Hướng dẫn người mua chứng chỉ SSL / TLS

Bài viết được viết bởi:
  • Kinh doanh trực tuyến
  • Cập nhật: Có thể 10, 2019

Không ai thích bị nói rằng họ PHẢI làm điều gì đó. Đó chỉ là bản chất của con người để chống lại điều đó, nhưng đôi khi điều tốt nhất bạn có thể làm là cắn môi và đi theo nó. Đó là trường hợp với nhiệm vụ HTTPS đã được Google và nhà sản xuất trình duyệt khác truyền lại vào Mùa hè năm ngoái.

Ngày nay, bất kỳ trang web nào vẫn đang được phục vụ qua HTTP đều được gắn nhãn là Không bảo mật, một biểu tượng đe dọa lưu lượng truy cập và chuyển đổi. Điều đó có nghĩa là mọi trang web hiện cần chứng chỉ SSL / TLS, tạo điều kiện di chuyển sang HTTPS và giúp bảo mật liên lạc giữa trang web của bạn và khách truy cập.

Bắt đầu từ tháng 7 2018, Chrome đã đánh dấu tất cả các trang web HTTP là không bảo mậttìm hiểu thêm).

Hướng dẫn này sẽ đi qua những điều bạn cần xem xét khi mua chứng chỉ SSL / TLS. Chúng tôi sẽ bắt đầu với một tổng quan ngắn gọn về công nghệ trước khi đi sâu vào chi tiết cụ thể mà bạn sẽ cần sắp xếp khi quyết định chứng nhận phù hợp cho bạn và trang web của bạn.

SSL / TLS 101: Tổng quan

Để giao tiếp an toàn trên internet, máy chủ lưu trữ trang web và máy khách đang cố gắng kết nối với nó cần phải được sử dụng mã hóa. Mã hóa là một quá trình toán học kết xuất dữ liệu không thể đọc được cho bất cứ ai trừ một bên được ủy quyền. Nó được thực hiện bằng các khóa mã hóa và để máy khách và máy chủ kết nối an toàn với cả hai cần sở hữu một bản sao của cùng một khóa.

Tuy nhiên, đó là một vấn đề, làm thế nào để bạn trao đổi các khóa đó một cách an toàn? Nếu kẻ tấn công có thể xâm phạm khóa mã hóa, nó sẽ khiến mã hóa trở nên vô dụng vì kẻ tấn công vẫn có thể thấy tất cả dữ liệu được trao đổi như thể nó ở trong bản rõ.

SSL / TLS là giải pháp cho vấn đề trao đổi khóa.

SSL / TLS hoàn thành hai điều:

  1. Nó xác thực máy chủ để khách hàng biết họ đang kết nối với thực thể nào
  2. Nó tạo điều kiện trao đổi khóa phiên có thể được sử dụng để liên lạc an toàn

Điều đó có vẻ hơi trừu tượng vì vậy hãy đưa nó vào chuyển động.

Bất cứ khi nào khách hàng cố gắng kết nối với một trang web thông qua HTTPS - đây là phiên bản bảo mật của Giao thức truyền siêu văn bản (HTTP) Internet đã được sử dụng trong nhiều thập kỷ - một loạt các tương tác xảy ra đằng sau hậu trường giữa máy khách nói trên và máy chủ lưu trữ trang web.

Có hai loại khóa mã hóa liên quan đến mã hóa SSL / TLS. Có các khóa phiên đối xứng mà chúng ta vừa đề cập. Chúng có thể vừa mã hóa vừa giải mã và được sử dụng để liên lạc trong quá trình kết nối. Các khóa khác là cặp khóa công khai / riêng. Hình thức mã hóa này được gọi là mật mã khóa công khai. Khóa công khai có thể mã hóa, khóa riêng giải mã.

Ngay từ đầu, máy khách và máy chủ sẽ chọn một bộ mật mã được hỗ trợ lẫn nhau. Một bộ mật mã là tập hợp các thuật toán chi phối mã hóa sẽ được sử dụng trong quá trình kết nối.

Khi một bộ mật mã đã được thỏa thuận, máy chủ sẽ gửi chứng chỉ SSL và khóa chung. Thông qua một loạt các kiểm tra, máy khách xác thực máy chủ, xác minh danh tính của nó và đó là chủ sở hữu hợp pháp của khóa Công khai liên quan.

Sau khi xác minh này, khách hàng tạo một khóa phiên (hoặc bí mật có thể được sử dụng để lấy một khóa) và sử dụng khóa chung của máy chủ để mã hóa nó trước khi gửi nó đến máy chủ. Sử dụng khóa riêng, máy chủ giải mã khóa phiên và kết nối được mã hóa bắt đầu (đây là hình thức trao đổi khóa phổ biến nhất, như được thực hiện với RSA - Trao đổi khóa Diffie-Hellman khác nhau một chút).

Nếu điều đó vẫn có vẻ hơi phức tạp, hãy đơn giản hóa nó nhiều hơn nữa.

  • Để liên lạc an toàn, cả hai bên cần chia sẻ các khóa phiên đối xứng
  • SSL / TLS tạo điều kiện trao đổi các khóa phiên đó với mật mã khóa công khai
  • Sau khi xác minh danh tính máy chủ, khóa phiên hoặc bí mật được mã hóa bằng khóa chung
  • Máy chủ sử dụng khóa riêng để giải mã khóa phiên và bắt đầu liên lạc được mã hóa

Bây giờ, hãy tìm hiểu những gì bạn, với tư cách là chủ sở hữu trang web, cần xem xét khi mua hoặc mua chứng chỉ SSL / TLS.

Cần cân nhắc điều gì khi mua chứng chỉ SSL / TLS?

Khi bạn mua chứng chỉ SSL / TLS, bạn sẽ đưa ra quyết định cho hai câu hỏi chính:

  1. Bạn cần phủ bề mặt nào?
  2. Bạn muốn khẳng định bao nhiêu danh tính?

Khi bạn có thể trả lời những câu hỏi này, việc chọn chứng chỉ trở thành vấn đề về thương hiệu và chi phí, bạn sẽ biết loại sản phẩm bạn cần.

Bây giờ, trước khi chúng ta đi xa hơn, hãy thiết lập một thực tế rất quan trọng: bất kể bạn trả lời hai câu hỏi đó như thế nào, tất cả các chứng chỉ SSL / TLS đều cung cấp sức mạnh mã hóa như nhau.

Độ mạnh mã hóa được xác định bởi sự kết hợp của các bộ mật mã được hỗ trợ và khả năng tính toán của máy khách và máy chủ ở hai đầu của kết nối. Chứng chỉ SSL / TLS đắt nhất trên thị trường và chứng chỉ hoàn toàn miễn phí sẽ tạo điều kiện thuận lợi cho cùng mức mã hóa theo tiêu chuẩn ngành.

Những gì thay đổi với chứng chỉ là mức độ nhận dạng và chức năng của chúng.

Hãy bắt đầu với những bề mặt bạn cần che.

Chức năng chứng chỉ 1- SSL / TLS

Các trang web hiện đại đã phát triển vượt xa những gì chúng có trong thời kỳ đầu của Internet khi bạn vẫn đặt các quầy ở cuối trang để theo dõi lưu lượng truy cập. Ngày nay các tổ chức có cơ sở hạ tầng web phức tạp, cả bên trong và bên ngoài. Chúng ta đang nói về nhiều tên miền, tên miền phụ, máy chủ thư, v.v.

May mắn thay, chứng chỉ SSL / TLS đã phát triển cùng với các trang web hiện đại để giúp bảo mật chúng tốt hơn. Có một loại chứng chỉ cho mọi trường hợp sử dụng, nhưng nó phụ thuộc vào bạn để biết trường hợp sử dụng cụ thể của bạn sẽ là gì.

Chúng ta hãy xem bốn loại chứng chỉ SSL / TLS khác nhau và chức năng của chúng:

  • Tên miền đơn - Đúng như tên gọi, chứng chỉ SSL / TLS này dành cho một tên miền (cả phiên bản WWW và không WWW).
  • Đa miền - Loại chứng chỉ SSL / TLS này dành cho các tổ chức có nhiều trang web, họ có thể bảo mật đồng thời lên đến nhiều tên miền khác nhau.
  • Ký tự đại diện - Bảo mật cho một tên miền, cộng với tất cả các tên miền cấp một đi kèm - bao nhiêu bạn có (không giới hạn).
  • Ký tự đại diện đa miền - Chứng chỉ SSL / TLS có đầy đủ chức năng, có thể mã hóa tối đa 250 các tên miền khác nhau và tất cả các tên miền phụ đi kèm.

Một từ nhanh chóng về chứng chỉ Wildcard. Ký tự đại diện rất linh hoạt, chúng có thể mã hóa số lượng tên miền phụ không giới hạn và thậm chí có khả năng đảm bảo các tên miền phụ mới được thêm vào sau khi phát hành. Khi tạo Ký tự đại diện, dấu hoa thị (đôi khi được gọi là ký tự đại diện) được sử dụng ở cấp tên miền phụ bạn muốn mã hóa. Điều này biểu thị rằng bất kỳ tên miền phụ nào ở cấp URL đó của tên miền được xác minh đều được liên kết hợp lệ với cặp khóa công khai / riêng của chứng chỉ.

Cấp độ chứng nhận chứng chỉ 2- SSL / TLS

Sau khi bạn tìm ra những bề mặt bạn cần che, đã đến lúc xác định mức độ bạn muốn xác nhận. Có ba cấp độ xác thực, những cấp độ này đề cập đến số lượng kiểm tra của Cơ quan cấp chứng chỉ phát hành chứng chỉ SSL / TLS của bạn sẽ đưa bạn và trang web của bạn đi qua.

Ba cấp độ xác thực: Xác thực tên miền, Xác thực tổ chức và Xác thực mở rộng.

Mức xác nhận cơ bản nhất được gọi là Validation miền. Chỉ mất vài phút để hoàn thành xác nhận này và cấp chứng chỉ, nhưng nó cung cấp thông tin nhận dạng ít nhất - chỉ xác thực máy chủ. Chứng chỉ DV SSL / TLS được sử dụng phổ biến nhất, nhưng do thiếu bản sắc, các trang web sử dụng chúng được xử lý trình duyệt trung lập.

Xác nhận Tổ chức cung cấp thêm thông tin tổ chức, cung cấp cho khách truy cập trang web của bạn ý tưởng tốt hơn về người mà họ đang giao dịch, miễn là họ biết nơi để tìm. Chứng chỉ OV SSL / TLS yêu cầu số lượng kiểm duyệt vừa phải, tuy nhiên, chúng không khẳng định đủ danh tính để tránh điều trị trình duyệt trung lập. Chứng chỉ SSL OV cũng có thể bảo mật các địa chỉ IP chuyên dụng. Chúng thường được sử dụng trong môi trường Doanh nghiệp và trên các mạng nội bộ.

Chứng nhận SSL / TLS có thể nhận dạng nhiều nhất tại Validation Extended cấp độ. Chứng chỉ EV SSL / TLS yêu cầu CA kiểm tra chuyên sâu, nhưng họ khẳng định đủ thông tin nhận dạng mà trình duyệt web sẽ cung cấp cho các trang web triển khai chúng đối xử - hiển thị tên Tổ chức đã được xác minh của họ trong thanh địa chỉ của trình duyệt.

Một điều nhanh chóng để xem xét liên quan đến mức độ xác nhận và chức năng là chứng chỉ EV SSL / TLS không bao giờ được bán với chức năng Wildcard. Điều này có được nhờ vào bản chất mở của chứng chỉ Wildcard mà chúng ta đã thảo luận trong phần trước.

Chọn cơ quan cấp chứng chỉ và giá

Bây giờ bạn đã biết những gì bạn cần, hãy nói về nơi để có được nó từ đâu. Không phải ai cũng có thể cấp chứng chỉ SSL / TLS hợp lệ và bằng cách hợp lệ, chúng tôi có nghĩa là đáng tin cậy. Bạn phải thông qua một cơ quan chứng nhận tin cậy hoặc CA. CA bị ràng buộc bởi các yêu cầu nghiêm ngặt của ngành và chịu sự kiểm tra và giám sát thường xuyên. Lý do cho điều này bắt nguồn từ cách Cơ sở hạ tầng khóa công khai hoạt động. PKI là mô hình tin cậy bao gồm SSL / TLS, đó là lý do tại sao trình duyệt của người dùng có thể xác minh tính xác thực và tin tưởng vào chứng chỉ SSL / TLS nhất định.

Trong khi đào sâu vào PKI và rễ nằm ngoài phạm vi của bài viết này, điều quan trọng cần biết là chỉ các CA đáng tin cậy mới có thể cấp chứng chỉ tin cậy. Đây là lý do tại sao bạn không thể tự phát hành và tự ký tên. Các trình duyệt sẽ không có cách nào để tin tưởng nó mà không điều chỉnh cài đặt thủ công.

Nhưng bạn nên chọn CA nào?

Điều đó phụ thuộc vào những gì bạn đang tìm kiếm.

Đối với nhiều trang web đơn giản không cần xác nhận nhiều danh tính, chứng chỉ DV SSL / TLS miễn phí từ Hãy mã hóa (hoặc các CA miễn phí khác) là một lựa chọn tốt. Nó không tốn bất cứ thứ gì và nó đủ cho những gì bạn cần.

Bất cứ điều gì ở phía bắc đó, hoặc nếu bạn không đặc biệt am hiểu về kỹ thuật, bạn nên đến với Tổ chức chứng nhận thương mại như DigiCert, Sectigo, Entrust Datacard, v.v.

Nhưng đây là điều: bạn không nhận được giá mua tốt nhất trực tiếp từ các CA.

Bạn có được sự kết hợp tốt nhất về giá và lựa chọn bằng cách mua thông qua Dịch vụ SSL cung cấp chứng chỉ SSL / TLS từ nhiều CA. Lý do cho điều này là đơn giản, các dịch vụ SSL này chứng chỉ mua hàng từ CA với số lượng lớn với giá thấp hơn nhiều so với khách hàng bán lẻ nhận được. Điều đó cho phép họ bán các chứng chỉ với mức chiết khấu sâu, chuyển tiền tiết kiệm cho người tiêu dùng.

Trong một số trường hợp, bạn có thể tiết kiệm nhiều như 85% so với giá bán lẻ đề xuất của nhà sản xuất bằng cách thông qua dịch vụ SSL thay vì mua trực tiếp.

Hãy nhớ rằng, các dịch vụ SSL chuyên dụng ĐẶC BIỆT trong SSL / TLS, họ sẽ cung cấp hỗ trợ khách hàng tốt hơn, họ có thể giúp bạn cài đặt nó và họ biết cách tối ưu hóa việc triển khai của bạn để cung cấp bảo mật tốt nhất cho trang web của bạn.

Ngược lại với các CA miễn phí (và thậm chí một số thương mại) nơi bạn phải làm việc thông qua hệ thống bán vé hoặc chọn lọc qua các bài đăng trên diễn đàn cũ để được hỗ trợ bởi đám đông và giá trị rất rõ ràng.

Cấp, đối với một số chủ sở hữu trang web am hiểu công nghệ, vấn đề hỗ trợ không phải là vấn đề. Và chắc chắn không có gì sai khi đi theo con đường miễn phí nếu bạn biết cách tự hỗ trợ mọi thứ.

Nhưng đối với các chủ sở hữu trang web khác, bạn sẽ trả ít hơn cho chính chứng chỉ và nhiều hơn cho bộ máy hỗ trợ được xây dựng xung quanh nó. Bạn cũng không có quyền truy cập vào các mức xác thực cao hơn (OV / EV) hoặc chức năng nâng cao (Đa tên miền, Ký tự đại diện) với SSL / TLS miễn phí. Bạn đã có được những thứ đó từ các dịch vụ CA thương mại hoặc SSL.

Vậy, trả tiền hay miễn phí? Nó phụ thuộc vào mức độ thành thạo về mặt kỹ thuật của bạn hoặc tổ chức của bạn, ngoài việc bạn có muốn chức năng và xác nhận vượt ra ngoài DV miền đơn hay không.

Câu hỏi thường gặp về Hướng dẫn mua SSL / TLS

Q1. Là xác nhận mở rộng có giá trị nó?

Đối với nhiều trang web, chứng chỉ EV SSL / TLS là một khoản đầu tư nhiều hơn là một khoản chi phí. Không có cách nào khác để khẳng định danh tính tối đa và nhận được điều trị trình duyệt ưu tiên trang web của bạn. Khi khách truy cập đến một trang web và thấy tên của tổ chức được hiển thị trên thanh địa chỉ, nó có tác dụng tâm lý sâu sắc. Mặc dù hiệu quả đó rất khó để định lượng trên giấy, nhưng các cuộc khảo sát luôn thấy rằng mọi người cảm thấy tốt hơn khi truy cập các trang web có EV hơn là truy cập các trang web không có nó.

Trên internet, mỗi bit đều có giá trị, vì vậy nếu bạn là một tổ chức muốn xác nhận danh tính trên web, chứng chỉ EV SSL / TLS là phương pháp khả dụng tốt nhất để làm điều đó.

Q2. Bạn cứ viết SSL / TLS, điều đó có nghĩa là gì?

SSL là viết tắt của Secure Sockets Layervà đó là phiên bản gốc của giao thức mã hóa mà chúng tôi sử dụng để bảo mật các kết nối của chúng tôi cho đến ngày nay. Chúng tôi đã tìm mọi cách để SSL 3.0 trước khi các lỗ hổng buộc ngành công nghiệp quay trở lại bảng vẽ, nơi Transport Layer Security (TLS) được thiết kế để trở thành người kế thừa của SSL.

Hôm nay chúng tôi đang ở trên TLS 1.3, SSL 3.0 gần như không còn sử dụng nữa và bởi 2020 TLS 1.0 và 1.1 cũng sẽ bị phản đối. Mặc dù internet ngày nay hầu như chỉ dựa vào giao thức TLS, nhưng nó vẫn được gọi là SSL.

Q3. Phiên bản giao thức SSL / TLS là gì?

Điều này liên quan đến câu hỏi cuối cùng của chúng tôi, SSL và TLS là hai giao thức tạo thuận lợi cho các kết nối HTTPS, và giống như bất kỳ phần công nghệ nào khác, các giao thức đó cần được cập nhật định kỳ khi các lỗ hổng và tấn công mới được phát hiện. Khi bạn thấy SSL 3.0 hoặc TLS 1.2, điều đó đề cập đến một phiên bản cụ thể của giao thức SSL / TLS.

Hiện tại, cách tốt nhất là hỗ trợ TLS 1.2 và TLS 1.3, vì tất cả các phiên bản trước đã được phát hiện là dễ bị tổn thương trước một số khai thác hoặc khác.

Q4. Tôi nên biết gì về Crypt Suites?

Một bộ mật mã là một tập hợp các thuật toán sẽ được sử dụng trong quá trình mã hóa SSL / TLS. Chúng thường bao gồm một số loại thuật toán khóa công khai, thuật toán xác thực tin nhắn và thuật toán mã hóa đối xứng (khối / luồng).

Trước khi bạn có thể đưa ra bất kỳ quyết định nào về bộ phần mềm Mật mã nào sẽ hỗ trợ, bạn cần biết máy chủ của mình có khả năng gì, điều này có thể có nghĩa là cập nhật thư viện OpenSSL (hoặc phần mềm SSL thay thế) của bạn lên lần lặp hiện đại nhất. Một lời khuyên, sử dụng Mật mã đường cong Elliptic thích hợp hơn RSA.

Q5. Bảo hành có quan trọng không?

Thật tuyệt khi có một bảo hành lớn với bất kỳ sản phẩm nào và ngành công nghiệp SSL / TLS cung cấp một số bảo hành hào phóng nhất hiện có. Họ trả tiền trong trường hợp CA cấp chứng chỉ của bạn gặp phải một vấn đề làm mất tiền tổ chức của bạn. Phải thừa nhận rằng, đây không phải là tất cả những gì phổ biến, đó là một sự chứng thực cho các chứng chỉ SSL / TLS nói chung, nhưng cũng là điều mà chúng tôi sẽ không thể chỉ ra.


Patrick Nohe
Về tác giả: Patrick Nohe

Patrick Nohe bắt đầu sự nghiệp của mình với tư cách là một phóng viên đánh bại và chuyên mục cho Miami Herald. Ông cũng phục vụ như là người quản lý nội dung cho Cửa hàng SSL ™.

Bài viết của WHSR Guest

Bài viết này được viết bởi một người đóng góp khách mời. Quan điểm của tác giả dưới đây hoàn toàn là của riêng mình và có thể không phản ánh quan điểm của WHSR.

Được kết nối: