Водич за купца ССЛ / ТЛС цертификата

Чланак написао:
  • Онлине Бусинесс
  • Ажурирано: Јул КСНУМКС, КСНУМКС

Нико не воли да му се каже да морају нешто да ураде. Људска природа је да се побуни против тога, али понекад најбоље што можете да урадите је да гризете своју усну и кренете с њом. Такав је случај са мандат ХТТПС-а који је Гоогле и други произвођач претраживача прошле године.

Данас, било који сајт који се још увек користи путем ХТТП-а је означен као "Нот Сецуре", епитет који прети саобраћају и конверзијама. То значи да сваком веб сајту сада треба ССЛ / ТЛС сертификат, што олакшава миграцију на ХТТПС и помаже да се обезбеди комуникација између вашег веб сајта и његових посетилаца.

Почев од јула КСНУМКС, Цхроме је означио све ХТТП сајтове као "није безбедно" (сазнајте више).

Овај водич ће се бавити стварима које морате узети у обзир приликом куповине ССЛ / ТЛС цертификата. Почећемо са кратким прегледом технологије пре него што кренемо у специфичности које ћете морати да разврстате приликом одлучивања о правом сертификату за вас и ваш сајт.

ССЛ / ТЛС КСНУМКС: Преглед

Да би безбедно комуницирали на интернету, сервер који хостује веб сајт и клијент који се жели повезати са њим мора да користи енкрипцију. Шифровање је математички процес који чини податке нечитљивима било коме осим овлашћеном лицу. Изводи се помоћу кључева за шифровање, а да би се клијент и сервер сигурно повезали оба морају имати копију истог кључа.

Међутим, то представља проблем, како безбедно размјењујете те кључеве? Ако нападач може компромитовати кључ за шифрирање, чини да је шифрирање бескорисно јер нападач још увијек може видјети све податке који се размјењују као да је у чистом тексту.

ССЛ / ТЛС је решење проблема размене кључа.

ССЛ / ТЛС остварује две ствари:

  1. Он аутентифицира сервер тако да клијенти знају са којим ентитетом се повезују
  2. Она олакшава размену кључа сесије који се може користити за безбедну комуникацију

То може изгледати мало апстрактно, па да га покренемо.

Сваки пут када клијент покуша да се повеже са веб сајтом путем ХТТПС-а - што је безбедна верзија протокола за пренос хипертекста (ХТТП), интернет је коришћен деценијама - серија интеракција се одвија иза сцене између наведеног клијента и сервера који хостује сајт.

Постоје два типа кључева за шифровање који су укључени у ССЛ / ТЛС шифровање. Постоје симетрични сесијски кључеви које смо управо споменули. Они могу енкриптовати и дешифровати и користити се за комуникацију током саме везе. Други кључеви су пар јавних / приватних кључева. Овај облик шифровања назива се криптографија јавног кључа. Јавни кључ може шифровати, приватни кључ дешифрује.

На почетку, клијент и сервер ће изабрати међусобно подржани пакет шифрирања. Суите за шифру је скуп алгоритама који управља енкрипцијом која ће се користити током везе.

Када је пакет за шифру договорен, сервер шаље свој ССЛ цертификат и јавни кључ. Кроз серију провјера, клијент аутентифицира сервер, провјерава његов идентитет и да је он законити власник придруженог јавног кључа.

Након ове провјере, клијент генерира кључ сесије (или тајну која се може користити за извлачење) и користи јавни кључ послужитеља за шифрирање прије слања послужитељу. Користећи свој Приватни кључ, сервер дешифрује кључ сесије и почиње шифрована веза (ово је најчешћи облик размене кључева, као што се изводи са РСА - Диффие-Хеллманова размена кључа се незнатно разликује).

Ако се то и даље чини компликованим, поједноставимо га још више.

  • За безбедну комуникацију обе стране морају да деле симетричне сесије
  • ССЛ / ТЛС олакшава размену тих сесијских кључева са криптографијом јавног кључа
  • Након верификације идентитета сервера, кључ сесије или тајна шифрира се јавним кључем
  • Сервер користи свој приватни кључ да дешифрује кључ сесије и започне шифровану комуникацију

Сада ћемо се упознати са оним што ви, као власник веб странице, морате узети у обзир приликом куповине или куповине ССЛ / ТЛС цертификата.

Шта треба узети у обзир приликом куповине ССЛ / ТЛС цертификата?

Када купите ССЛ / ТЛС сертификат, доносите одлуку о два основна питања:

  1. Коју површину требате покрити?
  2. Колико идентитета желите да потврдите?

Када можете одговорити на ова питања, одабир цертификата постаје ствар марке и цијене, већ ћете знати врсту производа који вам је потребан.

Сада, пре него што кренемо даље, успоставимо једну веома важну чињеницу: без обзира на то како одговорите на та два питања, сви ССЛ / ТЛС сертификати нуде исту снагу шифровања.

Снага шифровања одређена је комбинацијом подржаних шифрираних пакета и рачунарске снаге клијента и сервера на оба краја везе. Најскупљи ССЛ / ТЛС сертификат на тржишту и потпуно бесплатан сертификат ће омогућити исти ниво индустријске стандардне енкрипције.

Оно што се разликује од цертификата је ниво идентитета и њихова функционалност.

Почнимо са оним површинама које треба покрити.

Функционалност КСНУМКС-ССЛ / ТЛС сертификата

Модерни веб сајтови су еволуирали далеко изван онога што су били у раним данима интернета када сте још увек стављали бројаче на дну странице да би пратили саобраћај. Данас организације имају компликовану веб инфраструктуру, како интерно тако и екстерно. Говоримо о вишеструким доменама, под-доменима, поштанским серверима итд.

Срећом, ССЛ / ТЛС сертификати су се развили заједно са модерним веб страницама како би им помогли да их боље осигурају. Постоји тип сертификата за сваки случај коришћења, али на вама је да знате шта ће бити ваш специфичан случај употребе.

Погледајмо четири различита типа ССЛ / ТЛС цертификата и њихову функционалност:

  • Један домен - Као што име имплицира, овај ССЛ / ТЛС цертификат је за један домен (и ВВВ и не-ВВВ верзије).
  • Мулти-Домаин - Овај тип ССЛ / ТЛС сертификата је за организације са вишеструким веб локацијама, које могу истовремено да обезбеде до КСНУМКС различитих домена.
  • Џокер - Сигурност за један домен, плус све пратеће под-домене првог нивоа - онолико колико имате (неограничено).
  • Мулти-Домаин Вилдцард - ССЛ / ТЛС сертификат са потпуном функционалношћу, може енкриптовати до КСНУМКС различитих домена и свих пратећих поддомена истовремено.

Кратка реч о сертификатима за замјенске знакове. Џокери су изузетно разноврсни, могу да шифрују неограничен број поддомена и чак су у стању да осигурају нове поддомене који се додају након издавања. Када генеришете Вилдцард, на нивоу под-домена који желите да шифрујете користи се звездица (која се понекад назива и џокер знак). Ово означава да је сваки под-домен на том нивоу УРЛ-а верификованог домена исправно повезан са паром јавних / приватног кључа сертификата.

Ниво валидације КСНУМКС-ССЛ / ТЛС сертификата

Када откријете које површине требате покрити, вријеме је да одредите колико идентитета желите потврдити. Постоје три нивоа провјере ваљаности, који се односе на износ провјере од стране издавача цертификата који издаје ваш ССЛ / ТЛС цертификат који ће вас и вашу веб-локацију провести.

Три нивоа валидације: провјера ваљаности домене, валидација организације и проширена валидација.

Назива се најосновнији ниво валидације домена Провера. Потребно је само неколико минута да се заврши ова провера ваљаности и изда цертификат, али даје најмање информација о идентитету - аутентификацију само сервера. ДВ ССЛ / ТЛС сертификати су најчешће коришћени, али због недостатка идентитета, сајтови који их користе добијају неутралан третман за претраживаче.

Валидација организације пружа више информација о организацији, што посјетиоцима Вашег сајта даје бољу идеју о томе с ким имају посла, под условом да знају гдје да траже. ОВ ССЛ / ТЛС сертификати захтевају умерену количину провере, међутим, они не доказују довољно идентитета да би избегли неутралан третман претраживача. ОВ ССЛ цертификати могу да обезбеде и наменске ИП адресе. Они се обично користе у Ентерприсе окружењима и на интерним мрежама.

Највише идентитета које ССЛ / ТЛС цертификат може потврдити долази на ектендед Провера ниво. ЕВ ССЛ / ТЛС сертификати захтевају дубинску проверу од стране ЦА, али они пружају довољно информација за идентификацију да ће веб претраживачи дати веб сајтовима који их примењују на јединствен начин - приказујући своје верификовано име организације у адресној траци прегледача.

Једна брза ствар коју треба узети у обзир у погледу нивоа валидације и функционалности је да ЕВ ССЛ / ТЛС сертификати никада нису продати са Вилдцард функционалношћу. Ово се дугује отвореној природи сертификата, који смо расправили у последњем делу.

Одабир органа за издавање цертификата и одређивање цијена

Сада када знате шта вам треба, хајде да разговарамо о томе одакле да га добијемо. Не само да било ко може да изда исправне ССЛ / ТЛС сертификате, а по исправности мислимо на поверење. Морате проћи кроз провјерени ауторитет цертификата или ЦА. УА су везане строгим захтевима индустрије и подлежу редовним ревизијама и контроли. Разлог за то је начин на који функционише инфраструктура јавних кључева. ПКИ је модел повјерења који подвлачи ССЛ / ТЛС, због чега прегледник корисника може провјерити аутентичност и повјерење датом ССЛ / ТЛС цертификату.

Док делвинг у ПКИ и корене је изван домета овог чланка, важно је знати да само поуздани ЦА могу издавати поуздане цертификате. То је разлог зашто не можете само издати свој и сами га потписати. Прегледачи не би имали начина да му верују без ручног подешавања њихових поставки.

Али шта треба да изаберете?

То зависи од тога шта тражите.

За многе једноставне веб странице које не морају да потврђују много идентитета, бесплатан ДВ ССЛ / ТЛС цертификат Хајде да шифрирамо (или други слободни ЦА) је добар избор. Не кошта ништа и довољно је за оно што вам је потребно.

Било шта северно од тога, или ако нисте посебно технички паметни, требало би да идете са комерцијалном службом за сертификате као што су ДигиЦерт, Сецтиго, Ентруст Датацард, итд.

Али ево ствари: не добијате најбоље цене за куповину директно од ЦА-а.

Добијате најбољу комбинацију одређивања цена и избора тако што купујете преко ССЛ сервиса који нуди ССЛ / ТЛС сертификате из више ЦА-ова. Разлог за то је једноставан, ове ССЛ услуге куповину сертификата од ЦА-а на велико по знатно нижим цијенама него што их добију физичка лица. То им омогућава да продају сертификате по дубоко дисконтованим стопама, преносећи штедњу потрошачима.

У неким случајевима можете уштедјети чак КСНУМКС% од препоручене малопродајне цене до пролази кроз ССЛ услугу уместо куповине директне.

Имајте на уму, наменске ССЛ услуге СПЕЦИАЛИЗЕ у ССЛ / ТЛС, они ће понудити бољу корисничку подршку, могу вам помоћи да га инсталирате и они знају како да оптимизују ваше имплементације како би вашој веб локацији пружили најбољу могућу сигурност.

Контрастирајте то са слободним ЦА-има (па чак и неким комерцијалним) где морате да радите кроз систем за куповину или да прегледате старе форуме на форумима за подршку која долази из публике и вредност је јасна.

Додуше, за неке власнике сајтова који су технички паметни, проблем са подршком није проблем. И сигурно нема ништа лоше у одласку на бесплатну руту ако знате како да све подржите сами.

Али за друге власнике сајта плаћате мање за сам цертификат, а више за уређаје за подршку који су изграђени око њега. Такође немате приступ већим нивоима валидације (ОВ / ЕВ) или напредним функционалностима (Мулти-Домаин, Вилдцардс) са бесплатним ССЛ / ТЛС. Морате их набавити од комерцијалних ЦА или ССЛ сервиса.

Дакле, плаћени или бесплатни? То се своди на то колико технички сте Ви или Ваша организација, поред тога да ли желите функционалност и валидацију изван ДВ домена.

ССЛ / ТЛС Водич за купце ФАК

ККСНУМКС. Да ли вреди проширена валидација?

За многе веб странице, ЕВ ССЛ / ТЛС цертификат је више инвестиција него трошак. Не постоји други начин да се утврди максималан идентитет и да се ваш веб сајт третира преференцијално. Када посетиоци дођу на сајт и виде име организације приказано у адресној траци, то има дубок психолошки ефекат. Иако је тај ефекат тешко квантификовати на папиру, анкете константно откривају да се људи осећају боље када посећују локације са ЕВ него да посећују сајтове без њега.

На интернету се рачуна сваки мали бит, па ако сте организација која жели да потврди идентитет на вебу, ЕВ ССЛ / ТЛС сертификати су најбољи расположиви метод за то.

ККСНУМКС. Наставите да пишете ССЛ / ТЛС, шта то значи?

ССЛ означава Сецуре Соцкетс Лаиер, и то је била оригинална верзија протокола за шифровање који користимо да бисмо осигурали наше везе до данас. Добили смо све до ССЛ КСНУМКС-а пре него што су рањивости присилиле индустрију да се врати на плочу за цртање, где Транспорт Лаиер Сецурити (ТЛС) је дизајниран да буде наследник ССЛ-а.

Данас смо на ТЛС КСНУМКС-у, ССЛ КСНУМКС је скоро потпуно застарио и КСНУМКС ТЛС КСНУМКС и КСНУМКС ће такођер бити застарјели. Иако се данашњи интернет готово искључиво ослања на ТЛС протокол, још увијек је колоквијално познат као ССЛ.

ККСНУМКС. Шта су ССЛ / ТЛС верзије протокола?

Ово се враћа на наше последње питање, ССЛ и ТЛС су два протокола који олакшавају ХТТПС везе, и слично као и са било којом другом технологијом, ти протоколи треба да се периодично ажурирају када се открију нове слабости и напади. Када видите ССЛ КСНУМКС или ТЛС КСНУМКС, то се односи на специфичну верзију ССЛ / ТЛС протокола.

Тренутно, најбоља пракса је да се подрже ТЛС КСНУМКС и ТЛС КСНУМКС, јер су све претходне верзије биле рањиве на неки екплоит или неки други.

ККСНУМКС. Шта треба да знам о Ципхер Суитес-у?

Пакет шифри је скуп алгоритама који ће се користити током ССЛ / ТЛС процеса шифровања. Они обично укључују неку врсту алгоритма јавног кључа, алгоритам провјере аутентичности поруке и симетрични (блок / стреам) алгоритам шифрирања.

Пре него што будете могли да утврдите који Ципхер суитеси подржавају, морате да знате шта су ваши сервери способни, што може значити ажурирање библиотеке ОпенССЛ (или алтернативног ССЛ софтвера) на најмодернију итерацију. Савет, Кориштење елиптичке криптографије је пожељније од РСА.

ККСНУМКС. Да ли су гаранције важне?

Лепо је имати велику гаранцију са било којим производом, а ССЛ / ТЛС индустрија обезбеђује неке од најиздашнијих гаранција. Они плаћају у случају да надлежни орган који је издао ваш цертификат наиђе на проблем који кошта новац ваше организације. Додуше, ово није све што је уобичајено, што је врста подршке за ССЛ / ТЛС сертификате уопште, али и нешто што би било немарно да не нагласимо.


Патрицк Нохе
О аутору: Патрицк Нохе

Патрицк Нохе започео је своју каријеру као новинар и колумниста за Миами Хералд. Он такође служи као Цонтент Манагер за ССЛ Сторе ™.

Абоут ВХСР Гуест

Овај чланак је написао дописник госта. Доле приказани аутори су у потпуности његови и не могу одражавати ставове ВХСР-а.