SSL / TLS sertifikat xaridorning ko'rsatma

Maqola muallifi:
  • Onlayn biznes
  • Yangilangan sana: Jul 02, 2019

Hech kimga biror narsa qilish kerakligini aytishni yoqtirmaydi. Bu faqat insoniy tabiatdir, bunga qarshi isyon qilish, lekin ba'zan qila oladigan eng yaxshi narsa - labingizni tishlab, u bilan birga borishdir. Bunday vaziyatda HTTPS vakolati Bu Google va boshqa brauzer yaratuvchisi o'tgan Yoz tomonidan topshirildi.

Bugungi kunda HTTP orqali xizmat ko'rsatadigan har qanday veb-sayt "Xavfsiz emas" deb etiketlanadi, bu tirbandlikka va ayirboshlashga tahdid soluvchi epitsentr. Ya'ni, har bir veb-saytga endi SSL / TLS sertifikati kerak, bu esa HTTPS ga ko'chishni osonlashtiradi va veb-saytingiz va uning mehmonlari o'rtasida aloqa o'rnatishga yordam beradi.

Iyul oyidan boshlab, 2018, Chrome barcha HTTP saytlarini "xavfsiz emas" deb belgilagan (ko'proq ma'lumot olish).

Ushbu qo'llanma sizga SSL / TLS sertifikatini sotib olayotganda e'tiborga olish kerak bo'lgan narsalarni oladi. Siz va sizning veb-saytingiz uchun to'g'ri sertifikat to'g'risida qaror qabul qilishda sizga kerak bo'ladigan xususiyatlarni ko'rib chiqmasdan oldin texnologiyani qisqacha ko'rib chiqamiz.

SSL / TLS 101: Umumiy Tasavvur

Internetda ishonchli muloqot qilish uchun veb-saytni hosting serveriga ulanishga harakat qiluvchi server shifrlashdan foydalanish kerak. Shifrlash matematik jarayondir ma'lumotni o'qib bo'lmaydigan, faqat vakolatli shaxsga taqdim etadi. Bu shifrlash tugmachalari yordamida amalga oshiriladi va mijoz va server xavfsiz tarzda ulanish uchun ikkalasi ham bir xil kalit nusxasini olishlari kerak.

Bu muammo bo'lsa-da, bu kalitlarni qanday qilib xavfsiz almashtirish mumkin? Agar tajovuzkor shifrlash kalitini buzsa, bu shifrlash foydasizdir, chunki tajovuzkor matn ko'rinishida bo'lgani singari almashinadigan barcha ma'lumotlarni ham ko'ra olishi mumkin.

SSL / TLS kalit almashinuv muammosining yechimidir.

SSL / TLS ikkita narsani amalga oshiradi:

  1. Serverlar kimligini tekshiradi, chunki ular mijozlar qaysi shaxsga ulanishni bilishadi
  2. Xavfsiz muloqot qilish uchun ishlatilishi mumkin bo'lgan sessiya kalitini almashtirishni osonlashtiradi

Bu biroz mavhum ko'rinishi mumkin, shuning uchun uni harakatga keltiring.

Har doim mijoz HTTPS orqali veb-saytga ulanishga harakat qiladi - bu Gipermatn uzatish protokoli (HTTP) ning xavfsiz versiyasi. Internet o'nlab yillar davomida ishlatilgan - mijoz va saytni hosting qiluvchi server o'rtasidagi sahnalar ortida bir qator o'zaro ta'sirlar yuzaga keladi.

SSL / TLS shifrlashda qatnashadigan ikki turdagi shifrlash kalitlari mavjud. Biz yuqorida aytib o'tilgan nosimmetrik sessiya tugmachalari mavjud. Ular shifrlashda va parolni almashtirishda va ulanish paytida muloqot qilishda foydalanishi mumkin. Boshqa kalitlar umumiy / xususiy kalit juftligi. Ushbu shifrlash shakli ochiq kalit kriptografiya deb ataladi. Umumiy kaliti shifrlashi mumkin, maxfiy kalit parolini oladi.

Boshida mijoz va server o'zaro qo'llab-quvvatlanadigan shifrlangan to'plamni tanlaydi. Cipher to'plami ulanish vaqtida ishlatiladigan shifrlashni boshqaradigan algoritmlar to'plami.

Shifrlangan paketlar haqida kelishib olgach, server SSL sertifikatini va ochiq kalitni yuboradi. Bir qator tekshiruvlar orqali mijoz serverni tasdiqlaydi, identifikatorini tasdiqlaydi va u bilan bog'liq bo'lgan umumiy kalitning haqiqiy egasi hisoblanadi.

Ushbu tekshiruvdan so'ng, mijoz bir seans kalitini (yoki uni olish uchun foydalaniladigan sirni) ishlab chiqaradi va uni serverga yuborishdan oldin uni shifrlash uchun serverning ochiq kalitidan foydalanadi. Uning shaxsiy kalitidan foydalanib, server sessiya kalitini parollaydi va shifrlangan aloqa boshlanadi (bu RSA - Diffie-Hellman kalit almashinuvi biroz farq qiladi).

Agar bu hali ham murakkab bo'lsa, keling, uni yanada soddalashtiraylik.

  • Xavfsiz muloqot qilish uchun ikkala tomon nosimmetrik sessiya kalitlarini almashishi kerak
  • SSL / TLS bu sessiya tugmachalarini umumiy kalit shifrlash bilan almashinuvini osonlashtiradi
  • Server identifikatorini tekshirib bo'lgach, sessiya tugmachasi yoki maxfiy kod umumiy kalit bilan shifrlangan
  • Server seans kalitini parolini olish va shifrlangan aloqani boshlash uchun o'z shaxsiy kalitidan foydalanadi

Keling, veb-sayt egasi sifatida, SSL / TLS sertifikatini sotib olayotganda yoki sotib olayotganda e'tiborga olishingiz kerak bo'lgan narsaga kiraylik.

SSL / TLS sertifikatini sotib olayotganda nimani e'tiborga olish kerak?

SSL / TLS sertifikatini sotib olganingizda, siz ikkita asosiy savol bo'yicha qaror qabul qildingiz:

  1. Qaysi joyni qoplashingiz kerak?
  2. Sizning hisob-kitobingiz qancha?

Bu savollarga javob berganda, sertifikat to'plash tovar belgisi va narxga aylanadi, siz kerakli mahsulot turini bilib olasiz.

Keling, avvalo, juda muhim haqiqatni belgilaymiz: bu ikki savolga qanday javob berishingizdan qat'i nazar, barcha SSL / TLS sertifikatlari bir xil shifrlash quvvatini taqdim etadi.

Shifrlash kuchi qo'llab-quvvatlanadigan shifrlangan paketlarning kombinatsiyasi va mijozning va serverning ulanishning har ikki uchida hisoblash quvvatini belgilaydi. Bozorda eng qimmat SSL / TLS sertifikati va umuman bepul bo'lgan bir xil sanoat standarti shifrini engillashtiradi.

Sertifikatlarga ega bo'lgan narsalar identifikatsiya darajasi va ularning funktsionalligi.

Keling, nimani qoplash kerakligini bilib olamiz.

1-SSL / TLS sertifikatining funksionalligi

Zamonaviy veb-saytlar, siz hali ham traffikni kuzatib borish uchun sahifaning pastki qismida hisoblagichlar qo'yganingizda, Internetning dastlabki kunlarida nima bo'lishidan qat'iy nazar rivojlandi. Bugungi kunda tashkilotlar ichki va tashqi infratuzilmani murakkablashtirdi. Biz bir nechta domenlar, pastki domenlar, pochta serverlari va boshqalar haqida gapiramiz.

Yaxshiyamki, SSL / TLS sertifikatlari zamonaviy veb-saytlar bilan birga ular xavfsizligini ta'minlash uchun rivojlandi. Har foydalanish holatlari uchun sertifikat turi mavjud, ammo sizning ma'lum foydalanish holatlaringiz qanday bo'lishini bilishingiz kerak.

To'rt xil SSL / TLS sertifikat turini va ularning funksiyalarini ko'rib chiqaylik:

  • Yagona domeni - Nomidan kelib chiqqanidek, SSL / TLS sertifikati bitta domen uchun (WWW va WWW tashqari versiyalar).
  • Multi-domeni - Ushbu turdagi SSL / TLS sertifikati bir nechta veb-saytlarga ega bo'lgan tashkilotlar uchun, ular bir vaqtning o'zida 250 turli domenlarga xavfsizligini ta'minlashi mumkin.
  • Wildcard - bitta domen uchun havfsizlik va unga qo'shadigan birinchi darajali pastki domenlarning hammasi - sizda bo'lganlaringiz soni (cheksiz).
  • Multi-Domain Joker belgisi - Barcha funksiyalarga ega bo'lgan SSL / TLS sertifikati, bir vaqtning o'zida 250 turli domenlarga va unga qo'shiladigan pastki domenlarga shifrlashi mumkin.

Wildcard sertifikatlari haqida tezkor so'z. Joker belgilar juda ko'p qirrali bo'lib, cheksiz ko'p miqdordagi pastki domenlarni shifrlashi mumkin va hatto ular chiqarilgandan so'ng qo'shilgan yangi subdomiyalarni qidirib qodir. Joker belgilarni yaratish vaqtida, yulduzcha (ba'zida joker belgilar deb ataladi) shifrlashni xohlaydigan pastki domen darajasida ishlatiladi. Bu tasdiqlangan domenning ushbu URL darajasidagi har qanday kichik domen sertifikatning ochiq / shaxsiy kalit juftligi bilan to'g'ri bog'langanligini bildiradi.

2-SSL / TLS Muddati tekshirish darajasi

Qaysi sirtlarni qoplashingiz kerakligini tushunib etgach, o'zingiz tasdiqlaydigan qancha identifikatorni aniqlash kerak. Uchta tasdiqlash darajasi mavjud, ular sizning va sizning veb-saytingiz orqali sizning SSL / TLS sertifikatingizni chiqaradigan Sertifikat idorasini tekshirish miqdoriga mos keladi.

Tekshirishning uchta darajasi: domeni tekshirish, tashkilotning tekshiruvi va kengaytirilgan tekshirish.

Tekshirishning eng asosiy darajasi deyiladi domen tekshirish. Ushbu tekshiruvni bajarish va sertifikatni topshirish uchun bir necha daqiqa kerak bo'ladi, ammo u eng kam identifikatsiya ma'lumotlarini taqdim etadi - faqat serverni tasdiqlash. DV-SSL / TLS sertifikatlari eng ko'p ishlatiladigan, lekin ularning identifikatsiyalanmaganligi sababli, ulardan foydalanadigan veb-saytlar neytral brauzerni qabul qilishadi.

Tashkilotning tekshiruvi sizning saytingizga tashrif buyuruvchilarga qaerga qarash kerakligini bilish sharti bilan ular bilan qanday aloqada bo'lishlari haqida yaxshiroq fikr bildiradigan ko'proq tashkiliy axborot beradi. OV SSL / TLS sertifikatlari o'rtacha miqdorda tekshirishni talab qilsa-da, ular neytral brauzerni davolashdan qochish uchun yetarli identifikatorni tasdiqlamaydilar. OV SSL sertifikatlari alohida IP-adreslarini ham ta'minlaydi. Ular odatda Enterprise muhitida va ichki tarmoqlarda ishlatiladi.

SSL / TLS sertifikatining eng ko'p identifikatsiyalanishi quyidagicha bo'lishi mumkin: kengaytirilgan tekshirish Daraja. UYS SSL / TLS sertifikatlari CA tomonidan chuqur tekshiruvni talab qiladi, biroq veb-brauzerlarning ularga noyob muomalalarni tarqatadigan veb-saytlar beradigan etarlicha aniqlovchi ma'lumotni tasdiqlashi - brauzerning manzil satriga tasdiqlangan tashkilot nomi ko'rsatilmoqda.

Tasdiqlash darajalari va funktsional imkoniyatlari bilan bog'liq ravishda ko'rib chiqiladigan tezkor narsalardan biri, EVSL / TLS sertifikatlari hech qachon Joker karta funktsiyasi bilan sotilmasligi. Bu oxirgi bo'limda muhokama qilingan "Yandeks" sertifikatlarining ochiq-oydin tabiatiga bog'liq.

Sertifikat otryadlarini yig'ish va narxlash

Endi nimaga muhtoj ekaningizni bilib olaylik, uni qaerdan sotib olishi haqida gaplashaylik. Faqatgina hech kim haqiqiy SSL / TLS sertifikatlarini bera olmaydi va biz ishonchli degan ma'noni anglatadi. Siz ishonchli sertifikat organi yoki CA orqali o'tishingiz kerak. CA-lari qattiq sanoat talablari bilan bog'liq va muntazam tekshirishlar va tekshiruvlar o'tkazilishi kerak. Buning sababi "Public Key Infrastructure" ning ishlaridan kelib chiqadi. PKI - bu SSL / TLSni qo'llab-quvvatlovchi ishonchli model, shuning uchun foydalanuvchi brauzeri haqiqiyligini tasdiqlashi va berilgan SSL / TLS sertifikatiga ishonishi mumkin.

paytda PKI va ildizlarga aylanish ushbu maqolaning doirasidan tashqarida bo'lsa, faqat ishonchli CA'lar ishonchli sertifikatlar berishi mumkinligini bilish muhimdir. Shuning uchun siz o'zingiz va o'zingiz imzo chekishingiz mumkin emas. Brauzerlar o'z sozlamalarini qo'l bilan o'zgartirishsiz ishonishning hech qanday usuli yo'q.

Lekin qaysi CA ni tanlashingiz kerak?

Bu siz izlayotgan narsaga bog'liq.

Ko'pgina oddiy veb-saytlar uchun ko'p identifikatsiyani talab qilmaydigan, bepul DV-SSL / TLS sertifikati Keling, shifrlanamiz (yoki boshqa bepul CA) yaxshi tanlovdir. Hech narsaga arzimaydi va kerakli narsa uchun etarli.

Buning shimoliy qismida yoki ayniqsa siz texnik jihatdan g'ayrioddiy bo'lsangiz, DigiCert, Sectigo, Entrust Datacard va boshqalar kabi savdo sertifikat organi bilan borishingiz kerak.

Lekin bu narsa: sizning kompyuteringizdan eng yaxshi narxlashni sotib olmaysiz.

Ko'p CA'lardan SSL / TLS sertifikatlarini taklif qiluvchi SSL xizmatidan sotib olish yo'li bilan narxlash va tanlovning eng yaxshi kombinatsiyasini olasiz. Buning sababi oddiy, bu SSL xizmatlari chakana mijozlarga nisbatan ancha past narxlardagi CA-lardan sertifikatlar sotib olish. Bu ularga sertifikatlarni iste'molchilarga etkazib berishga imkon beradi.

Ba'zi hollarda, ishlab chiqaruvchilar tomonidan taklif etilgan chakana narxdan 85% gacha tejashingiz mumkin to'g'ridan-to'g'ri sotib olish o'rniga SSL xizmatidan o'tadi.

Shuni esda tutingki, SSL / TLS-da maxsus SSL xizmatlari SPIDIALIZE (SSL / TLS) da maxsus mijozlarga yordam berishni taklif qilmoqdalar, ular uni o'rnatishingizga yordam beradi va sizning veb-saytingizni eng yaxshi xavfsizligini ta'minlash uchun ilovalarni optimallashtirishni biladilar.

Agar chipta tizimi orqali ishlashni yoki oldingi forum postlaridan o'tishi kerak bo'lgan bepul CA (va hatto ba'zi tijorat egalari) bilan kontrast, va qiymat juda aniq.

Albatta, ayrim texnik bilimdon veb-sayt egalari uchun qo'llab-quvvatlash masalasi muammo emas. Agar siz o'zingizni hamma narsani qanday qilib qo'llab-quvvatlashni bilsangiz, bepul yo'nalishga o'tishda hech qanday yomonlik yo'q.

Ammo boshqa sayt egalari uchun, siz sertifikatning o'zi uchun va undan atrofida qurilgan qo'llab-quvvatlash qurilmalari uchun ko'proq pul to'laysiz. Bundan tashqari, yuqori sertifikat darajalariga (OV / EV) yoki rivojlangan funksiyalarga (Multi-Domain, Wildcard) bepul SSL / TLS bilan kirish imkoniga ega emassiz. Siz ularni tijorat maqsadlarida yoki SSL xizmatlaridan olishingiz kerak.

Xo'sh, pulli yoki bepulmi? Bu sizning yoki tashkilotingiz texnik jihatdan etarlicha bilimga ega emas, shuningdek, bitta domen DV-dan tashqari funktsionallik va tasdiqlashni xohlaysizmi.

SSL / TLS xaridorning ko'rsatma savollar

Q1. Bunga arziydimi?

Ko'pchilik veb-saytlar uchun EVSL / TLS sertifikati xarajatlardan ko'ra ko'proq sarmoyadir. Maksimal identifikatsiyani tasdiqlash va veb-saytingizning imtiyozli brauzerli davolanishini olishning boshqa usuli yo'q. Foydalanuvchilar veb-saytga tashrif buyurib, manzillar panelida ko'rsatilgan tashkilotning nomini ko'rishganda, u chuqur ruhiy ta'sirga ega. Ushbu ta'sir qog'ozga aniqlik kiritish qiyin bo'lsa-da, so'rovlar izchil ravishda odamlar tashrif buyuradigan saytlarni VV bilan tashrif buyuradigan saytlardan yaxshiroq his qiladilar.

Internetda har bir kichik narsa hisobga olinadi, shuning uchun siz internetda identifikatsiya qilishni xohlaydigan tashkilot bo'lsangiz, EVSL / TLS sertifikatlari buni amalga oshirishning eng yaxshi usuli hisoblanadi.

Q2. Siz SSL / TLS yozishni davom ettirasiz, bu nimani anglatadi?

SSL - bu uchun Secure Sockets Layer, va bu kunga aloqalarimizni ta'minlash uchun foydalanadigan shifrlash protokolining original versiyasi edi. Zaifliklar sanoati rasm chizig'iga qaytarishdan oldin SSL 3.0-ga yo'l oldik Transport qatlami xavfsizligi (TLS) SSL ning o'rnini egallashi uchun mo'ljallangan.

Bugungi kunda biz TLS 1.3-da, SSL 3.0 deyarli butunlay bekor qilingan va 2020 TLS 1.0 va 1.1 ham eskirib qoladi. Bugungi internet deyarli faqat TLS protokoliga asoslangan bo'lsa-da, hozircha SSL sifatida tanilgan.

Q3. SSL / TLS protokoli versiyalari qanday?

Bu bizning so'nggi savolimizga javob beradi, SSL va TLS - bu HTTPS ulanishlarini osonlashtiradigan ikkita protokol bo'lib, va boshqa har qanday texnologiya bilan o'xshash protokollar muntazam ravishda yangi zaifliklar va hujumlar aniqlanishi kerak. SSL 3.0 yoki TLS 1.2 ko'rganingizda, SSL / TLS protokollarining muayyan versiyasiga ishora qiladi.

Hozirgi kunda eng yaxshi amaliyot TLS 1.2 va TLS 1.3 ni qo'llab-quvvatlashdan iborat, chunki avvalgi versiyalar ayrim ekspluatatsiyaga yoki boshqalarga nisbatan zaif ekanligi aniqlandi.

Q4. Cipher Suites haqida nima bilishim kerak?

Cipher to'plami algoritmlar to'plamidir SSL / TLS shifrlash jarayonida ishlatiladi. Ular, odatda, bir qator ommaviy kalit algoritmi, xabarlar autentifikatsiya algoritmi va nosimmetrik (blok / oqim) shifrlash algoritmini o'z ichiga oladi.

Cipher suitlarini qo'llab-quvvatlash uchun qanday qaror qabul qilishingizdan oldin, sizning serverlaringizning nimaga qodirligini bilishingiz kerak. Bu sizning OpenSSL (yoki muqobil SSL dasturiy ta'minot) kutubxonangizni eng zamonaviy ierarxiyasiga yangilashni anglatadi. Tavsiya etilgan so'z, Elliptik naychadan foydalanish kriptografiyasini qo'llash RSA uchun afzaldir.

Q5. Kafolatlar muhimmi?

Har qanday mahsulot bilan katta kafolatlarga ega bo'lish yaxshi va SSL / TLS sanoati u erda eng saxiy kafolatlar beradi. Agar siz sertifikat bergan CA sizning tashkilotingiz pullariga bog'liq bo'lgan muammo bilan duch kelsa, ular to'laydi. Ishonchim komilki, SSL / TLS sertifikatlarini umuman qo'llab-quvvatlaydigan bu umumiy narsa emas, shuningdek, biz ko'rsatmasligimiz kerak emas.


Patrik Nohe
Muallif haqida: Patrik Nohe

Patrik Nohe "Mayami Herald" gazetasi muxbiri va sharhlovchisi sifatida ish faoliyatini boshladi. Shuningdek, u Kontent menejeri sifatida xizmat qiladi SSL Store ™.

WHSR Mehmon haqida

Ushbu maqola mehmonlar tomonidan yaratilgan. Quyidagi muallifning fikrlari butunlay uning o'ziga xosdir va WHSRning fikrlarini aks ettirishi mumkin emas.

»I ¿