SSL / TLS Sertifikası Satın Alma Rehberi

Yazan makale:
  • Online İş
  • Güncelleme: Temmuz 02, 2019

Kimse bir şey yapmaları gerektiğini söylenmekten hoşlanmaz. Buna karşı isyan etmek sadece insan doğasıdır, ama bazen yapabileceğin en iyi şey dudağını ısırıp onunla gitmek. Böyle olduğu gibi HTTPS yetkisi Bu, Google ve diğer tarayıcı üreticilerinin geçen Yaz tarafından verildi.

Günümüzde, hala HTTP üzerinden sunulmakta olan herhangi bir web sitesi, trafiği ve dönüşümleri tehdit eden bir epitel olan "Güvenli Değil" olarak etiketlenmiştir. Bu, her web sitesinin artık HTTPS'ye geçişi kolaylaştıran ve web siteniz ile ziyaretçileri arasındaki iletişimi sağlamaya yardımcı olan bir SSL / TLS sertifikasına ihtiyaç duyduğu anlamına gelir.

Temmuz 2018'ten itibaren Chrome, tüm HTTP sitelerini "güvenli değil" olarak işaretledi (Daha fazla bilgi).

Bu kılavuz, bir SSL / TLS sertifikası alırken dikkat etmeniz gereken hususları gözden geçirecektir. Siz ve web siteniz için doğru sertifikaya karar verirken sıralamanız gereken bilgileri girmeden önce teknolojiye kısa bir genel bakış ile başlayacağız.

SSL / TLS 101: Genel Bakış

İnternette güvenli bir şekilde iletişim kurmak için web sitesini barındıran sunucunun ve bağlanmaya çalışan müşterinin şifrelemeyi kullanması gerekir. Şifreleme matematiksel bir işlemdir Verileri yetkili bir taraf dışında başkalarına okunamaz hale getirir. Şifreleme anahtarları kullanılarak ve bir istemcinin ve sunucunun güvenli bir şekilde bağlanabilmesi için gerçekleştirilir. her ikisi de aynı anahtarın bir kopyasına sahip olmalıdır.

Bu bir sorun olsa da, bu anahtarları güvenli bir şekilde nasıl değiştirirsiniz? Bir saldırgan bir şifreleme anahtarını tehlikeye atabiliyorsa, şifrelemeyi yararsız hale getirir, çünkü saldırgan hala değiştirilen tüm verileri düz metin içindeymiş gibi görebilir.

SSL / TLS, anahtar değişim sorununa çözümdür.

SSL / TLS iki şeyi gerçekleştirir:

  1. Sunucunun kimliğini doğrular, böylece müşteriler hangi varlıklara bağlı olduklarını bilirler
  2. Güvenli iletişim kurmak için kullanılabilecek bir oturum anahtarının değişimini kolaylaştırır.

Bu biraz soyut görünebilir, hadi harekete geçelim.

Müşteri, herhangi bir zamanda bir web sitesine HTTPS aracılığıyla bağlanmayı denediğinde - ki bu, Köprü Metni Aktarım Protokolünün (HTTP) güvenli sürümü olan internet yıllardır kullandı - söz konusu müşteri ile siteyi barındıran sunucu arasındaki sahnelerin arkasında bir dizi etkileşim meydana gelir.

SSL / TLS şifrelemesine katılan iki tür şifreleme anahtarı vardır. Bahsettiğimiz simetrik oturum anahtarları var. Bunlar hem şifreleyebilir hem de şifresini çözebilir ve bağlantı sırasında iletişim kurmak için kullanılır. Diğer anahtarlar ortak / özel anahtar çiftidir. Bu şifreleme biçimine genel anahtar şifrelemesi adı verilir. Genel anahtar şifreleyebilir, özel anahtar şifresini çözer.

Başlangıçta, istemci ve sunucu karşılıklı olarak desteklenen bir şifre paketi seçecektir. Şifre paketi Bağlantı sırasında kullanılacak şifrelemeyi yöneten algoritmalar kümesidir.

Bir şifre paketi üzerinde anlaşmaya varıldığında, sunucu SSL sertifikasını ve ortak anahtarını gönderir. Bir dizi kontrol aracılığıyla müşteri sunucuyu doğrular, kimliğini ve ilgili Genel anahtarın haklı olduğunu doğrular.

Bu doğrulamanın ardından, istemci bir oturum anahtarı (veya bir tane elde etmek için kullanılabilecek sır) üretir ve sunucuya göndermeden önce şifrelemek için sunucunun genel anahtarını kullanır. Özel anahtarını kullanarak, sunucu oturum anahtarının şifresini çözer ve şifreli bağlantı başlar (bu, RSA ile yapılan en yaygın anahtar değişimi şeklidir - Diffie-Hellman anahtar değişimi biraz değişir).

Bu hala biraz karmaşık görünüyorsa, daha da basitleştirelim.

  • Güvenli bir şekilde iletişim kurmak için her iki tarafın da simetrik oturum anahtarlarını paylaşması gerekir
  • SSL / TLS, bu oturum anahtarlarının ortak anahtar şifreleme ile değişimini kolaylaştırır
  • Sunucu kimliğini doğruladıktan sonra, bir oturum anahtarı veya gizli, genel anahtarla şifrelenir.
  • Sunucu, oturum anahtarının şifresini çözmek ve şifreli iletişime başlamak için özel anahtarını kullanır.

Şimdi, bir web sitesi sahibi olarak, bir SSL / TLS sertifikası alırken veya alırken göz önünde bulundurmanız gereken şeyleri ele alalım.

Bir SSL / TLS sertifikası alırken nelere dikkat etmeliyim?

Bir SSL / TLS sertifikası satın aldığınızda, iki temel soru hakkında karar veriyorsunuz:

  1. Hangi yüzeyi kaplamalısınız?
  2. Ne kadar kimlik göstermek istiyorsun?

Bu soruları cevaplayabildiğinizde, sertifika seçmek marka ve maliyet meselesi haline gelir, ihtiyacınız olan ürün tipini zaten bilirsiniz.

Şimdi, daha ileri gitmeden önce, çok önemli bir gerçeği belirleyelim: bu iki soruyu nasıl yanıtladığınızdan bağımsız olarak, tüm SSL / TLS sertifikaları aynı şifreleme gücünü sunar.

Şifreleme gücü, desteklenen şifre takımlarının birleşimiyle ve bağlantının her iki ucundaki istemci ve sunucunun bilgi işlem gücü ile belirlenir. Piyasadaki en pahalı SSL / TLS sertifikası ve tamamen ücretsiz bir sertifika, aynı seviyede endüstri standardı şifrelemeyi kolaylaştıracak.

Sertifikalara göre farklılık gösteren şey kimlik seviyesi ve işlevselliğidir.

Kaplamanız gereken yüzeylerle başlayalım.

1- SSL / TLS Sertifika İşlevselliği

Modern web siteleri, trafiği izlemek için hala bir sayfanın altına sayaç koyduğunuzda, İnternet'in ilk günlerinde olduklarının çok ötesine geçmiştir. Günümüzde kuruluşlar hem içeride hem de dışarıda karmaşık web altyapılarına sahiptir. Birden çok alan, alt alan adı, posta sunucusu vb. Hakkında konuşuyoruz.

Neyse ki, SSL / TLS sertifikaları, daha iyi güvenlik sağlamak için modern web siteleriyle birlikte gelişti. Her kullanım durumu için bir sertifika tipi vardır, ancak kendi özel kullanım durumunuzun ne olacağını bilmek sizin sorumluluğunuzdadır.

Dört farklı SSL / TLS sertifika türüne ve bunların işlevselliğine bakalım:

  • Tek Domain - Adından da anlaşılacağı gibi, bu SSL / TLS sertifikası, tek bir etki alanı içindir (hem WWW hem de WWW olmayan sürümler).
  • Çok Alan - Bu SSL / TLS sertifikası türü, birden fazla web sitesine sahip kuruluşlar içindir, aynı anda 250'e kadar farklı etki alanlarını güvence altına alabilirler.
  • Wildcard - Tek bir alan adı için güvenlik, ayrıca beraberindeki birinci seviye alt alan adlarının tümü - sahip olduğunuz sayıda (sınırsız).
  • Çok Alanlı Joker - Tam işlevli bir SSL / TLS sertifikası, 250'e kadar farklı etki alanlarını ve eşlik eden tüm alt alanları aynı anda şifreleyebilir.

Wildcard sertifikaları hakkında kısa bir kelime. Joker karakterler çok yönlüdür, sınırsız sayıda alt etki alanını şifreleyebilirler ve yayınlandıktan sonra eklenen yeni alt etki alanlarını bile güvence altına alabilirler. Bir Joker Karakter oluştururken, şifrelemek istediğiniz alt alan düzeyinde bir yıldız (bazen bir joker karakter olarak adlandırılır) kullanılır. Bu, doğrulanan etki alanının söz konusu URL seviyesindeki herhangi bir alt etki alanının, sertifikanın ortak / özel anahtar çifti ile geçerli bir şekilde ilişkili olduğunu belirtir.

2- SSL / TLS Sertifika Doğrulama Seviyesi

Hangi yüzeyleri kaplamanız gerektiğini belirledikten sonra, ne kadar kimlik belirlemek istediğinize karar vermenin zamanı geldi. Üç doğrulama düzeyi vardır; bunlar, SSL / TLS sertifikanızı size ve web sitenize yönlendirecek olan Sertifika Makamı'nı onaylama miktarını ifade eder.

Üç doğrulama düzeyi: Etki Alanı Doğrulama, Organizasyon Doğrulama ve Genişletilmiş Doğrulama.

En temel doğrulama seviyesine denir domain Doğrulama. Bu doğrulama işlemini tamamlamak ve sertifikayı vermek sadece birkaç dakika sürer, ancak en az kimlik bilgisini sağlar - sadece sunucuyu doğrular. En çok kullanılan DV SSL / TLS sertifikalarıdır, ancak kimlikleri yetersiz olduğundan, onları kullanan web siteleri tarafsız tarayıcı muamelesi görür.

Organizasyon Doğrulama sitenizi ziyaret edenlere, kiminle ilgilenecekleri konusunda daha iyi bir fikir veren, daha fazla nereye bakacaklarını bildikleri için daha fazla kurumsal bilgi sağlar. OV SSL / TLS sertifikaları ılımlı bir şekilde işlem yapılmasını gerektirir, ancak bunlar tarafsız tarayıcı muamelesinden kaçınmak için yeterli kimliğe sahip değildir. OV SSL sertifikaları IP adreslerini de güvence altına alabilir. Kurumsal ortamlarda ve dahili ağlarda yaygın olarak kullanılırlar.

Bir SSL / TLS sertifikasının iddia edebileceği en fazla kimlik Genişletilmiş Doğrulama seviyesi. EV SSL / TLS sertifikaları CA tarafından derinlemesine incelemeye ihtiyaç duyar, ancak web tarayıcılarının kendilerine benzersiz muamele uygulayan web sitelerine verecekleri ve doğrulanmış Kuruluş adlarını tarayıcının adres çubuğunda göstereceklerini belirten yeterince bilgi verir.

Doğrulama seviyeleri ve işlevsellik açısından göz önünde bulundurulması gereken hızlı bir şey, EV SSL / TLS sertifikalarının hiçbir zaman Wildcard işleviyle satılmamasıdır. Bu, son bölümde tartıştığımız Wildcard sertifikalarının açık uçlu doğası gereğidir.

Sertifika Yetkilileri Seçme ve Fiyatlandırma

Şimdi neye ihtiyacınız olduğunu bildiğinize göre, nereden edineceğinizi konuşalım. Yalnızca herhangi biri geçerli SSL / TLS sertifikası veremez ve geçerli olarak güvendiğimiz anlamına gelir. Güvenilir bir sertifika yetkilisinden veya CA'dan geçmeniz gerekir. CA'lar sıkı endüstri gereklilikleri ile bağlıdır ve düzenli denetime ve incelemeye tabidir. Bunun nedeni, Açık Anahtar Altyapısının çalışma şeklinden kaynaklanmaktadır. PKI, SSL / TLS’nin altındaki güven modelidir, bu nedenle kullanıcının tarayıcısının belirli bir SSL / TLS sertifikasının orijinal olduğunu doğrulayabilmesi ve güvenebilmesi gerekir.

Süre PKI ve köklere dalma Bu makalenin kapsamı dışında olduğundan, yalnızca güvenilir CA'ların güvenilir sertifika verebileceğini bilmek önemlidir. Bu yüzden sadece kendinize ait bir şeyi düzenleyemez ve kendiliğinden imzalayamazsınız. Tarayıcıların ayarlarını el ile ayarlamadan buna güvenmenin bir yolu olmazdı.

Ama hangi CA'yı seçmelisin?

Bu ne aradığına bağlı.

Çok fazla kimlik göstermesi gerekmeyen birçok basit web sitesi için, ücretsiz bir DV SSL / TLS sertifikası Şifreleyelim (veya diğer ücretsiz CA'lar) iyi bir seçimdir. Hiçbir şeye mal olmuyor ve ihtiyaç duyduğunuz şey için yeterli.

Bunun kuzeyinde ya da özellikle teknik olarak meraklı değilseniz, DigiCert, Sectigo, Entrust Datacard, vb. Gibi ticari bir Sertifika Yetkilisi ile gitmelisiniz.

Ama işte sorun şu: Doğrudan CA'lardan doğrudan en iyi fiyat alımını alamıyorsunuz.

Birden fazla CA'dan SSL / TLS sertifikaları sunan bir SSL Hizmeti satın alarak en iyi fiyat ve seçim kombinasyonunu elde edersiniz. Bunun nedeni basittir, bu SSL hizmetleri CA'lardan sertifikaları perakende satış müşterilerinden çok daha düşük fiyatla satın alın. Bu, sertifikaları çok indirimli fiyatlarla satmalarını sağlayarak tasarrufları tüketicilere iletir.

Bazı durumlarda, üreticinin önerdiği perakende satış fiyatından% 85 kadar tasarruf edebilirsiniz. doğrudan satın almak yerine SSL servisinden geçiyor.

Özel SSL servislerini SSL / TLS'de ÖZELLEŞTİR, daha iyi müşteri desteği sunacaklarını, yüklemenize yardımcı olacaklarını ve web sitenize mümkün olan en iyi güvenliği sağlamak için uygulamalarınızı nasıl optimize edeceklerini bildiklerini unutmayın.

Kalabalık kaynaklı destek için bir bilet sistemi üzerinden çalışmanız veya eski forum yayınlarını elemeniz gereken ücretsiz CA'larla (ve hatta bazı ticari markalarla) zıtlık yaratın ve bunun değeri açık.

Bazı teknoloji meraklısı web sitesi sahipleri için verilen destek sorunu bir sorun değil. Ve eğer her şeyi kendiniz nasıl destekleyeceğinizi biliyorsanız, ücretsiz rotaya gitmekte kesinlikle yanlış bir şey yoktur.

Ancak diğer site sahipleri için, sertifikanın kendisine daha az para ödersiniz ve etrafına kurulan destek cihazları için daha fazla ödersiniz. Ayrıca, ücretsiz SSL / TLS ile daha yüksek doğrulama seviyelerine (OV / EV) veya gelişmiş işlevlere (Multi-Domain, Wildcards) erişemezsiniz. Bunları ticari CA'lardan veya SSL servislerinden almanız gerekir.

Yani, ücretli veya ücretsiz? Tek etki alanı DV'sinin ötesinde işlevsellik ve doğrulama isteyip istemediğinize ek olarak, sizin veya kuruluşunuzun ne kadar teknik açıdan uzman olduğuyla ilgili.

SSL / TLS Satın Alma Rehberi SSS

Q1. Genişletilmiş Doğrulama buna değer mi?

Birçok web sitesi için bir EV SSL / TLS sertifikası bir masraftan daha fazla bir yatırımdır. Maksimum kimlik belirlemenin ve web sitenize tercihli tarayıcı muamelesi yaptırmanın başka bir yolu yoktur. Ziyaretçiler bir web sitesine vardıklarında ve adres çubuğunda görünen kuruluşun adını gördüklerinde, derin bir psikolojik etkiye sahiptir. Bu etkiyi kağıt üzerinde ölçmek zor olsa da, anketler tutarlı bir şekilde insanların EV'leri ziyaret etmekte olan siteleri ziyaret etmekten daha iyi hissettiğini göstermektedir.

İnternette, her küçük parça sayılır, yani internette kimlik göstermek isteyen bir kurum iseniz, EV SSL / TLS sertifikaları bunu yapabilmek için en uygun yöntemdir.

Q2. SSL / TLS yazmaya devam ediyorsun, bu ne anlama geliyor?

SSL kısaltması Güvenli Yuva Katmanıve bugünkü bağlantılarımızı güvence altına almak için kullandığımız şifreleme protokolünün orijinal versiyonuydu. Güvenlik açıkları, endüstrisi çizim tahtasına geri götürmeden önce SSL 3.0’e kadar yol aldık. Transport Layer Security (TLS) SSL’nin halefi olarak tasarlanmıştır.

Bugün TLS 1.3'dayız, SSL 3.0 neredeyse tamamen kullanımdan kaldırıldı ve 2020 TLS 1.0 ve 1.1 tarafından da kullanımdan kaldırılacak. Günümüzün interneti neredeyse sadece TLS protokolüne dayanıyor olsa da, hala gizli olarak SSL olarak da bilinir.

Q3. SSL / TLS protokolü sürümleri nelerdir?

Bu, son sorumuzla ilgilidir, SSL ve TLS, HTTPS bağlantılarını kolaylaştıran iki protokoldür ve diğer tüm teknolojilerde olduğu gibi, bu protokollerin yeni güvenlik açıkları ve saldırılar keşfedildikçe periyodik olarak güncellenmesi gerekir. SSL 3.0 veya TLS 1.2'i gördüğünüzde, bu, SSL / TLS protokollerinin belirli bir sürümüne atıfta bulunur.

Şu anda, en iyi uygulama TLS 1.2 ve TLS 1.3'i desteklemektir, zira önceki sürümlerin bazıları istismara veya başkalarına karşı savunmasızdır.

Q4. Cipher Suites hakkında ne bilmeliyim?

Bir şifre paketi algoritmaların bir koleksiyon SSL / TLS şifreleme sürecinde kullanılacaktır. Genellikle bir tür açık anahtar algoritması, bir mesaj doğrulama algoritması ve bir simetrik (blok / akış) şifreleme algoritması içerir.

Hangi Cipher paketlerinin desteklemesi gerektiğine dair herhangi bir belirleme yapmadan önce, sunucularınızın neler yapabileceğini bilmeniz gerekir; bu, OpenSSL (veya alternatif SSL yazılımı) kütüphanenizi en modern yinelemesine güncellemek anlamına gelebilir. Küçük bir tavsiye, Elliptic Curve Cryptography kullanmak RSA'ya tercih edilir.

Q5. Garantiler önemli mi?

Herhangi bir ürün için büyük bir garantiye sahip olmak güzeldir ve SSL / TLS endüstrisi en cömert garantileri sunmaktadır. Sertifikanızı veren CA'nın kuruluş paranızın karşılığını veren bir sorunla karşı karşıya kalması durumunda ödeme yaparlar. Kuşkusuz ki, genel olarak SSL / TLS sertifikaları için bir onay niteliğinde olan bu kadar yaygın değil, aynı zamanda belirtmememiz gereken bir şey değil.


Patrick Nohe
Yazar hakkında: Patrick Nohe

Patrick Nohe kariyerine Miami Herald için bir muhabir ve köşe yazarı olarak başladı. Ayrıca İçerik Yöneticisi olarak görev yapmaktadır. SSL Mağazası ™.

WHSR Misafir Hakkında

Bu makale bir konuk katkıda bulunan tarafından yazılmıştır. Yazarın aşağıdaki görüşleri tamamen kendi başınadır ve WHSR'nin görüşlerini yansıtmayabilir.