Przewodnik A-to-Z na temat Secure Sockets Layer (SSL) dla firm internetowych

Artykuł napisany przez: Timothy Shim
  • Przewodniki hostingowe
  • Zaktualizowano: Oct 06, 2020

Budowanie związku wymaga zaufania, a to jest o wiele bardziej intensywne w przypadku takiego, w którym obie strony najprawdopodobniej mają i nigdy się nie spotkają. Zaufaj w Internecie ma kluczowe znaczenie, zwłaszcza jeśli ta relacja jest transakcyjna; gdzie zaangażowane są pieniądze. Jeszcze głębszy jest fakt, że Dane to nowe złoto, więc prawie wszystko, co robimy w sieci, musi być bezpieczne.

Aby zbudować ten związek zaufania nie jest łatwe, ale istnieje rosnąca presja na właściciele stron internetowych, aby stworzyć środowisko dzięki czemu ich użytkownicy czują się bezpiecznie. Certyfikaty SSL są jednym z kluczowych sposobów, aby to zrobić, ponieważ zapewniają, że połączenie, które mają do tej witryny jest bezpieczne.

Dla użytkownika końcowego wszystko, co trzeba sprawdzić, to prosta ikona wyświetlana w przeglądarce. Dla właścicieli witryn jest to trochę bardziej skomplikowane, ale nie musi tak być.

Spis treści

Przeczytaj także - Gdzie kupić certyfikaty SSL

Co to jest Secure Sockets Layer (SSL)?

SSL to protokół bezpieczeństwa, który zapewnia użytkownikom, że połączenie między ich komputerem a odwiedzaną witryną jest bezpieczne. Podczas połączenia wiele informacji przechodzi między dwoma komputerami, w tym dane poufne, takie jak numery kart kredytowych, numery identyfikacyjne użytkowników, a nawet hasła.

W normalnych okolicznościach dane te są wysyłane w postaci zwykłego tekstu, co oznacza, że ​​jeśli połączenie miało zostać przechwycone przez stronę trzecią, dane te mogłyby zostać skradzione. Protokół SSL zapobiega temu przez nałożenie algorytmu szyfrowania, który będzie używany podczas połączenia na obu końcach.

Ikona kłódki lub zielona kłódka stała się dla użytkowników wskaźnikiem pewności, że odwiedzana strona internetowa poważnie traktuje ich bezpieczeństwo.

Wskazanie SSL w różnych przeglądarkach internetowych.
Wskazanie SSL w różnych przeglądarkach internetowych.

Dlaczego potrzebujemy certyfikatu SSL?

Pierwotnie najczęściej zadawano pytanie: "Czy potrzebujemy certyfikatu SSL".

Typowa odpowiedź brzmi "to zależy". W końcu dlaczego witryny, które nie muszą obsługiwać wrażliwych danych finansowych, muszą być tak bezpieczne?

Niestety, jak wspomniano wcześniej, epoka cyfrowa oznaczała, że ​​oprócz natychmiastowej gotówki hakerzy zaczęli coraz częściej sięgać po dane osobowe.

Czynnik Google

Rozpoznając to, począwszy od lipca 2018, Google będzie etykietować wszystkie standardowe strony HTTP jako niezabezpieczone. Jest to ważne, ponieważ oznacza to, że witryny uznane za niezabezpieczone przez Google mogą zostać ukarane karą za wyszukiwanie. Witryny internetowe rozwijają się w ruchu, a jeśli nie wyświetlasz się w wynikach Google, nie dostaniesz zbyt dużo ruchu w witrynie.

Wskazówki od profesjonalisty

Jeśli nastąpiła poprawa w rankingu, było to nieistotne. Mimo to posiadanie SSL było nadal sprytnym posunięciem.

Jest to sygnał zaufania i pozwala uniknąć wyświetlania w przeglądarce „niezabezpieczonych” w Twojej witrynie. Chociaż bezpośrednie korzyści w rankingu mogą być w tej chwili niewielkie, możliwe, że będą one w przyszłości bardziej znaczące.

Początkowo wstrzymałem się od przejścia na SSL. Słyszałem wiele horrorów o nurkowaniu w korku ulicznym i nie odzyskiwaniu sił. Na szczęście tak nie było. Ruch uliczny nieznacznie spadł na około tydzień, a potem wrócił.

- Adam Connell, Kreator blogów

Według Blog Google Online Security, na początku 2018, ponad 68% ruchu Chrome na Androida i Windowsa zostało zabezpieczone, a 81 najpopularniejszych witryn 100 w sieci już domyślnie korzysta z HTTPS.

Połączenie HTTPS przez Google Chrome na różnych platformach.
Procent stron ładowanych przez HTTPS w Chrome według platformy. 64% ruchu Chrome na Androida jest teraz chroniony. Ponad 75% ruchu Chrome w ChromeOS i Mac jest teraz chroniony. Wszystkie trzy liczby pokazują znaczny przyrost w porównaniu do roku poprzedniego.

Na razie może nie potrzebujesz jeszcze certyfikatu SSL, ale rozsądnie byłoby rozważyć wdrożenie takiego certyfikatu. Chociaż w tym momencie Google publikuje ostrzeżenia i penalizuje rankingi wyszukiwarek, biorąc pod uwagę obecny stan cyberbezpieczeństwa, najprawdopodobniej na tym się nie skończy.

Jak działa SSL

Mówiąc prostopadle, istnieją trzy główne elementy w tworzeniu połączenia;

  1. Klient - jest to komputer, który żąda informacji.
  2. Serwer - komputer przechowujący informacje żądane przez klienta.
  3. Połączenie - Ścieżka, wzdłuż której dane przemieszczają się między klientem a serwerem.
Jak działa SSL - różnica między HTTP i HTTPS.
Połączenie HTTP vs HTTPS (Źródło: Sucuri)

Aby ustanowić bezpieczne połączenie za pomocą protokołu SSL, istnieje kilka innych terminów, o których musisz wiedzieć.

  • Podpisywanie certyfikatu kupna (CSR) - Tworzy dwa klucze na serwerze, jeden prywatny i jeden publiczny. Dwa klucze działają w tandemie, aby pomóc w ustanowieniu bezpiecznego połączenia.
  • Urząd certyfikacji (CA) - To jest wydawca certyfikatów SSL. Coś w rodzaju firmy ochroniarskiej przechowującej bazę zaufanych witryn internetowych.

Po zażądaniu połączenia serwer utworzy raport CSR. Ta akcja następnie wysyła dane, które obejmują klucz publiczny do urzędu certyfikacji. Następnie CA tworzy strukturę danych, która pasuje do klucza prywatnego.

Najważniejszą częścią certyfikatu SSL jest to, że jest on podpisany cyfrowo przez CA. Ma to kluczowe znaczenie, ponieważ przeglądarki tylko ufają certyfikatom SSL podpisanym przez bardzo dokładną listę urzędów certyfikacji, takich jak VeriSign or DigiCert. Lista urzędów certyfikacji podlega rygorystycznej weryfikacji i musi być zgodna z normami bezpieczeństwa i uwierzytelniania ustawionymi przez przeglądarki.

Rodzaje certyfikatów SSL

Przeglądarki identyfikują certyfikaty SSL (certyfikat EV jest pokazany na tym obrazku) i aktywują ulepszenia zabezpieczeń interfejsu przeglądarki.

Chociaż wszystkie certyfikaty SSL są zaprojektowane do tego samego celu, nie wszystkie są równe. Pomyśl o tym, jak kupujesz telefon. Wszystkie telefony są zasadniczo zaprojektowane do tego samego, ale są różne firmy, które je produkują i produkują wiele różnych modeli w różnych cenach.

Aby uprościć sprawę, rozkładamy typy certyfikatów SSL według poziomu zaufania.

Certyfikat 1 - Domain Validated (DV)

Wśród certyfikatów SSL, certyfikat Validated Domain jest najbardziej podstawowy i po prostu zapewnia użytkownikom, że strona jest bezpieczna. Nie ma zbyt wielu szczegółów poza tym prostym faktem i wiele organizacji zajmujących się bezpieczeństwem nie zaleca korzystania z certyfikatów walidowanych na poziomie domeny w przypadku transakcji handlowych. Certyfikat Validated Domain to smartfon ze światem SSL.

2 - Certyfikat walidowany przez organizację (OV)

Posiadacze certyfikatów organizacyjnych są bardziej rygorystycznie weryfikowani przez urzędy certyfikacji niż posiadacze certyfikatów walidowanych na poziomie domeny. W rzeczywistości właściciele tych certyfikatów są uwierzytelniani przez wyspecjalizowanych pracowników, którzy potwierdzają je w rejestrach prowadzonych przez rząd. Certyfikaty OV zawierają informacje na temat firmy, która je posiada i są często używane na komercyjnych stronach internetowych i reprezentują smartfony średniej klasy w świecie SSL.

Certyfikat 3 - Extended Validation (EV)

Reprezentując najwyższy poziom zaufania do rankingów SSL, certyfikaty EV są wybierane przez najlepszych z najlepszych i wyjątkowo rygorystycznie sprawdzonych. Decydując się na korzystanie z certyfikatów EV, strony te kupują głęboko w zaufaniu konsumentów. To iPhoneX świata SSL.

Fakt, że certyfikacja SSL stała się tak wysoce zalecana dzisiaj, wiele witryn oszustwa również podjął się korzystania z SSL. W końcu niewiele różni się od stron internetowych, z wyjątkiem zielonej kłódki certyfikacyjnej. Jest to kluczowy powód, dla którego renomowane organizacje poszukują certyfikatów SSL, które są lepiej sprawdzane.

Ponieważ każde udane połączenie SSL powoduje wyświetlenie ikony kłódki, użytkownicy prawdopodobnie nie będą wiedzieć, czy właściciel witryny został zweryfikowany czy nie. W rezultacie oszuści (w tym strony phishingowe) zaczęli używać protokołu SSL w celu zwiększenia postrzeganej wiarygodności na swoich stronach internetowych. - Wikipedia.

Skąd wziąć SSL Certyfikaty

Aby uzyskać certyfikat SSL, musisz udać się do urzędu certyfikacji (CA).

Urzędy certyfikacji (CA) są jak prywatne firmy ochroniarskie. To oni wydają certyfikaty cyfrowe, które ułatwiają proces ustanowienia SSL. Należą również do ograniczonej listy firm, które spełniają szczegółowe kryteria, aby utrzymać swoje miejsce na tej liście. Urzędy certyfikacji, które utrzymują swoje miejsce na tej liście, mogą wydawać certyfikaty SSL - więc lista jest wyłączna.

Proces ten nie jest tak prosty, jak się wydaje, ponieważ przed wydaniem certyfikatu urząd certyfikacji musi sprawdzić tożsamość strony internetowej, która się do niego zgłasza. Poziom szczegółowości tych kontroli zależy od tego, jaki typ SSL jest stosowany.

Co wyróżnia urząd certyfikacji (CA)?

Najlepszy urząd certyfikacji to taki, który działa już od pewnego czasu i stosuje najlepsze praktyki w biznesie, nie tylko dla siebie, ale także dla wszystkich partnerów związanych z biznesem. Najlepiej byłoby, gdyby byli oni również w stanie wykazać się doświadczeniem w tej dziedzinie.

Poszukaj urząd certyfikacji, który spełnia obecne standardy, aktywnie uczestniczy w branży zabezpieczeń i ma tyle zasobów, ile to możliwe, które wspierają swoich klientów.

Dobry CA również:

  • Mają dość krótkie czasy sprawdzania poprawności
  • Bądź łatwo dostępny dla swoich klientów
  • Miej wspaniałe wsparcie

Rekomendowane urzędy certyfikacji

NameCheap oferuje pełną gamę certyfikatów SSL, więc bez względu na Twoje wymagania i budżet znajdziesz coś dla siebie. Standardowe certyfikaty walidacji domeny zaczynają się od 8.88 USD rocznie, ale są też certyfikaty premium, które kosztują do 169 USD rocznie (Odwiedź Online).

SSL.com i NameCheap to moje miejsca, w których muszę kupić certyfikaty SSL. Alternatywnie - sprawdź listę najlepszych dostawców certyfikatów SSL.

Darmowy SSL od Let's Encrypt

Dla tych z Was, którzy prowadzą witryny osobiste lub hobbystyczne, lub wszystko, co jest niekomercyjne, istnieje dla was szansa, którą Google zaakceptuje.

Zakodujmy jest zaufanym urzędem certyfikacji, który jest otwarty i można go używać (). Niestety, wydawane są tylko certyfikaty potwierdzone przez domenę lub DNS bez planów rozszerzenia tego na OV lub EV. Oznacza to, że ich certyfikaty mogą potwierdzać tylko własność, a nie firmę holdingową. Jeśli jesteś witryną komercyjną, jest to główna wada.

Let's Encrypt jest wstępnie skonfigurowany w niektórych firmach hostingowych (na przykład - GreenGeeks). Jeśli planujesz korzystać z Let's Encrypt Free SSL, najlepiej hostować na jednym z tych hostów internetowych.

GreenGeeks oferuje darmowy Let's Encrypt SSL i zapewnia łatwy w użyciu instalator na pulpicie użytkownika.

Jak zainstalować certyfikat SSL

Instalacja SSL dla cPanel

Procedury:

  1. W sekcji "Bezpieczeństwo" kliknij "Menedżer SSL / TLS"
  2. W sekcji "Zainstaluj i zarządzaj SSL" wybierz "Zarządzaj witrynami SSL"
  3. Skopiuj kod certyfikatu, w tym - BEGIN CERTYFIKAT-- i --END CERTIFICATE - i wklej go w polu "Certyfikat: (CRT)".
  4. Kliknij "Wypełnij automatycznie według certyfikatu"
  5. Skopiuj i wklej łańcuch pośrednich certyfikatów (pakiet CA) do skrzynki w ramach Pakietu certyfikacji (CABUNDLE)
  6. Kliknij "Zainstaluj certyfikat"

* Uwaga: Jeśli nie używasz dedykowanego adresu IP, musisz wybrać jedną z menu Adres IP.

Instalacja SSL dla Plesk

Procedury:

  1. Przejdź na kartę Strony internetowe i domeny i wybierz domenę, dla której chcesz zainstalować certyfikat.
  2. Kliknij "Zabezpiecz swoje witryny"
  3. W obszarze "Prześlij pliki certyfikatów" kliknij przycisk "Przeglądaj" i wybierz odpowiedni certyfikat oraz pliki pakietu CA.
  4. Kliknij "Wyślij pliki"
  5. Wróć do „Witryny i domeny”, a następnie kliknij „Ustawienia hostingu” dla domeny, na której instalujesz certyfikat.
  6. W sekcji "Bezpieczeństwo" powinno być dostępne rozwijane menu umożliwiające wybranie certyfikatu.
  7. Upewnij się, że pole "Obsługa SSL" jest zaznaczone.
  8. Upewnij się, że kliknąłeś "OK", aby zapisać zmiany

Aby sprawdzić, czy instalacja zakończyła się pomyślnie, możesz użyć tego bezpłatne narzędzie do sprawdzania poprawności SSL.

Zaktualizuj wewnętrzne linki do witryny

Jeśli sprawdzisz wewnętrzne linki do swojej witryny, zauważysz, że wszystkie używają protokołu HTTP. Oczywiście te muszą być aktualizowane na linki HTTPS. Teraz, w kilku krokach, pokażemy Wam sposób, aby zrobić to globalnie za pomocą techniki przekierowania.

Najlepiej jednak zaktualizować wewnętrzne linki z HTTP do HTTPS.

Jeśli masz małą witrynę z zaledwie kilkoma stronami, która nie powinna zająć zbyt wiele czasu. Jednak jeśli masz setki stron, zajmie to całe wieki, więc lepiej byłoby użyć narzędzia do zautomatyzowania tego, aby zaoszczędzić czas. Jeśli Twoja witryna działa w bazie danych, wykonaj wyszukiwanie bazy danych i zastąpienie przy użyciu tego bezpłatnego skryptu.

Zaktualizuj linki kierujące do Twojej witryny

Po przełączeniu się na HTTPS, jeśli masz zewnętrzne witryny z linkami do Ciebie, będą wskazywać wersję HTTP. Konfigurujemy przekierowanie w kilku krokach, ale jeśli istnieją zewnętrzne witryny, w których kontrolujesz swój profil, możesz zaktualizować adres URL tak, aby wskazywał wersję HTTPS.

Dobrym przykładem są profile w mediach społecznościowych i wszelkie wykazy katalogów, w których masz stronę profilu, nad którą masz kontrolę.

Skonfiguruj przekierowanie 301

W porządku, jeśli chodzi o technikę, a jeśli nie masz pewności co do tego typu rzeczy, to nadszedł czas, aby uzyskać fachową pomoc. Jest to całkiem proste i wcale nie zajmuje dużo czasu, ale musisz tylko wiedzieć, co robisz.

Dzięki przekierowaniu 301, co robisz, informuje Google, że dana strona została trwale przeniesiona na inny adres. W takim przypadku poinformujesz Google, że wszystkie strony HTTP w Twojej witrynie są teraz HTTPS, więc przekierowuje Google na właściwe strony.

Dla większości osób korzystających z webhostingu Linuxa będzie to robione przez plik .htaccess (zobacz poniższy kod - zgodnie z zaleceniem Apache).

 NazwaSerwera www.example.com Przekierowanie "/" "https://www.example.com/"

Zaktualizuj swój CDN SSL

Jest to faktycznie opcjonalny krok, ponieważ nie każdy korzysta z CDN. CDN oznacza Content Delivery Network i jest to rozproszony geograficznie zestaw serwerów, które przechowują kopie plików internetowych i prezentują je odwiedzającym z geograficznie zamkniętego serwera w celu zwiększenia prędkości, jaką one ładują.

Oprócz poprawy wydajności, CDN może również zapewnić większe bezpieczeństwo, ponieważ jego serwery mogą monitorować i identyfikować złośliwy ruch i uniemożliwiać dotarcie do Twojej witryny.

Przykład popularnej sieci CDN Cloudflare.

Tak czy inaczej, po prostu zapytaj swoją firmę hostingową, czy używasz CDN. Jeśli nie jesteś w porządku, przejdź do następnego kroku.

Jeśli tak, musisz skontaktować się z CDN i poprosić o instrukcje aktualizacji SSL, aby system CDN mógł je rozpoznać.

Typowe błędy certyfikatu SSL i szybkie rozwiązania

1. Certyfikat SSL nie jest zaufany

Prawie wszystkie przeglądarki w powszechnym użyciu, takie jak Chrom, Microsoft krawędzi, Mozilla Firefox, Apple Safari mają wbudowane repozytoria używane do rozpoznawania zaufanych certyfikatów SSL.

Jeśli otrzymujesz komunikat z informacją, że witryna ma certyfikat, który nie jest zaufany, zachowaj ostrożność, ponieważ może to oznaczać, że obecny certyfikat nie został podpisany przez zaufany urząd certyfikacji.

2. Brak pośredniego certyfikatu SSL

Ten błąd jest często spowodowany nieprawidłowo zainstalowanym certyfikatem SSL. Błędy podczas procedury instalacji mogą prowadzić do niektórych błędów połączenia SSL. Powinno być "łańcuch zaufania"oznacza, że ​​wszystkie niezbędne komponenty w procesie podpisywania powinny być nieprzerwane.

Jeśli jesteś właścicielem witryny i napotykasz ten błąd, spróbuj odnieść się do sekcji, którą omówiłem na stronie.Instalacja SSL".

3. Problemy z certyfikatami z podpisem własnym

Aby obejść problemy z SSL, niektórzy właściciele witryn tworzą własne certyfikaty SSL. Jest to możliwe, ale nie ma większego znaczenia, ponieważ nie zostanie podpisane przez zaufany urząd certyfikacji. Jedyny przypadek, w którym najprawdopodobniej używane są samopodpisane certyfikaty, znajduje się w środowiskach testowych lub programistycznych. Witryny z samopodpisanymi certyfikatami nie będą wyświetlane jako bezpieczne.

4. Błędy dotyczące zawartości mieszanej

To jest problem z konfiguracją. Aby certyfikaty SSL działały, każda strona i plik w Twojej witrynie powinien być połączony z HTTPS. Obejmuje to nie tylko strony, ale także obrazy i dokumenty. Jeśli pojedyncza strona nie jest połączona z HTTPS, witryna napotka błąd o mieszanej zawartości i powróci do protokołu HTTP.

Aby uniknąć tych problemów, upewnij się, że wszystkie linki są aktualizowane za pomocą łączy HTTPS.

Wnioski

Pod koniec dnia certyfikaty SSL są korzystne dla wszystkich. Tak, może to być dla nas wymuszone przez duże firmy, takie jak Google, ale naprawdę jest bardzo mało wad.

Za niewielką cenę możesz zapewnić klientom bezpieczeństwo swoich danych i prywatności. Z drugiej strony klienci mogą odzyskać wiarę w technologię cyfrową, która jest coraz bardziej nękana przez hakerów, spamerów i innych cyberprzestępców.

Handel elektroniczny jest jednym z kluczowych filarów gospodarki cyfrowej i pomógł zwiększyć handel transgraniczny teraz bardziej niż kiedykolwiek wcześniej. Dbając o bezpieczeństwo danych, jako właściciele witryn możesz osobiście przyczynić się do bezpieczeństwa w Internecie.

Na koniec, wybierając swój SSL, staraj się nie zwracać uwagi na cenę i staraj się zawsze powrócić do jednego prostego słowa, gdy czujesz się zagubiony lub zdezorientowany; Zaufanie.


Zarabianie na ujawnieniu

WHSR otrzymuje opłaty za polecenie od firm wymienionych na tej stronie. Nasze opinie oparte są na prawdziwym doświadczeniu i rzeczywistych danych serwera. Przeczytaj naszą stronę z zasadami oceny aby zrozumieć, jak działa nasz system oceny i oceny.

O Timothy Shim

Timothy Shim jest pisarzem, redaktorem i tech geekiem. Rozpoczynając karierę w dziedzinie technologii informatycznych, szybko znalazł drogę do druku i od tego czasu współpracował z międzynarodowymi, regionalnymi i krajowymi tytułami medialnymi, takimi jak ComputerWorld, PC.com, Business Today i The Asian Banker. Jego wiedza specjalistyczna dotyczy technologii zarówno z punktu widzenia konsumenta, jak i przedsiębiorstwa.