieneś wybrać?

To zależy od tego, czego szukasz.

Dla wielu prostych stron internetowych, które nie muszą potwierdzać tożsamości, darmowy certyfikat DV SSL / TLS Zakodujmy (lub inne wolne CA) to dobry wybór. Nie kosztuje nic i wystarcza na to, czego potrzebujesz.

Cokolwiek na północ, lub jeśli nie jesteś szczególnie doświadczony technicznie, powinieneś wybrać komercyjny ośrodek certyfikacji, taki jak DigiCert, Sectigo, Entrust Datacard itp.

Ale oto rzecz: nie kupujesz najlepszych cen bezpośrednio od CA.

Uzyskasz najlepszą kombinację cen i wyboru, kupując za pośrednictwem usługi SSL oferującej certyfikaty SSL / TLS od wielu urzędów certyfikacji. Powód tego jest prosty, te usługi SSL kupuj certyfikaty od CA luzem po znacznie niższych cenach niż klienci detaliczni. To pozwala im sprzedawać certyfikaty po znacznie obniżonych stawkach, przekazując oszczędności konsumentom.

W niektórych przypadkach możesz zaoszczędzić aż 85% od sugerowanej ceny detalicznej producenta o przechodząc przez usługę SSL zamiast kupować bezpośrednio.

Pamiętaj, że dedykowane usługi SSL SPECJALIZUJĄ SIĘ w SSL / TLS, będą oferować lepszą obsługę klienta, mogą pomóc Ci go zainstalować i wiedzą, jak zoptymalizować implementacje, aby zapewnić Twojej witrynie najlepsze możliwe bezpieczeństwo.

Porównaj to z darmowymi urzędami certyfikacji (a nawet z niektórymi komercyjnymi), w których musisz pracować za pośrednictwem systemu biletowego lub przesiewać stare posty na forum w celu uzyskania wsparcia dla tłumów, a wartość jest przejrzysta.

Oczywiście, dla niektórych właścicieli stron internetowych zorientowanych na technologię problem z obsługą nie stanowi problemu. Z pewnością nie ma nic złego w przejściu na darmową trasę, jeśli wiesz, jak samemu obsługiwać wszystko.

Ale dla innych właścicieli witryn płacisz mniej za sam certyfikat, a za urządzenie wspierające, które zostało wokół niego zbudowane. Nie masz również dostępu do wyższych poziomów walidacji (OV / EV) lub zaawansowanych funkcji (Multi-Domain, Wildcards) z bezpłatnym SSL / TLS. Musisz zdobyć te z komercyjnych CA lub usług SSL.

Więc płatne lub bezpłatne? Wszystko sprowadza się do tego, jak sprawny technicznie jesteś Ty lub Twoja organizacja, niezależnie od tego, czy chcecie funkcjonalności i walidacji poza pojedynczą domeną DV.

Przewodnik kupującego SSL / TLS FAQ

Q1. Czy warto zastosować rozszerzoną walidację?

W wielu witrynach certyfikat EV SSL / TLS jest bardziej inwestycją niż wydatkiem. Nie ma innego sposobu, aby zapewnić maksymalną tożsamość i uzyskać preferencyjne traktowanie witryny przez przeglądarkę. Gdy odwiedzający docierają do witryny i widzą nazwę organizacji wyświetlaną w pasku adresu, ma ona głęboki efekt psychologiczny. Chociaż trudno jest określić ten efekt na papierze, badania stale pokazują, że ludzie czują się lepiej, odwiedzając strony z EV niż odwiedzając strony bez niego.

W Internecie liczy się każdy mały kawałek, więc jeśli jesteś organizacją, która chce potwierdzić tożsamość w Internecie, certyfikaty EV SSL / TLS są najlepszą dostępną metodą.

Q2. Nadal piszesz SSL / TLS, co to oznacza?

SSL oznacza Secure Sockets Layeri była to oryginalna wersja protokołu szyfrowania, którego używamy do zabezpieczenia naszych połączeń do dnia dzisiejszego. Dotarliśmy do SSL 3.0, zanim luki zmusiły branżę do powrotu do deski kreślarskiej, gdzie Transport Layer Security (TLS) został zaprojektowany jako następca SSL.

Dzisiaj jesteśmy na TLS 1.3, SSL 3.0 jest prawie całkowicie przestarzały, a 2020 TLS 1.0 i 1.1 również będą przestarzałe. Podczas gdy dzisiejszy Internet opiera się prawie wyłącznie na protokole TLS, nadal jest potocznie nazywany SSL.

Q3. Czym są wersje protokołu SSL / TLS?

Wiąże się to z naszym ostatnim pytaniem: SSL i TLS to dwa protokoły, które ułatwiają połączenia HTTPS, i podobnie jak w przypadku każdej innej technologii, protokoły te muszą być okresowo aktualizowane, w miarę odkrywania nowych luk i ataków. Gdy widzisz SSL 3.0 lub TLS 1.2, odnosi się to do konkretnej wersji protokołów SSL / TLS.

Obecnie najlepszą praktyką jest obsługa TLS 1.2 i TLS 1.3, ponieważ wszystkie poprzednie wersje okazały się podatne na niektóre exploity lub inne.

Q4. Co powinienem wiedzieć o Cipher Suites?

Zestaw szyfrów to zbiór algorytmów które będą używane podczas procesu szyfrowania SSL / TLS. Zazwyczaj obejmują one pewien algorytm klucza publicznego, algorytm uwierzytelniania wiadomości i algorytm szyfrowania symetrycznego (blok / strumień).

Zanim będziesz mógł zdecydować, które zestawy szyfrów mają obsługiwać, musisz wiedzieć, do czego są zdolne serwery, co może oznaczać aktualizację biblioteki OpenSSL (lub alternatywnego oprogramowania SSL) do najnowszej iteracji. Mała rada, Korzystanie z kryptografii krzywej eliptycznej jest lepsze niż RSA.

Q5. Czy gwarancje są ważne?

Miło jest mieć dużą gwarancję na każdy produkt, a branża SSL / TLS zapewnia jedne z najbardziej hojnych gwarancji. Płacą w przypadku, gdy urząd certyfikacji, który wydał certyfikat, napotka problem, który kosztuje pieniądze organizacji. Trzeba przyznać, że nie jest to wcale takie powszechne, co jest w pewnym sensie poparciem dla certyfikatów SSL / TLS w ogóle, ale także czegoś, czego nie powinniśmy nie zwracać uwagi.


Patrick Nohe
O autorze: Patrick Nohe

Patrick Nohe rozpoczął karierę jako reporter beatu i felietonista w Miami Herald. Służy również jako Content Manager dla SSL Store ™.

O gościu WHSR

Ten artykuł został napisany przez współpracownika gościa. Poniższe poglądy autora są w całości jego i mogą nie odzwierciedlać poglądów WHSR.