О ГСВР Гость
Эта статья написана гостем-автором. Представленные ниже авторские взгляды являются полностью его или ее собственными и могут не отражать взгляды ВСЖД.
Никому не нравится, когда им говорят, что они должны что-то делать. Это просто человеческая природа - бунтовать против этого, но иногда лучшее, что вы можете сделать, это прикусить губу и пойти с этим. Так обстоит дело с мандат HTTPS это было передано Google и прошлым летом другого производителя браузера.
В настоящее время любой веб-сайт, который по-прежнему обслуживается по протоколу HTTP, помечен как «небезопасный», эпитет, который угрожает трафику и конверсиям. Это означает, что теперь каждому веб-сайту требуется сертификат SSL / TLS, который облегчает переход на HTTPS и помогает обеспечить безопасность связи между вашим веб-сайтом и его посетителями.
В этом руководстве будут рассмотрены вопросы, которые необходимо учитывать при покупке сертификата SSL / TLS. Мы начнем с краткого обзора технологии, а затем углубимся в особенности, которые необходимо будет отсортировать при выборе правильного сертификата для вас и вашего веб-сайта.
Для безопасного общения в Интернете сервер, на котором размещается веб-сайт, и клиент, пытающийся подключиться к нему, должны использовать шифрование. Шифрование - это математический процесс, который делает данные нечитаемыми никому, кроме уполномоченного лица, Это выполняется с использованием ключей шифрования, и для безопасного соединения клиента и сервера оба должны иметь копию одного и того же ключа.
Это создает проблему, однако, как вы безопасно обмениваетесь этими ключами? Если злоумышленник может скомпрометировать ключ шифрования, он делает это шифрование бесполезным, поскольку злоумышленник может видеть все данные, которыми обмениваются, как если бы они были в незашифрованном виде.
SSL / TLS - это решение проблемы обмена ключами.
Это может показаться немного абстрактным, поэтому давайте начнем.
Каждый раз, когда клиент пытается соединиться с веб-сайтом через HTTPS - это безопасная версия протокола передачи гипертекста (HTTP), который Интернет использовался на протяжении десятилетий - происходит ряд взаимодействий между клиентом и сервером, на котором размещен сайт.
В шифровании SSL / TLS используются два типа ключей шифрования. Есть симметричные сеансовые ключи, которые мы только что упомянули. Они могут как шифровать, так и дешифровать и используются для связи во время самого соединения. Другие ключи - это пара открытых / закрытых ключей. Эта форма шифрования называется криптографией с открытым ключом. Открытый ключ может быть зашифрован, закрытый ключ расшифрован.
Вначале клиент и сервер выберут взаимно поддерживаемый набор шифров. Набор шифров это набор алгоритмов, который управляет шифрованием, которое будет использоваться во время соединения.
После согласования набора шифров сервер отправляет свой SSL-сертификат и открытый ключ. Посредством серии проверок клиент аутентифицирует сервер, проверяя его подлинность и подтверждая, что он является законным владельцем соответствующего открытого ключа.
После этой проверки клиент генерирует сеансовый ключ (или секрет, который можно использовать для его получения) и использует открытый ключ сервера для его шифрования перед отправкой на сервер. Используя свой закрытый ключ, сервер расшифровывает сеансовый ключ, и начинается зашифрованное соединение (это наиболее распространенная форма обмена ключами, выполняемая с помощью RSA - Обмен ключами Диффи-Хеллмана немного отличается).
Если это все еще кажется немного сложным, давайте упростим его еще больше.
Теперь давайте рассмотрим то, что вы, как владелец сайта, должны учитывать при покупке или приобретении сертификата SSL / TLS.
Когда вы купить сертификат SSL / TLS вы принимаете решение по двум основным вопросам:
Когда вы сможете ответить на эти вопросы, выбор сертификата зависит от бренда и стоимости, и вы уже знаете тип нужного вам продукта.
Теперь, прежде чем мы продолжим, давайте установим один очень важный факт: независимо от того, как вы ответите на эти два вопроса, все сертификаты SSL / TLS обеспечивают одинаковую стойкость шифрования.
Степень шифрования определяется комбинацией поддерживаемых наборов шифров и вычислительной мощности клиента и сервера на любом конце соединения. Самый дорогой SSL / TLS-сертификат на рынке и совершенно бесплатный будет обеспечивать такой же уровень стандартного шифрования.
Что зависит от сертификатов, так это уровень идентичности и их функциональность.
Давайте начнем с того, какие поверхности нужно покрыть.
Современные веб-сайты развились намного дальше, чем в первые дни Интернета, когда вы все еще ставили счетчики внизу страницы для отслеживания трафика. В настоящее время организации имеют сложную веб-инфраструктуру, как внутреннюю, так и внешнюю. Мы говорим о нескольких доменах, поддоменах, почтовых серверах и т. Д.
К счастью, сертификаты SSL / TLS развивались вместе с современными веб-сайтами, чтобы помочь лучше защитить их. Существует тип сертификата для каждого варианта использования, но вы обязаны знать, каким будет ваш конкретный вариант использования.
Давайте посмотрим на четыре различных типа сертификатов SSL / TLS и их функциональность:
Несколько слов о сертификатах Wildcard. Подстановочные знаки исключительно универсальны, они могут шифровать неограниченное количество поддоменов и даже способны защищать новые поддомены, которые добавляются после выдачи. При создании подстановочного знака звездочка (иногда называемая подстановочным знаком) используется на уровне поддомена, который вы хотите зашифровать. Это означает, что любой субдомен на этом уровне URL проверенного домена корректно связан с парой открытого / закрытого ключа сертификата.
После того, как вы выясните, какие поверхности вам нужно покрыть, пришло время определить, какую личность вы хотите утверждать. Существует три уровня проверки: они относятся к степени проверки Центром сертификации, который выдает ваш сертификат SSL / TLS, который поможет вам и вашему веб-сайту пройти через него.
Самый базовый уровень проверки называется Проверка домена, Требуется всего несколько минут, чтобы завершить эту проверку и выдать сертификат, но он предоставляет наименьшую идентификационную информацию - аутентификацию только на сервере. Сертификаты DV SSL / TLS используются чаще всего, но из-за отсутствия идентичности веб-сайты, использующие их, получают нейтральную поддержку браузера.
Валидация организации предоставляет больше организационной информации, которая дает посетителям вашего сайта лучшее представление о том, с кем они имеют дело, при условии, что они знают, где искать. Сертификаты OV SSL / TLS требуют умеренного количества проверок, однако они не обеспечивают достаточную идентичность, чтобы избежать нейтральной обработки в браузере. SSL-сертификаты OV также могут защищать выделенные IP-адреса. Они обычно используются в корпоративных средах и во внутренних сетях.
Максимальная идентичность SSL / TLS-сертификата может быть получена на Extended Validation уровень. Сертификаты EV SSL / TLS требуют тщательной проверки со стороны ЦС, но они подтверждают достаточно идентифицирующей информации, которую веб-браузеры предоставят веб-сайтам, которые развертывают их уникальную обработку - отображая их проверенное имя организации в адресной строке браузера.
В отношении уровней и функциональности проверки следует учесть, что сертификаты EV SSL / TLS никогда не продаются с функциональностью Wildcard. Это связано с открытой природой сертификатов Wildcard, о которых мы говорили в последнем разделе.
Теперь, когда вы знаете, ЧТО вам нужно, давайте поговорим о том, где его приобрести. Не каждый может выдать действительные сертификаты SSL / TLS, и под действительными мы подразумеваем доверенные. Вы должны пройти через доверенный центр сертификации или CA. Центры сертификации связаны строгими отраслевыми требованиями и подлежат регулярным проверкам и проверке. Причина этого заключается в том, как работает инфраструктура открытых ключей. PKI - это модель доверия, которая поддерживает SSL / TLS, поэтому браузер пользователя может проверять подлинность и доверять данному сертификату SSL / TLS.
В то время как углубляясь в PKI и корни выходит за рамки данной статьи, важно знать, что только доверенные центры сертификации могут выдавать доверенные сертификаты. Вот почему вы не можете просто выдать свое и подписать его самостоятельно. Браузеры не смогут доверять этому без ручной настройки своих настроек.
Это зависит от того, что вы ищете.
Для многих простых веб-сайтов, которым не нужно много удостоверяться, бесплатный сертификат DV SSL / TLS от Давайте зашифровать (или другие бесплатные CA) - хороший выбор. Это ничего не стоит и этого достаточно для того, что вам нужно.
Что-нибудь к северу от этого, или если вы не особенно технически подкованы, вам следует обратиться в коммерческий центр сертификации, такой как DigiCert, Sectigo, Entrust Datacard и т. Д.
Но вот в чем дело: вы не получаете лучшие цены, покупая напрямую в центрах сертификации.
Вы получаете лучшее сочетание цены и выбора, покупая через службу SSL, предлагающую сертификаты SSL / TLS от нескольких ЦС. Причина этого проста, эти службы SSL массовые покупки сертификатов у ЦС по гораздо более низким ценам, чем у розничных клиентов, Это позволяет им продавать сертификаты по сниженным ценам, передавая сбережения потребителям.
В некоторых случаях вы можете сэкономить до 85% от рекомендованной розничной цены производителя на пройти через сервис SSL вместо прямой покупки.
Имейте в виду, что специализированные службы SSL СПЕЦИАЛИЗИРУЮТСЯ в SSL / TLS, они предложат лучшую поддержку клиентов, они могут помочь вам установить его и знают, как оптимизировать ваши реализации, чтобы обеспечить ваш сайт максимально возможной безопасностью.
Сравните это с бесплатными центрами сертификации (и даже с некоторыми коммерческими), где вам нужно работать через систему заявок или просматривать старые сообщения на форуме для поддержки краудсорсинга, и ценность очевидна.
Конечно, для некоторых технически подкованных владельцев веб-сайтов проблема поддержки не является проблемой. И, конечно, нет ничего плохого в том, чтобы идти по бесплатному маршруту, если вы знаете, как поддерживать все самостоятельно.
Но для других владельцев сайтов вы платите меньше за сам сертификат и больше за аппарат поддержки, который был построен вокруг него. У вас также нет доступа к более высоким уровням проверки (OV / EV) или расширенным функциям (Multi-Domain, Wildcards) с бесплатным SSL / TLS. Вы должны получить их от коммерческих центров сертификации или служб SSL.
Итак, платный или бесплатный? Это зависит от того, насколько технически опытны вы или ваша организация, а также от того, хотите ли вы функциональность и валидацию за пределами домена DV.
Для многих веб-сайтов сертификат EV SSL / TLS является скорее инвестицией, чем расходом. Нет другого способа заявить о своей максимальной идентичности и получить доступ к вашему веб-сайту. Когда посетители приходят на веб-сайт и видят название организации, отображаемое в адресной строке, это оказывает глубокое психологическое воздействие. Хотя этот эффект трудно определить количественно на бумаге, исследования постоянно показывают, что люди чувствуют себя лучше при посещении сайтов с EV, чем при посещении сайтов без него.
В Интернете важен каждый бит, поэтому, если вы организация, которая хочет утвердить свою личность в Интернете, сертификаты EV SSL / TLS - лучший доступный способ сделать это.
SSL обозначает Уровень защищенных гнезди это была оригинальная версия протокола шифрования, которую мы используем для защиты наших соединений по сей день. Мы дошли до SSL 3.0 до того, как уязвимости заставили отрасль вернуться к чертежной доске, где Transport Layer Security (TLS) был разработан, чтобы стать преемником SSL.
Сегодня мы находимся на TLS 1.3, SSL 3.0 почти полностью устарел, а 2020 TLS 1.0 и 1.1 также устаревают. В то время как современный интернет почти полностью основан на протоколе TLS, он все еще широко известен как SSL.
Это относится к нашему последнему вопросу: SSL и TLS - это два протокола, которые облегчают HTTPS-соединения, и, как и в случае с любой другой технологией, эти протоколы необходимо периодически обновлять по мере обнаружения новых уязвимостей и атак. Когда вы видите SSL 3.0 или TLS 1.2, это относится к конкретной версии протоколов SSL / TLS.
В настоящее время наилучшей практикой является поддержка TLS 1.2 и TLS 1.3, поскольку все предыдущие версии были признаны уязвимыми для тех или иных эксплойтов.
Набор шифров представляет собой набор алгоритмов это будет использоваться во время процесса шифрования SSL / TLS. Они обычно включают в себя некоторый алгоритм с открытым ключом, алгоритм аутентификации сообщения и алгоритм симметричного (блочного / потокового) шифрования.
Прежде чем вы сможете определить, что поддерживает Cipher, вы должны знать, на что способны ваши серверы, что может означать обновление вашей библиотеки OpenSSL (или альтернативного программного обеспечения SSL) до самой современной итерации. Слово совета, использование криптографии с эллиптическими кривыми предпочтительнее RSA.
Приятно иметь большую гарантию на любой продукт, а индустрия SSL / TLS предоставляет одни из самых щедрых гарантий. Они платят в том случае, если центр сертификации, выдавший ваш сертификат, столкнется с проблемой, которая стоит вашей организации денег. Следует признать, что это не так уж и часто, что является своего рода одобрением для сертификатов SSL / TLS в целом, но также было бы упущением, на которое мы бы не указали.
Об авторе: Патрик Ноэ
Патрик Нох начал свою карьеру в качестве репортера и обозревателя «Майами Геральд». Он также служит Менеджером контента для Магазин SSL ™.