Mwongozo wa mnunuzi wa hati ya SSL / TLS

Kifungu kilichoandikwa na:
  • Online Biashara
  • Updated: Jul 02, 2019

Hakuna anapenda kuambiwa kwamba wanapaswa kufanya kitu. Ni asili ya kibinadamu kuasi dhidi ya hilo, lakini wakati mwingine bora unaweza kufanya ni bite mdomo wako na kwenda nayo. Hiyo ni kesi na mamlaka ya HTTPS ambayo ilikuwa iliyotolewa na Google na Summer Summer maker mwisho.

Siku hizi, tovuti yoyote ambayo bado hutumiwa kupitia HTTP inaitwa kama "Salama," epithet inayohatarisha trafiki na mabadiliko. Hiyo ina maana kwamba kila tovuti sasa inahitaji hati ya SSL / TLS, ambayo inasababisha uhamaji kwenye HTTPS na husaidia kupata mawasiliano kati ya tovuti yako na wageni wake.

Kuanzia Julai 2018, Chrome imeweka tovuti zote za HTTP kama "salama" (kujifunza zaidi).

Mwongozo huu utaenda juu ya mambo unayohitaji kufikiria wakati ununuzi wa hati ya SSL / TLS. Tutaanza kwa maelezo mafupi ya teknolojia kabla ya kuingia katika maalum ambayo utahitaji kutatua wakati uamua juu ya cheti sahihi kwako na tovuti yako.

SSL / TLS 101: Kwa ujumla

Ili kuwasiliana salama kwenye intaneti, seva inayohifadhi tovuti na mteja anajaribu kuunganisha nayo inahitaji kutumia encryption. Kuandika ni mchakato wa hisabati kwamba hutoa data isiyofunuliwa na mtu yeyote lakini chama kilichoidhinishwa. Inafanywa kwa kutumia funguo za encryption, na ili mteja na seva kuunganisha salama wote wanahitaji kuwa na nakala ya ufunguo huo.

Hilo linaonyesha tatizo ingawa, unawezaje kubadilishana nishati hizo kwa salama? Ikiwa mshambulizi anaweza kuathiri ufunguo wa encryption inaruhusu kuwa encryption haina maana kwa sababu mshambulizi anaweza bado kuona data zote kuwa kubadilishana kama ni plaintext.

SSL / TLS ni suluhisho la tatizo la kubadilishana muhimu.

SSL / TLS inafanya mambo mawili:

  1. Inathibitisha seva ili wateja wawejue chochote ambacho wanaunganisha
  2. Inasaidia kubadilishana ya ufunguo wa kikao ambayo inaweza kutumika kwa kuwasiliana salama

Hiyo inaweza kuonekana kuwa sio wazi sana basi hebu tuiwekee.

Wakati wowote mteja anajaribu kuungana na tovuti kupitia HTTPS - ambayo ni toleo salama la Protoksi ya Uhamisho wa Hypertext (HTTP) ambayo mtandao umetumia kwa miongo - mfululizo wa mwingiliano hutokea nyuma ya matukio kati ya mteja alisema na seva inayohifadhi tovuti.

Kuna aina mbili za funguo za encryption zinazohusika katika encryption ya SSL / TLS. Kuna funguo za kikao ambazo tulizotaja. Wale wanaweza wote kuandika na kufuta na hutumiwa kuwasiliana wakati wa uhusiano huo. Funguo nyingine ni jozi ya umma / binafsi ya jozi. Aina hii ya encryption inaitwa cryptography ya umma. Funguo la umma linaweza kuficha, ufunguo wa ufunguo wa faragha.

Mwanzoni, mteja na seva watachukua suala linaloungwa mkono pande zote. Suite ya cipher ni seti ya algorithms ambayo inasimamia encryption ambayo itatumika wakati wa kuungana.

Mara baada ya kufuatilia cipher imekubaliana, seva inatuma cheti cha SSL na ufunguo wa umma. Kupitia mfululizo wa hundi mteja anahakikishia salama, kuthibitisha utambulisho wake na kwamba ni mmiliki wa haki ya ufunguo wa Umma unaohusishwa.

Kufuatilia uthibitisho huu, mteja anazalisha ufunguo wa kikao (au siri ambayo inaweza kutumika kutumia moja) na hutumia ufunguo wa seva ya umma ili kuifuta kabla ya kuituma kwenye seva. Kutumia ufunguo wake wa Binafsi, seva inachukua ufunguo wa kikao na uunganisho wa encrypted huanza (hii ni aina ya kawaida ya kubadilishana muhimu, kama ilivyofanyika na RSA - Tofauti muhimu ya Diffie-Hellman inatofautiana kidogo).

Ikiwa bado inaonekana kuwa ngumu, hebu tuiwe rahisi zaidi.

  • Ili kuwasiliana salama pande zote mbili zinahitaji kushiriki funguo za kikao tofauti
  • SSL / TLS huwezesha kubadilishana kwa funguo za kikao hiki na cryptography muhimu ya umma
  • Baada ya kuthibitisha utambulisho wa seva, ufunguo wa kikao au siri ni encrypted na ufunguo wa umma
  • Seva hutumia ufunguo wake wa faragha ili kufuta kitufe cha kikao na kuanza mawasiliano yaliyofichwa

Sasa hebu tuingie kile ambacho wewe, kama mmiliki wa tovuti, unahitaji kuzingatia wakati ununuzi au kupata cheti cha SSL / TLS.

Nini cha kuzingatia wakati ununuzi wa hati ya SSL / TLS?

Unapotumia hati ya SSL / TLS unafanya uamuzi juu ya maswali mawili ya msingi:

  1. Unahitaji uso wa uso gani?
  2. Je! Unataka kuwa na utambulisho wangapi?

Unapoweza kujibu maswali haya, kuchukua cheti inakuwa suala la brand na gharama, utakuwa tayari kujua aina ya bidhaa unahitaji.

Sasa, kabla ya kwenda zaidi, hebu tuwekee ukweli mmoja muhimu sana: bila kujali jinsi unayotuliza maswali hayo mawili, vyeti vyote vya SSL / TLS vinatoa nguvu sawa ya encryption.

Nguvu za uandishi wa maandishi hutambuliwa na mchanganyiko wa suites za cipher zinazoungwa mkono na nguvu ya kompyuta ya mteja na seva mwishoni mwa uunganisho. Cheti cha SSL / TLS cha gharama kubwa sana kwenye soko na moja kabisa ya bure itafanya kuwezesha kiwango sawa cha encryption ya viwanda.

Ni tofauti na vyeti ni kiwango cha utambulisho na utendaji wao.

Hebu tuanze na nyuso gani unahitaji kufunika.

Utekelezaji wa Hati ya 1- SSL / TLS

Nje za kisasa zimebadilika mbali zaidi na yale waliyokuwa katika siku za mwanzo za mtandao wakati bado unaweka hesabu chini ya ukurasa kufuatilia trafiki. Siku hizi mashirika yana ngumu ya miundombinu ya wavuti, ndani na nje. Tunazungumzia juu ya domains nyingi, vikoa vidogo, seva za barua, nk.

Kwa bahati nzuri, vyeti vya SSL / TLS vimebadilishana pamoja na tovuti za kisasa ili kusaidia salama bora. Kuna aina ya cheti kwa kila kesi ya matumizi, lakini ni lazima iwe kujua nini kesi yako maalum ya matumizi yatakuwa.

Hebu tuangalie aina nne za cheti za SSL / TLS na utendaji wao:

  • Single Domain - Kama jina linamaanisha, hati hii ya SSL / TLS ni kwa uwanja mmoja (wote WWW na zisizo za WWW).
  • Multi-Domain - Aina hii ya hati ya SSL / TLS ni kwa mashirika yenye tovuti nyingi, wanaweza kupata hadi mada tofauti ya 250 wakati huo huo.
  • wildcard - Usalama kwa kikoa kimoja, pamoja na vikoa vyenye vikoa vya kwanza vya kuandamana - wengi ambao una (bila ukomo).
  • Multi-Domain Wildcard - Hati ya SSL / TLS yenye utendaji kamili, inaweza kujificha hadi maeneo tofauti ya 250 na vikoa vidogo vinavyolingana wakati huo huo.

Neno la haraka kuhusu vyeti vya Wildcard. Wildcards ni tofauti sana, wanaweza kuzungumza idadi isiyo na ukomo ya vikoa vidogo, na hata wanaweza kupata madawati madogo yaliyoongezwa baada ya utoaji. Wakati wa kuzalisha Wildcard, asterisk (wakati mwingine hujulikana kama tabia ya wildcard) hutumiwa kwenye ngazi ndogo ya kikoa unayotaka kuifuta. Hii inaashiria kwamba kikoa kidogo cha kikoa cha URL hicho cha kikoa kilichothibitishwa kinahusishwa na jozi ya kibinafsi ya kibinafsi / binafsi.

Kiwango cha Validation cha Cheti cha 2- SSL / TLS

Baada ya kutambua ni nyuso gani unahitaji kufunika, ni wakati wa kuamua utambulisho gani unavyotaka. Kuna ngazi tatu za kuthibitisha, hizi zinarejelea kiasi cha vetting Mamlaka ya Hati ambayo inashughulikia SSL / TLS hati yako itakuweka wewe na tovuti yako kupitia.

Ngazi tatu za kuthibitisha: Uthibitishaji wa Domain, Uthibitisho wa Shirika, na Uthibitishaji ulioongezwa.

Ngazi ya msingi ya kuthibitisha inaitwa uwanja Validation. Inachukua dakika tu ili kukamilisha uthibitisho huu na kutoa cheti, lakini hutoa maelezo ya utambulisho mdogo - kuthibitisha seva tu. Vyeti vya DV SSL / TLS ni kawaida kutumika, lakini kutokana na ukosefu wao wa utambulisho, tovuti ambazo hutumia hupokea matibabu ya kisiasa ya neutral.

Uthibitishaji wa Shirika hutoa maelezo zaidi ya shirika, ambayo inatoa wageni wa tovuti yako wazo bora zaidi kuhusu nani wanaohusika nao, ikiwa wanajua wapi kuangalia. Vyeti vya OV SSL / TLS zinahitaji kiwango cha wastani cha vetting, hata hivyo, hawatambui utambulisho wa kutosha ili kuepuka matibabu ya kivinjari ya neutral. Vyeti vya OV SSL vinaweza kuhifadhi anwani za IP za kujitolea, pia. Kwa kawaida hutumiwa katika mazingira ya Biashara na kwenye mitandao ya ndani.

Utambulisho mkubwa wa hati ya SSL / TLS inaweza kudhani inakuja Extended Validation ngazi. Vyeti vya SSL / TLS zinahitaji kina vetting na CA, lakini wao kutoa habari kutosha kutambua kwamba mtandao browsers kutoa tovuti ambayo kupeleka yao matibabu ya kipekee - kuonyesha jina la kuthibitishwa shirika katika bar ya anwani ya browser.

Kitu kimoja cha haraka cha kuzingatia kuhusu viwango vya uthibitisho na utendaji ni kwamba vyeti vya EV SSL / TLS hazijawahi kuuzwa na utendaji wa Wildcard. Hii inadaiwa kwa asili ya wazi ya vyeti vya Wildcard, ambayo tumejadiliwa katika sehemu ya mwisho.

Kupeleka Mamlaka ya Cheti na Bei

Kwa kuwa unajua NINI unahitaji, hebu tuzungumze kuhusu wapi kupata. Sio mtu yeyote anayeweza kutoa vyeti vya SSL / TLS halali, na kwa hakika tunamaanisha kuaminika. Unahitaji kupitia mamlaka ya hati ya kuaminika au CA. CA ni zimefungwa na mahitaji ya sekta kali na chini ya ukaguzi wa kawaida na kuchunguza. Sababu ya hii inatoka kwa njia ya Miundombinu ya Muhimu ya Umma. PKI ni mfano wa uaminifu unaozingatia SSL / TLS, ndiyo sababu kivinjari cha mtumiaji anaweza kuthibitisha uhalali wa, na kuamini cheti cha SSL / TLS kilichopewa.

Wakati kuingia katika PKI na mizizi haipatikani kwa makala hii, ni muhimu kujua kwamba CA tu za kuaminika zinaweza kutoa vyeti vinavyoaminika. Ndiyo sababu huwezi tu kutoa ishara yako mwenyewe na ya kujiandikisha. Watazamaji hawakuweza kuwa na njia ya kuamini bila kubadilisha kwa kawaida mipangilio yao.

Lakini ni nini unapaswa kuchukua?

Hiyo inategemea kile unachokiangalia.

Kwa tovuti nyingi rahisi ambazo hazihitaji kuthibitisha utambulisho mkubwa, hati ya bure ya DV SSL / TLS kutoka Hebu Turuhusu (au nyingine CA) ni chaguo nzuri. Haina gharama yoyote na inatosha kwa kile unachohitaji.

Kitu chochote kaskazini mwa hilo, au kama huna teknolojia ya ujuzi hasa, unapaswa kwenda na Mamlaka ya Hati ya Biashara kama DigiCert, Sectigo, Entrust Datacard, nk.

Lakini hapa ni jambo: huna kupata bei bora ya kununua moja kwa moja kutoka kwa CA.

Unapata mchanganyiko bora wa bei na uteuzi kwa ununuzi kupitia Huduma ya SSL inayotolewa na vyeti vya SSL / TLS kutoka kwa CA nyingi. Sababu ya hii ni rahisi, huduma hizi za SSL vyeti vya ununuzi kutoka kwa CA kwa wingi kwa bei ya chini sana kuliko wateja wa rejareja wanavyopata. Hiyo inawawezesha kuuza vyeti kwenye viwango vya kupunguzwa kwa kina, kupitisha akiba kwa watumiaji.

Katika hali nyingine, unaweza kuokoa kiasi cha 85% bei ya uuzaji iliyopendekezwa ya mtengenezaji kupitia huduma ya SSL badala ya kununua moja kwa moja.

Kumbuka, huduma za SSL za kujitolea zinazotolewa katika SSL / TLS, zitakupa usaidizi bora wa wateja, zinaweza kukusaidia kuziweka na zinajua jinsi ya kuboresha utekelezaji wako ili kutoa tovuti yako iwezekanavyo usalama.

Tofauti ambayo kwa CA (bure na baadhi ya kibiashara) ambapo unapaswa kufanya kazi kwa njia ya mfumo wa tiketi au kupitisha kwenye machapisho ya zamani ya jukwaa kwa usaidizi wa watu wengi na thamani ni wazi.

Kwa hakika, kwa wamiliki wengine wa tovuti ya tech-savvy, suala la usaidizi sio tatizo. Na hakika hakuna chochote kibaya kwa kwenda njia ya bure ikiwa unajua jinsi ya kusaidia kila kitu mwenyewe.

Lakini kwa wamiliki wengine wa tovuti, unalipa chini kwa cheti yenyewe na zaidi kwa vifaa vya usaidizi ambavyo vimejengwa kote. Huna pia kufikia kiwango cha juu cha kuthibitisha (OV / EV) au utendaji wa juu (Multi-Domain, Wildcards) na SSL / TLS huru. Unahitaji kupata hizo kutoka kwa CAs za kibiashara au huduma za SSL.

Kwa hiyo, kulipwa au bure? Inakuja kwa jinsi utaalamu wako au shirika lako ni, pamoja na unataka utendaji na kuthibitisha zaidi ya DV moja ya kikoa.

Mwongozo wa mnunuzi wa SSL / TLS

Q1. Ni Validation Iliyoongezwa yenye thamani?

Kwa tovuti nyingi, hati ya EV SSL / TLS ni zaidi ya uwekezaji kuliko gharama. Hakuna njia nyingine ya kuthibitisha utambulisho wa kiwango cha juu na kupata matibabu yako ya upendeleo wa kivinjari. Wakati wageni wanawasili kwenye tovuti na kuona jina la shirika lililoonyeshwa kwenye bar ya anwani lina athari kubwa ya kisaikolojia. Wakati athari hiyo ni vigumu kupima karatasi, tafiti mara nyingi hupata kuwa watu wanahisi vizuri zaidi kuhusu maeneo ya kutembelea na EV kuliko maeneo ya kutembelea bila ya.

Kwenye mtandao, kila kidogo huhesabu, hivyo kama wewe ni shirika ambalo linataka kuthibitisha utambulisho kwenye wavuti, vyeti vya EV SSL / TLS ni njia bora zaidi ya kufanya hivyo.

Q2. Unaendelea kuandika SSL / TLS, inamaanisha nini?

SSL inasimama Safu ya Makopo Salama, na ilikuwa toleo la awali la itifaki ya encryption ambayo sisi kutumia ili kuunganisha uhusiano wetu leo. Tuna njia yote ya SSL 3.0 kabla ya udhaifu kulazimishwa sekta hiyo kwenye bodi ya kuchora, wapi Usalama wa Layer Usalama (TLS) iliundwa kuwa mrithi wa SSL.

Leo tuna kwenye TLS 1.3, SSL 3.0 imechukuliwa kabisa na kwa 2020 TLS 1.0 na 1.1 itaondolewa, pia. Wakati mtandao wa leo unategemea pekee kwenye itifaki ya TLS, bado inajulikana kama SSL.

Q3. Matoleo ya protoksi ya SSL / TLS ni nini?

Hii inaelezea nyuma swali letu la mwisho, SSL na TLS ni protocols mbili zinazowezesha uhusiano wa HTTPS, na kama ilivyo na kipande kingine chochote cha teknolojia, taratibu hizo zinahitajika upya mara kwa mara kama udhaifu mpya na mashambulizi yanapatikana. Unapoona SSL 3.0 au TLS 1.2, hiyo inahusu toleo maalum la protocols SSL / TLS.

Hivi sasa, mazoezi bora ni kuunga mkono TLS 1.2 na TLS 1.3, kama vile matoleo yote ya awali yamepatikana kuwa hatari kwa baadhi ya kutumia au nyingine.

Q4. Ninajua nini kuhusu Suites Cipher?

Suite ya cipher ni mkusanyiko wa algorithms ambayo itatumika wakati wa mchakato wa encryption SSL / TLS. Wao hujumuisha aina fulani ya algorithm ya ufunguo wa umma, algorithm ya uthibitishaji wa ujumbe na algorithm ya kiambatanisho (block / stream).

Kabla ya kufanya uamuzi wowote juu ya vipi vya Cipher kusaidia, unahitaji kujua seva zako zina uwezo gani, ambayo inaweza kumaanisha uppdatering OpenSSL yako (au njia mbadala ya programu ya SSL) kwa maktaba yake ya kisasa zaidi. Neno la ushauri, kwa kutumia Elliptic Curve Cryptography ni vyema kwa RSA.

Q5. Je, vipawa ni muhimu?

Ni vyema kuwa na dhamana kubwa na bidhaa yoyote, na sekta ya SSL / TLS hutoa vipawa vingi zaidi huko nje. Wao hulipa katika tukio ambalo CA iliyotolewa cheti chako milele hukutana na tatizo ambalo linapunguza pesa yako shirika. Kwa hakika, hii sio yote ya kawaida, ambayo ni aina ya kuidhinishwa kwa vyeti vya SSL / TLS kwa ujumla, lakini pia kitu ambacho tungependa kujiondoa.


Patrick Nohe
Kuhusu mwandishi: Patrick Nohe

Patrick Nohe alianza kazi yake kama mwandishi wa habari na mwandishi wa habari kwa Miami Herald. Pia hutumikia kama Meneja wa Maudhui kwa Hifadhi ya SSL ™.

Kuhusu Guest WHSR

Makala hii imeandikwa na mchangiaji wa mgeni. Maoni ya mwandishi hapa chini ni yake mwenyewe na hawezi kutafakari maoni ya WHSR.