Przewodnik A-to-Z na temat Secure Sockets Layer (SSL) dla firm internetowych

Aktualizacja: 16 marca 2021 r. / Artykuł: Timothy Shim

Budowanie związku wymaga zaufania, a to jest o wiele bardziej intensywne w przypadku takiego, w którym obie strony najprawdopodobniej mają i nigdy się nie spotkają.

Zaufanie w Internecie ma ogromne znaczenie, zwłaszcza jeśli ta relacja ma charakter transakcyjny; gdzie chodzi o pieniądze. Jeszcze głębszy jest fakt, że Dane to nowe złoto, więc prawie wszystko, co robimy w sieci, musi być bezpieczne.

Zbudowanie tej relacji opartej na zaufaniu nie jest łatwe, ale właściciele witryn coraz częściej naciskają na tworzenie środowiska, które pozwala użytkownikom czuć się bezpiecznie. Certyfikaty SSL są jednym z kluczowych sposobów, aby to zrobić, ponieważ zapewniają użytkowników, że połączenie, które mają z tą witryną, jest bezpieczne.

Dla użytkownika końcowego wszystko, co trzeba sprawdzić, to prosta ikona wyświetlana w przeglądarce. Dla właścicieli witryn jest to trochę bardziej skomplikowane, ale nie musi tak być.

Spis treści


Co to jest Secure Sockets Layer (SSL)?

SSL to protokół bezpieczeństwa, który zapewnia użytkownikom, że połączenie między ich komputerem a odwiedzaną witryną jest bezpieczne. Podczas połączenia wiele informacji przechodzi między dwoma komputerami, w tym dane poufne, takie jak numery kart kredytowych, numery identyfikacyjne użytkowników, a nawet hasła.

W normalnych okolicznościach dane te są wysyłane w postaci zwykłego tekstu, co oznacza, że ​​jeśli połączenie miało zostać przechwycone przez stronę trzecią, dane te mogłyby zostać skradzione. Protokół SSL zapobiega temu przez nałożenie algorytmu szyfrowania, który będzie używany podczas połączenia na obu końcach.

Ikona kłódki lub zielona kłódka stała się dla użytkowników wskaźnikiem pewności, że odwiedzana strona internetowa poważnie traktuje ich bezpieczeństwo.

Przeczytaj także:

Wskazanie SSL w różnych przeglądarkach internetowych.
Wskazanie SSL w różnych przeglądarkach internetowych.

Dlaczego potrzebujemy certyfikatu SSL?

Początkowo częstym pytaniem było „Czy potrzebujemy certyfikatu SSL”.

Typowa odpowiedź brzmi "to zależy". W końcu dlaczego witryny, które nie muszą obsługiwać wrażliwych danych finansowych, muszą być tak bezpieczne?

Niestety, jak wspomniano wcześniej, epoka cyfrowa oznaczała, że ​​oprócz natychmiastowej gotówki hakerzy zaczęli coraz częściej sięgać po dane osobowe.

Czynnik Google

Począwszy od lipca 2018 r. Wraz z wydaniem Chrome 68, Chrome będzie oznaczać wszystkie witryny HTTP jako „niezabezpieczone”. Zmiana zasad Google wywarła ogromny wpływ na Internet - ponad 75% ruchu Chrome jest teraz chronione. Jeśli nie przestawiłeś się na HTTPS i chcesz dowiedzieć się więcej, ten artykuł jest dla Ciebie.
Począwszy od lipca 2018 r. Wraz z wydaniem Chrome 68, Chrome będzie oznaczać wszystkie witryny HTTP jako „niezabezpieczone”. Zmiana zasad Google wywarła ogromny wpływ na Internet - ponad 75 procent ruchu Chrome jest teraz chronione.

Rozpoznając to, począwszy od lipca 2018, Google będzie etykietować wszystkie standardowe strony HTTP jako niezabezpieczone. Jest to ważne, ponieważ oznacza to, że witryny uznane za niezabezpieczone przez Google mogą zostać ukarane karą za wyszukiwanie. Witryny internetowe rozwijają się w ruchu, a jeśli nie wyświetlasz się w wynikach Google, nie dostaniesz zbyt dużo ruchu w witrynie.

Wskazówki od profesjonalisty

Jeśli nastąpiła poprawa w rankingu, było to nieistotne. Mimo to posiadanie SSL było nadal sprytnym posunięciem.

Jest to sygnał zaufania, który pozwala uniknąć wyświetlania komunikatu „niezabezpieczone” w Twojej witrynie. I chociaż bezpośrednie korzyści w rankingu mogą być w tej chwili niewielkie, możliwe, że będą bardziej znaczące w przyszłości.

Początkowo wstrzymałem się od przejścia na SSL. Słyszałem wiele horrorów o nurkowaniu w korku ulicznym i nie odzyskiwaniu sił. Na szczęście tak nie było. Ruch uliczny nieznacznie spadł na około tydzień, a potem wrócił.

- Adam Connell, Kreator blogów

Według Blog Google Online Security, na początku 2018, ponad 68% ruchu Chrome na Androida i Windowsa zostało zabezpieczone, a 81 najpopularniejszych witryn 100 w sieci już domyślnie korzysta z HTTPS.

Połączenie HTTPS przez Google Chrome na różnych platformach.
Procent stron ładowanych przez HTTPS w Chrome według platformy. 64% ruchu Chrome na Androida jest teraz chroniony. Ponad 75% ruchu Chrome w ChromeOS i Mac jest teraz chroniony. Wszystkie trzy liczby pokazują znaczny przyrost w porównaniu do roku poprzedniego.

Na razie może nie potrzebujesz jeszcze certyfikatu SSL, ale rozsądnie byłoby rozważyć wdrożenie takiego certyfikatu. Chociaż w tym momencie Google publikuje ostrzeżenia i penalizuje rankingi wyszukiwarek, biorąc pod uwagę obecny stan cyberbezpieczeństwa, najprawdopodobniej na tym się nie skończy.

Przeczytaj także: Przewodnik SEO dla początkujących

Jak działa SSL?

Mówiąc prostopadle, istnieją trzy główne elementy w tworzeniu połączenia;

  1. Klient - jest to komputer, który żąda informacji.
  2. Serwer - komputer przechowujący informacje żądane przez klienta.
  3. Połączenie - Ścieżka, wzdłuż której dane przemieszczają się między klientem a serwerem.
Jak działa SSL - różnica między HTTP i HTTPS.
Połączenie HTTP vs HTTPS (Źródło: Sucuri)

Aby ustanowić bezpieczne połączenie za pomocą protokołu SSL, istnieje kilka innych terminów, o których musisz wiedzieć.

  • Podpisywanie certyfikatu kupna (CSR) - Tworzy dwa klucze na serwerze, jeden prywatny i jeden publiczny. Dwa klucze działają w tandemie, aby pomóc w ustanowieniu bezpiecznego połączenia.
  • Urząd certyfikacji (CA) - To jest wydawca certyfikatów SSL. Coś w rodzaju firmy ochroniarskiej przechowującej bazę zaufanych witryn internetowych.

Po zażądaniu połączenia serwer utworzy raport CSR. Ta akcja następnie wysyła dane, które obejmują klucz publiczny do urzędu certyfikacji. Następnie CA tworzy strukturę danych, która pasuje do klucza prywatnego.

Najważniejszą częścią certyfikatu SSL jest to, że jest on podpisany cyfrowo przez CA. Ma to kluczowe znaczenie, ponieważ przeglądarki tylko ufają certyfikatom SSL podpisanym przez bardzo dokładną listę urzędów certyfikacji, takich jak VeriSign or DigiCert. Lista urzędów certyfikacji jest rygorystycznie sprawdzana i musi być zgodna ze standardami bezpieczeństwa i uwierzytelniania określonymi przez przeglądarki.

Rodzaje certyfikatów SSL

Przeglądarki identyfikują certyfikaty SSL (certyfikat EV jest pokazany na tym obrazku) i aktywują ulepszenia zabezpieczeń interfejsu przeglądarki.

Chociaż wszystkie certyfikaty SSL są zaprojektowane do tego samego celu, nie wszystkie są równe. Pomyśl o tym, jak kupujesz telefon. Wszystkie telefony są zasadniczo zaprojektowane do tego samego, ale są różne firmy, które je produkują i produkują wiele różnych modeli w różnych cenach.

Aby uprościć sprawę, rozkładamy typy certyfikatów SSL według poziomu zaufania.

1. Certyfikat zweryfikowany w domenie (DV) 

Wśród certyfikatów SSL, certyfikat Validated Domain jest najbardziej podstawowy i po prostu zapewnia użytkownikom, że strona jest bezpieczna. Nie ma zbyt wielu szczegółów poza tym prostym faktem i wiele organizacji zajmujących się bezpieczeństwem nie zaleca korzystania z certyfikatów walidowanych na poziomie domeny w przypadku transakcji handlowych. Certyfikat Validated Domain to smartfon ze światem SSL.

2. Certyfikat zatwierdzony przez organizację (OV)

Posiadacze certyfikatów organizacyjnych są bardziej rygorystycznie weryfikowani przez urzędy certyfikacji niż posiadacze certyfikatów walidowanych na poziomie domeny. W rzeczywistości właściciele tych certyfikatów są uwierzytelniani przez wyspecjalizowanych pracowników, którzy potwierdzają je w rejestrach prowadzonych przez rząd. Certyfikaty OV zawierają informacje na temat firmy, która je posiada i są często używane na komercyjnych stronach internetowych i reprezentują smartfony średniej klasy w świecie SSL.

3. Certyfikat Extended Validation (EV)

Reprezentując najwyższy poziom zaufania do rankingów SSL, certyfikaty EV są wybierane przez najlepszych z najlepszych i wyjątkowo rygorystycznie sprawdzonych. Decydując się na korzystanie z certyfikatów EV, strony te kupują głęboko w zaufaniu konsumentów. To iPhoneX świata SSL.

Fakt, że certyfikacja SSL stała się tak wysoce zalecana dzisiaj, wiele witryn oszustwa również podjął się korzystania z SSL. W końcu niewiele różni się od stron internetowych, z wyjątkiem zielonej kłódki certyfikacyjnej. Jest to kluczowy powód, dla którego renomowane organizacje poszukują certyfikatów SSL, które są lepiej sprawdzane.

Ponieważ każde udane połączenie SSL powoduje wyświetlenie ikony kłódki, użytkownicy prawdopodobnie nie będą wiedzieć, czy właściciel witryny został zweryfikowany czy nie. W rezultacie oszuści (w tym strony phishingowe) zaczęli używać protokołu SSL w celu zwiększenia postrzeganej wiarygodności na swoich stronach internetowych. - Wikipedia.

Skąd wziąć SSL Certyfikaty

Aby uzyskać certyfikat SSL, musisz udać się do urzędu certyfikacji (CA).

Urzędy certyfikacji (CA) są jak prywatne firmy ochroniarskie. To oni wydają certyfikaty cyfrowe, które ułatwiają proces ustanowienia SSL. Należą również do ograniczonej listy firm, które spełniają szczegółowe kryteria, aby utrzymać swoje miejsce na tej liście. Urzędy certyfikacji, które utrzymują swoje miejsce na tej liście, mogą wydawać certyfikaty SSL - więc lista jest wyłączna.

Proces ten nie jest tak prosty, jak się wydaje, ponieważ przed wydaniem certyfikatu urząd certyfikacji musi sprawdzić tożsamość strony internetowej, która się do niego zgłasza. Poziom szczegółowości tych kontroli zależy od tego, jaki typ SSL jest stosowany.

Co wyróżnia urząd certyfikacji (CA)?

Najlepszy urząd certyfikacji to taki, który działa już od pewnego czasu i stosuje najlepsze praktyki w biznesie, nie tylko dla siebie, ale także dla wszystkich partnerów związanych z biznesem. Najlepiej byłoby, gdyby byli oni również w stanie wykazać się doświadczeniem w tej dziedzinie.

Poszukaj urząd certyfikacji, który spełnia obecne standardy, aktywnie uczestniczy w branży zabezpieczeń i ma tyle zasobów, ile to możliwe, które wspierają swoich klientów.

Dobry CA również:

  • Mają dość krótkie czasy sprawdzania poprawności
  • Bądź łatwo dostępny dla swoich klientów
  • Miej wspaniałe wsparcie

Rekomendowane urzędy certyfikacji

NameCheap oferuje pełną gamę certyfikatów SSL, więc bez względu na Twoje wymagania i budżet znajdziesz coś dla siebie. Standardowe certyfikaty walidacji domeny zaczynają się od 8.88 USD rocznie, ale są też certyfikaty premium, które kosztują do 169 USD rocznie (Odwiedź Online).

SSL.com dzięki NameCheap to moje miejsca, w których muszę kupić certyfikaty SSL. Alternatywnie - sprawdź tę listę najlepszych dostawców certyfikatów SSL.

Darmowy SSL od Let's Encrypt

Dla tych z Was, którzy prowadzą witryny osobiste lub hobbystyczne, lub wszystko, co jest niekomercyjne, istnieje dla was szansa, którą Google zaakceptuje.

Zakodujmy jest zaufanym urzędem certyfikacji, który jest otwarty i można go używać (). Niestety, wydawane są tylko certyfikaty potwierdzone przez domenę lub DNS bez planów rozszerzenia tego na OV lub EV. Oznacza to, że ich certyfikaty mogą potwierdzać tylko własność, a nie firmę holdingową. Jeśli jesteś witryną komercyjną, jest to główna wada.

Let's Encrypt jest wstępnie skonfigurowany w niektórych firmach hostingowych (na przykład - GreenGeeks). Jeśli planujesz korzystać z Let's Encrypt Free SSL, najlepiej hostować u jednego z tych hostów internetowych.

Przeczytaj także:

GreenGeeks oferuje darmowy Let's Encrypt SSL i zapewnia łatwy w użyciu instalator na pulpicie użytkownika.

Jak zainstalować certyfikat SSL?

Instalacja SSL dla cPanel

Procedury:

  1. W sekcji "Bezpieczeństwo" kliknij "Menedżer SSL / TLS"
  2. W sekcji "Zainstaluj i zarządzaj SSL" wybierz "Zarządzaj witrynami SSL"
  3. Skopiuj kod certyfikatu zawierający —–BEGIN CERTIFICATE—– i —–END CERTIFICATE—– i wklej go w polu „Certyfikat: (CRT)”.
  4. Kliknij "Wypełnij automatycznie według certyfikatu"
  5. Skopiuj i wklej łańcuch pośrednich certyfikatów (pakiet CA) do skrzynki w ramach Pakietu certyfikacji (CABUNDLE)
  6. Kliknij "Zainstaluj certyfikat"

* Uwaga: Jeśli nie używasz dedykowanego adresu IP, musisz wybrać jedną z menu Adres IP.

Instalacja SSL dla Plesk

Procedury:

  1. Przejdź na kartę Strony internetowe i domeny i wybierz domenę, dla której chcesz zainstalować certyfikat.
  2. Kliknij "Zabezpiecz swoje witryny"
  3. W obszarze "Prześlij pliki certyfikatów" kliknij przycisk "Przeglądaj" i wybierz odpowiedni certyfikat oraz pliki pakietu CA.
  4. Kliknij "Wyślij pliki"
  5. Wróć do „Witryny i domeny”, a następnie kliknij „Ustawienia hostingu” dla domeny, na której instalujesz certyfikat.
  6. W sekcji "Bezpieczeństwo" powinno być dostępne rozwijane menu umożliwiające wybranie certyfikatu.
  7. Upewnij się, że pole "Obsługa SSL" jest zaznaczone.
  8. Upewnij się, że kliknąłeś "OK", aby zapisać zmiany

Aby sprawdzić, czy instalacja zakończyła się pomyślnie, możesz użyć tego bezpłatne narzędzie do sprawdzania poprawności SSL.

Po przejściu na HTTPS

Zaktualizuj linki wewnętrzne swojej witryny

Jeśli sprawdzisz wewnętrzne linki swojej witryny, zauważysz, że wszystkie używają protokołu HTTP. Oczywiście należy je zaktualizować do łączy HTTPS. Teraz w kilku krokach pokażemy Ci, jak zrobić to globalnie, używając techniki przekierowania.

Najlepiej jednak zaktualizować wewnętrzne linki z HTTP do HTTPS.

Jeśli masz małą witrynę z zaledwie kilkoma stronami, która nie powinna zająć zbyt wiele czasu. Jednak jeśli masz setki stron, zajmie to całe wieki, więc lepiej byłoby użyć narzędzia do zautomatyzowania tego, aby zaoszczędzić czas. Jeśli Twoja witryna działa w bazie danych, wykonaj wyszukiwanie bazy danych i zastąpienie przy użyciu tego bezpłatnego skryptu.

Zaktualizuj linki kierujące do Twojej witryny

Po przełączeniu się na HTTPS, jeśli masz zewnętrzne witryny z linkami do Ciebie, będą wskazywać wersję HTTP. Konfigurujemy przekierowanie w kilku krokach, ale jeśli istnieją zewnętrzne witryny, w których kontrolujesz swój profil, możesz zaktualizować adres URL tak, aby wskazywał wersję HTTPS.

Dobrym przykładem są profile w mediach społecznościowych i wszelkie wykazy katalogów, w których masz stronę profilu, nad którą masz kontrolę.

Skonfiguruj przekierowanie 301

W porządku, jeśli chodzi o technikę, a jeśli nie masz pewności co do tego typu rzeczy, to nadszedł czas, aby uzyskać fachową pomoc. Jest to całkiem proste i wcale nie zajmuje dużo czasu, ale musisz tylko wiedzieć, co robisz.

W przypadku przekierowania 301 to, co robisz, to informowanie Google, że dana strona została trwale przeniesiona pod inny adres. W takim przypadku powiesz Google, że wszystkie strony HTTP w Twojej witrynie są teraz HTTPS, więc przekierowuje Google do właściwych stron.

W przypadku większości osób korzystających z hostingu internetowego Linuksa zostanie to zrobione za pośrednictwem pliku .htaccess (patrz kod poniżej - zgodnie z zaleceniem Apache).

 NazwaSerwera www.example.com Przekierowanie "/" "https://www.example.com/"

Przeczytaj także: Podstawy .htaccess - przypadki użycia i przykłady

Zaktualizuj swój CDN SSL

Jest to faktycznie opcjonalny krok, ponieważ nie każdy korzysta z CDN. CDN oznacza Content Delivery Network i jest to rozproszony geograficznie zestaw serwerów, które przechowują kopie plików internetowych i prezentują je odwiedzającym z geograficznie zamkniętego serwera w celu zwiększenia prędkości, jaką one ładują.

Oprócz poprawy wydajności, CDN może również zapewnić większe bezpieczeństwo, ponieważ jego serwery mogą monitorować i identyfikować złośliwy ruch i uniemożliwiać dotarcie do Twojej witryny.

Przykład popularnej sieci CDN Cloudflare.

Tak czy inaczej, po prostu zapytaj swoją firmę hostingową, czy używasz CDN. Jeśli nie jesteś w porządku, przejdź do następnego kroku.

Jeśli tak, musisz skontaktować się z CDN i poprosić o instrukcje aktualizacji SSL, aby system CDN mógł je rozpoznać.

Typowe błędy certyfikatu SSL i szybkie rozwiązania

1. Certyfikat SSL nie jest zaufany

Błąd niezaufany SSL

Prawie wszystkie przeglądarki w powszechnym użyciu, takie jak Chrom, Microsoft krawędzi, Mozilla Firefox, Apple Safari mają wbudowane repozytoria używane do rozpoznawania zaufanych certyfikatów SSL.

Jeśli otrzymujesz komunikat z informacją, że witryna ma certyfikat, który nie jest zaufany, zachowaj ostrożność, ponieważ może to oznaczać, że obecny certyfikat nie został podpisany przez zaufany urząd certyfikacji.

2. Brak pośredniego certyfikatu SSL

Ten błąd jest często spowodowany nieprawidłowo zainstalowanym certyfikatem SSL. Błędy podczas procedury instalacji mogą prowadzić do niektórych błędów połączenia SSL. Powinno być "łańcuch zaufania"oznacza, że ​​wszystkie niezbędne komponenty w procesie podpisywania powinny być nieprzerwane.

Jeśli jesteś właścicielem witryny i napotykasz ten błąd, spróbuj odnieść się do sekcji, którą omówiłem na stronie.Instalacja SSL".

3. Problemy z certyfikatami z podpisem własnym

Aby obejść problemy z SSL, niektórzy właściciele witryn tworzą własne certyfikaty SSL. Jest to możliwe, ale nie ma większego znaczenia, ponieważ nie zostanie podpisane przez zaufany urząd certyfikacji. Jedyny przypadek, w którym najprawdopodobniej używane są samopodpisane certyfikaty, znajduje się w środowiskach testowych lub programistycznych. Witryny z samopodpisanymi certyfikatami nie będą wyświetlane jako bezpieczne.

4. Błędy dotyczące zawartości mieszanej

Błędy mieszanej zawartości SSL

To jest problem z konfiguracją. Aby certyfikaty SSL działały, każda strona i plik w Twojej witrynie powinien być połączony z HTTPS. Obejmuje to nie tylko strony, ale także obrazy i dokumenty. Jeśli pojedyncza strona nie jest połączona z HTTPS, witryna napotka błąd o mieszanej zawartości i powróci do protokołu HTTP.

Aby uniknąć tych problemów, upewnij się, że wszystkie linki są aktualizowane za pomocą łączy HTTPS.

Owijanie w górę

Pod koniec dnia certyfikaty SSL są korzystne dla wszystkich. Tak, może to być dla nas wymuszone przez duże firmy, takie jak Google, ale naprawdę jest bardzo mało wad.

Za niewielką cenę możesz zapewnić klientom bezpieczeństwo swoich danych i prywatności. Z drugiej strony klienci mogą odzyskać wiarę w technologię cyfrową, która jest coraz bardziej nękana przez hakerów, spamerów i innych cyberprzestępców.

Handel elektroniczny jest jednym z kluczowych filarów gospodarki cyfrowej i pomógł zwiększyć handel transgraniczny teraz bardziej niż kiedykolwiek wcześniej. Dbając o bezpieczeństwo danych, jako właściciele witryn możesz osobiście przyczynić się do bezpieczeństwa w Internecie.

Na koniec, wybierając swój SSL, staraj się nie zwracać uwagi na cenę i staraj się zawsze powrócić do jednego prostego słowa, gdy czujesz się zagubiony lub zdezorientowany; Zaufanie.

Kiedy jesteś gotowy: Najlepsze strony internetowe do kupowania tanich certyfikatów SSL

O Timothy Shim

Timothy Shim jest pisarzem, redaktorem i tech geekiem. Rozpoczynając karierę w dziedzinie technologii informatycznych, szybko znalazł drogę do druku i od tego czasu współpracował z międzynarodowymi, regionalnymi i krajowymi tytułami medialnymi, takimi jak ComputerWorld, PC.com, Business Today i The Asian Banker. Jego wiedza specjalistyczna dotyczy technologii zarówno z punktu widzenia konsumenta, jak i przedsiębiorstwa.