Руководство покупателя сертификата SSL / TLS

Никому не нравится, когда им говорят, что они должны что-то делать. Это просто человеческая природа - бунтовать против этого, но иногда лучшее, что вы можете сделать, это прикусить губу и пойти с этим. Так обстоит дело с мандат HTTPS это было передано Google и прошлым летом другого производителя браузера.

В настоящее время любой веб-сайт, который по-прежнему обслуживается по протоколу HTTP, помечен как «небезопасный», эпитет, который угрожает трафику и конверсиям. Это означает, что теперь каждому веб-сайту требуется сертификат SSL / TLS, который облегчает переход на HTTPS и помогает обеспечить безопасность связи между вашим веб-сайтом и его посетителями.

В этом руководстве будут рассмотрены вопросы, которые необходимо учитывать при покупке сертификата SSL / TLS. Мы начнем с краткого обзора технологии, а затем углубимся в особенности, которые необходимо будет отсортировать при выборе правильного сертификата для вас и вашего веб-сайта.

SSL / TLS 101: обзор

Для безопасного общения в Интернете сервер, на котором размещается веб-сайт, и клиент, пытающийся подключиться к нему, должны использовать шифрование. Шифрование - это математический процесс, который делает данные нечитаемыми никому, кроме уполномоченного лица, Это выполняется с использованием ключей шифрования, и для безопасного соединения клиента и сервера оба должны иметь копию одного и того же ключа.

Это создает проблему, однако, как вы безопасно обмениваетесь этими ключами? Если злоумышленник может скомпрометировать ключ шифрования, он делает это шифрование бесполезным, поскольку злоумышленник может видеть все данные, которыми обмениваются, как если бы они были в незашифрованном виде.

SSL / TLS - это решение проблемы обмена ключами.

SSL / TLS выполняет две вещи:

1. Он проверяет подлинность сервера, чтобы клиенты знали, к какому объекту они подключаются
2. Это облегчает обмен ключом сеанса, который может использоваться для безопасного обмена данными.

Это может показаться немного абстрактным, поэтому давайте начнем.

Каждый раз, когда клиент пытается соединиться с веб-сайтом через HTTPS - это безопасная версия протокола передачи гипертекста (HTTP), который Интернет использовался на протяжении десятилетий - происходит ряд взаимодействий между клиентом и сервером, на котором размещен сайт.

В шифровании SSL / TLS используются два типа ключей шифрования. Есть симметричные сеансовые ключи, которые мы только что упомянули. Они могут как шифровать, так и дешифровать и используются для связи во время самого соединения. Другие ключи - это пара открытых / закрытых ключей. Эта форма шифрования называется криптографией с открытым ключом. Открытый ключ может быть зашифрован, закрытый ключ расшифрован.

Вначале клиент и сервер выберут взаимно поддерживаемый набор шифров. Набор шифров это набор алгоритмов, который управляет шифрованием, которое будет использоваться во время соединения.

После согласования набора шифров сервер отправляет свой SSL-сертификат и открытый ключ. Посредством серии проверок клиент аутентифицирует сервер, проверяя его подлинность и подтверждая, что он является законным владельцем соответствующего открытого ключа.

После этой проверки клиент генерирует сеансовый ключ (или секрет, который можно использовать для его получения) и использует открытый ключ сервера для его шифрования перед отправкой на сервер. Используя свой закрытый ключ, сервер расшифровывает сеансовый ключ, и начинается зашифрованное соединение (это наиболее распространенная форма обмена ключами, выполняемая с помощью RSA - Обмен ключами Диффи-Хеллмана немного отличается).

Если это все еще кажется немного сложным, давайте упростим его еще больше.

• Для безопасного общения обе стороны должны совместно использовать симметричные сеансовые ключи
• SSL / TLS облегчает обмен этими сеансовыми ключами с помощью криптографии с открытым ключом
• После проверки подлинности сервера сеансовый ключ или секрет шифруется с помощью открытого ключа.
• Сервер использует свой закрытый ключ для расшифровки сеансового ключа и начала зашифрованной связи

Теперь давайте рассмотрим то, что вы, как владелец сайта, должны учитывать при покупке или приобретении сертификата SSL / TLS.

Что следует учитывать при покупке сертификата SSL / TLS?

Когда вы купить сертификат SSL / TLS вы принимаете решение по двум основным вопросам:

1. Какую поверхность нужно покрыть?
2. Какую личность вы хотите утверждать?

Когда вы сможете ответить на эти вопросы, выбор сертификата зависит от бренда и стоимости, и вы уже знаете тип нужного вам продукта.

Теперь, прежде чем мы продолжим, давайте установим один очень важный факт: независимо от того, как вы ответите на эти два вопроса, все сертификаты SSL / TLS обеспечивают одинаковую стойкость шифрования.

Степень шифрования определяется комбинацией поддерживаемых наборов шифров и вычислительной мощности клиента и сервера на любом конце соединения. Самый дорогой SSL / TLS-сертификат на рынке и совершенно бесплатный будет обеспечивать такой же уровень стандартного шифрования.

Что зависит от сертификатов, так это уровень идентичности и их функциональность.

Давайте начнем с того, какие поверхности нужно покрыть.

1 - Функциональность сертификата SSL / TLS

Современные веб-сайты развились намного дальше, чем в первые дни Интернета, когда вы все еще ставили счетчики внизу страницы для отслеживания трафика. В настоящее время организации имеют сложную веб-инфраструктуру, как внутреннюю, так и внешнюю. Мы говорим о нескольких доменах, поддоменах, почтовых серверах и т. Д.

К счастью, сертификаты SSL / TLS развивались вместе с современными веб-сайтами, чтобы помочь лучше защитить их. Существует тип сертификата для каждого варианта использования, но вы обязаны знать, каким будет ваш конкретный вариант использования.

Давайте посмотрим на четыре различных типа сертификатов SSL / TLS и их функциональность:

• однодоменный - Как видно из названия, этот сертификат SSL / TLS предназначен для одного домена (как WWW, так и не WWW-версий).
• Multi-Domain - Этот тип сертификата SSL / TLS предназначен для организаций с несколькими веб-сайтами, которые могут одновременно защищать до разных доменов 250.
• Джокер - Безопасность для одного домена, а также всех сопутствующих поддоменов первого уровня - столько, сколько у вас есть (неограниченно).
• Многодоменный подстановочный знак - Сертификат SSL / TLS с полной функциональностью может шифровать до 250 разных доменов и всех сопутствующих поддоменов одновременно.

Несколько слов о сертификатах Wildcard. Подстановочные знаки исключительно универсальны, они могут шифровать неограниченное количество поддоменов и даже способны защищать новые поддомены, которые добавляются после выдачи. При создании подстановочного знака звездочка (иногда называемая подстановочным знаком) используется на уровне поддомена, который вы хотите зашифровать. Это означает, что любой субдомен на этом уровне URL проверенного домена корректно связан с парой открытого / закрытого ключа сертификата.

2 - уровень проверки сертификатов SSL / TLS

После того, как вы выясните, какие поверхности вам нужно покрыть, пришло время определить, какую личность вы хотите утверждать. Существует три уровня проверки: они относятся к степени проверки Центром сертификации, который выдает ваш сертификат SSL / TLS, который поможет вам и вашему веб-сайту пройти через него.

Самый базовый уровень проверки называется Проверка домена, Требуется всего несколько минут, чтобы завершить эту проверку и выдать сертификат, но он предоставляет наименьшую идентификационную информацию - аутентификацию только на сервере. Сертификаты DV SSL / TLS используются чаще всего, но из-за отсутствия идентичности веб-сайты, использующие их, получают нейтральную поддержку браузера.

Валидация организации предоставляет больше организационной информации, которая дает посетителям вашего сайта лучшее представление о том, с кем они имеют дело, при условии, что они знают, где искать. Сертификаты OV SSL / TLS требуют умеренного количества проверок, однако они не обеспечивают достаточную идентичность, чтобы избежать нейтральной обработки в браузере. SSL-сертификаты OV также могут защищать выделенные IP-адреса. Они обычно используются в корпоративных средах и во внутренних сетях.

Максимальная идентичность SSL / TLS-сертификата может быть получена на Extended Validation уровень. Сертификаты EV SSL / TLS требуют тщательной проверки со стороны ЦС, но они подтверждают достаточно идентифицирующей информации, которую веб-браузеры предоставят веб-сайтам, которые развертывают их уникальную обработку - отображая их проверенное имя организации в адресной строке браузера.

В отношении уровней и функциональности проверки следует учесть, что сертификаты EV SSL / TLS никогда не продаются с функциональностью Wildcard. Это связано с открытой природой сертификатов Wildcard, о которых мы говорили в последнем разделе.

Комплектация Сертификатов и Ценообразование

Теперь, когда вы знаете, ЧТО вам нужно, давайте поговорим о том, где его приобрести. Не каждый может выдать действительные сертификаты SSL / TLS, и под действительными мы подразумеваем доверенные. Вы должны пройти через доверенный центр сертификации или CA. Центры сертификации связаны строгими отраслевыми требованиями и подлежат регулярным проверкам и проверке. Причина этого заключается в том, как работает инфраструктура открытых ключей. PKI - это модель доверия, которая поддерживает SSL / TLS, поэтому браузер пользователя может проверять подлинность и доверять данному сертификату SSL / TLS.

В то время как углубляясь в PKI и корни выходит за рамки данной статьи, важно знать, что только доверенные центры сертификации могут выдавать доверенные сертификаты. Вот почему вы не можете просто выдать свое и подписать его самостоятельно. Браузеры не смогут доверять этому без ручной настройки своих настроек.

Но какой CA вы должны выбрать?

Это зависит от того, что вы ищете.

Для многих простых веб-сайтов, которым не нужно много удостоверяться, бесплатный сертификат DV SSL / TLS от Давайте зашифровать (или другие бесплатные CA) - хороший выбор. Это ничего не стоит и этого достаточно для того, что вам нужно.

Что-нибудь к северу от этого, или если вы не особенно технически подкованы, вам следует обратиться в коммерческий центр сертификации, такой как DigiCert, Sectigo, Entrust Datacard и т. Д.

Но вот в чем дело: вы не получаете лучшие цены, покупая напрямую в центрах сертификации.

Вы получаете лучшее сочетание цены и выбора, покупая через службу SSL, предлагающую сертификаты SSL / TLS от нескольких ЦС. Причина этого проста, эти службы SSL массовые покупки сертификатов у ЦС по гораздо более низким ценам, чем у розничных клиентов, Это позволяет им продавать сертификаты по сниженным ценам, передавая сбережения потребителям.

В некоторых случаях вы можете сэкономить до 85% от рекомендованной розничной цены производителя на пройти через сервис SSL вместо прямой покупки.

Имейте в виду, что специализированные службы SSL СПЕЦИАЛИЗИРУЮТСЯ в SSL / TLS, они предложат лучшую поддержку клиентов, они могут помочь вам установить его и знают, как оптимизировать ваши реализации, чтобы обеспечить ваш сайт максимально возможной безопасностью.

Сравните это с бесплатными центрами сертификации (и даже с некоторыми коммерческими), где вам нужно работать через систему заявок или просматривать старые сообщения на форуме для поддержки краудсорсинга, и ценность очевидна.

Конечно, для некоторых технически подкованных владельцев веб-сайтов проблема поддержки не является проблемой. И, конечно, нет ничего плохого в том, чтобы идти по бесплатному маршруту, если вы знаете, как поддерживать все самостоятельно.

Но для других владельцев сайтов вы платите меньше за сам сертификат и больше за аппарат поддержки, который был построен вокруг него. У вас также нет доступа к более высоким уровням проверки (OV / EV) или расширенным функциям (Multi-Domain, Wildcards) с бесплатным SSL / TLS. Вы должны получить их от коммерческих центров сертификации или служб SSL.

Итак, платный или бесплатный? Это зависит от того, насколько технически опытны вы или ваша организация, а также от того, хотите ли вы функциональность и валидацию за пределами домена DV.

FAQ покупателя SSL / TLS

Q1. Стоит ли расширенная проверка?

Для многих веб-сайтов сертификат EV SSL / TLS является скорее инвестицией, чем расходом. Нет другого способа заявить о своей максимальной идентичности и получить доступ к вашему веб-сайту. Когда посетители приходят на веб-сайт и видят название организации, отображаемое в адресной строке, это оказывает глубокое психологическое воздействие. Хотя этот эффект трудно определить количественно на бумаге, исследования постоянно показывают, что люди чувствуют себя лучше при посещении сайтов с EV, чем при посещении сайтов без него.

В Интернете важен каждый бит, поэтому, если вы организация, которая хочет утвердить свою личность в Интернете, сертификаты EV SSL / TLS - лучший доступный способ сделать это.

Q2. Вы продолжаете писать SSL / TLS, что это значит?

SSL обозначает Уровень защищенных гнезди это была оригинальная версия протокола шифрования, которую мы используем для защиты наших соединений по сей день. Мы дошли до SSL 3.0 до того, как уязвимости заставили отрасль вернуться к чертежной доске, где Transport Layer Security (TLS) был разработан, чтобы стать преемником SSL.

Сегодня мы находимся на TLS 1.3, SSL 3.0 почти полностью устарел, а 2020 TLS 1.0 и 1.1 также устаревают. В то время как современный интернет почти полностью основан на протоколе TLS, он все еще широко известен как SSL.

Q3. Какие версии протокола SSL / TLS?

Это относится к нашему последнему вопросу: SSL и TLS - это два протокола, которые облегчают HTTPS-соединения, и, как и в случае с любой другой технологией, эти протоколы необходимо периодически обновлять по мере обнаружения новых уязвимостей и атак. Когда вы видите SSL 3.0 или TLS 1.2, это относится к конкретной версии протоколов SSL / TLS.

В настоящее время наилучшей практикой является поддержка TLS 1.2 и TLS 1.3, поскольку все предыдущие версии были признаны уязвимыми для тех или иных эксплойтов.

Q4. Что я должен знать о Cipher Suites?

Набор шифров представляет собой набор алгоритмов это будет использоваться во время процесса шифрования SSL / TLS. Они обычно включают в себя некоторый алгоритм с открытым ключом, алгоритм аутентификации сообщения и алгоритм симметричного (блочного / потокового) шифрования.

Прежде чем вы сможете определить, что поддерживает Cipher, вы должны знать, на что способны ваши серверы, что может означать обновление вашей библиотеки OpenSSL (или альтернативного программного обеспечения SSL) до самой современной итерации. Слово совета, использование криптографии с эллиптическими кривыми предпочтительнее RSA.

Q5. Важны ли гарантии?

Приятно иметь большую гарантию на любой продукт, а индустрия SSL / TLS предоставляет одни из самых щедрых гарантий. Они платят в том случае, если центр сертификации, выдавший ваш сертификат, столкнется с проблемой, которая стоит вашей организации денег. Следует признать, что это не так уж и часто, что является своего рода одобрением для сертификатов SSL / TLS в целом, но также было бы упущением, на которое мы бы не указали.

Об авторе: Патрик Ноэ

Патрик Нох начал свою карьеру в качестве репортера и обозревателя «Майами Геральд». Он также служит Менеджером контента для Магазин SSL ™.