SSL / TLS證書買方指南

文章撰寫者:
  • 在線業務
  • 更新:Jul 02,2019

沒有人喜歡被告知他們必須做點什麼。 反抗這種做法只是人性,但有時你能做的最好的事情就是咬住嘴唇並堅持下去。 情況就是如此 HTTPS授權 這是谷歌和其他瀏覽器製造商去年夏天製作的。

如今,任何仍然通過HTTP服務的網站都被標記為“不安全”,這是一種威脅流量和轉換的綽號。 這意味著每個網站現在都需要SSL / TLS證書,這有助於遷移到HTTPS,並有助於保護您的網站與訪問者之間的通信。

從7月2018開始,Chrome將所有HTTP網站標記為“不安全”(了解更多).

本指南將介紹購買SSL / TLS證書時需要考慮的事項。 我們將首先簡要介紹一下該技術,然後再深入研究在為您和您的網站決定正確的證書時需要排序的細節。

SSL / TLS 101:概述

為了在互聯網上安全地進行通信,託管網站的服務器和嘗試連接它的客戶端需要使用加密。 加密是一個數學過程 除了授權方之外,任何人都無法讀取數據。 它使用加密密鑰執行,以便客戶端和服務器安全地連接 兩者都需要擁有相同密鑰的副本.

這提出了一個問題,你如何安全地交換這些密鑰? 如果攻擊者能夠破壞加密密鑰,則會使該加密無效,因為攻擊者仍然可以看到所有正在交換的數據,就好像它是純文本一樣。

SSL / TLS是密鑰交換問題的解決方案。

SSL / TLS完成兩件事:

  1. 它對服務器進行身份驗證,以便客戶端知道他們要連接的實體
  2. 它便於交換可用於安全通信的會話密鑰

這似乎有點抽象,所以讓我們把它付諸實踐。

任何時候客戶端嘗試通過HTTPS連接網站 - 這是超文本傳輸協議(HTTP)的安全版本 互聯網已經使用了幾十年 - 在所述客戶端和託管站點的服務器之間的幕後發生一系列交互。

SSL / TLS加密涉及兩種類型的加密密鑰。 我們剛才提到了對稱的會話密鑰。 這些都可以加密和解密,並用於在連接期間進行通信。 其他密鑰是公鑰/私鑰對。 這種加密形式稱為公鑰加密。 公鑰可以加密,私鑰解密。

首先,客戶端和服務器將選擇一個相互支持的密碼套件。 密碼套件 是一組算法,用於管理將在連接期間使用的加密。

一旦密碼套件達成一致,服務器就會發送其SSL證書和公鑰。 通過一系列檢查,客戶端對服務器進行身份驗證,驗證其身份以及它是相關公鑰的合法所有者。

在此驗證之後,客戶端生成會話密鑰(或可用於派生密鑰的密鑰),並在將其發送到服務器之前使用服務器的公鑰對其進行加密。 使用其私鑰,服務器解密會話密鑰並開始加密連接(這是最常見的密鑰交換形式,與RSA一起執行 - Diffie-Hellman密鑰交換略有不同).

如果這仍然有點複雜,讓我們進一步簡化它。

  • 為了安全地通信,雙方需要共享對稱會話密鑰
  • SSL / TLS有助於將這些會話密鑰與公鑰加密交換
  • 在驗證服務器身份之後,使用公鑰加密會話密鑰或秘密
  • 服務器使用其私鑰解密會話密鑰並開始加密通信

現在讓我們了解一下您作為網站所有者在購買或獲取SSL / TLS證書時需要考慮的問題。

購買SSL / TLS證書時需要考慮什麼?

購買SSL / TLS證書時,您要對兩個主要問題做出決定:

  1. 你需要覆蓋什麼表面?
  2. 你想斷言多少身份?

當您可以回答這些問題時,選擇證書會成為品牌和成本問題,您已經了解了所需的產品類型。

現在,在我們進一步發展之前,讓我們確定一個非常重要的事實:無論您如何回答這兩個問題,所有SSL / TLS證書都提供相同的加密強度。

加密強度由所支持的密碼套件和連接兩端的客戶端和服務器的計算能力的組合決定。 市場上最昂貴的SSL / TLS證書和完全免費的證書將促進相同級別的行業標準加密。

證書的不同之處在於身份級別及其功能。

讓我們從你需要覆蓋的表面開始。

1- SSL / TLS證書功能

現代網站的發展遠遠超出了互聯網早期的情況,當時您仍然將計數器放在頁面底部以跟踪流量。 如今,組織內部和外部都有復雜的Web基礎架構。 我們談論的是多個域,子域,郵件服務器等。

幸運的是,SSL / TLS證書與現代網站一起發展,以幫助更好地保護它們。 每個用例都有一個證書類型,但您有責任知道您的具體用例是什麼。

讓我們看看四種不同的SSL / TLS證書類型及其功能:

  • 單個域 - 顧名思義,此SSL / TLS證書適用於單個域(WWW和非WWW版本)。
  • 多域 - 此類SSL / TLS證書適用於擁有多個網站的組織,它們可以同時保護多達250個不同的域。
  • 通配符 - 單個域的安全性,以及所有隨附的第一級子域 - 盡可能多(無限制)。
  • 多域通配符 - 具有完整功能的SSL / TLS證書,可以同時加密250不同的域和所有附帶的子域。

關於通配符證書的快速說法。 通配符非常通用,它們可以加密無限數量的子域,甚至能夠保護髮布後添加的新子域。 生成通配符時,在要加密的子域級別使用星號(有時稱為通配符)。 這表示驗證域的該URL級別的任何子域都與證書的公鑰/私鑰對有效關聯。

2- SSL / TLS證書驗證級別

在弄清楚需要覆蓋哪些表面之後,是時候確定要聲明的身份。 驗證有三個級別,這些級別是指審核頒發SSL / TLS證書的證書頒發機構將使您和您的網站通過的數量。

三級驗證:域驗證,組織驗證和擴展驗證。

調用最基本的驗證級別 域驗證。 只需幾分鐘即可完成此驗證並頒發證書,但它提供的身份信息最少 - 僅對服務器進行身份驗證。 DV SSL / TLS證書是最常用的,但由於它們缺乏身份,使用它們的網站會收到中立的瀏覽器處理。

組織驗證 提供更多的組織信息,讓您的網站訪問者更好地了解他們與誰打交道,只要他們知道在哪裡看。 OV SSL / TLS證書需要適量的審查,但是,他們沒有足夠的身份來避免中立的瀏覽器處理。 OV SSL證書也可以保護專用IP地址。 它們通常用於企業環境和內部網絡。

SSL / TLS證書可以斷言的最多身份來自 擴展驗證 水平。 EV SSL / TLS證書需要CA進行深入審查,但是它們聲明了足夠的識別信息,Web瀏覽器將為網站提供獨特的處理 - 在瀏覽器的地址欄中顯示其經過驗證的組織名稱。

關於驗證級別和功能,需要考慮的一件事是,EV SSL / TLS證書永遠不會與通配符功能一起銷售。 這是由於我們在上一節中討論過的Wildcard證書的開放性質。

選擇證書頒發機構和定價

既然你知道你需要什麼,那就讓我們談談從哪裡獲取它。 不只是任何人都可以頒發有效的SSL / TLS證書,並且有效我們的意思是信任。 您必須通過受信任的證書頒發機構或CA. CA受嚴格的行業要求約束,並需要定期審核和審查。 其原因在於公鑰基礎設施的運作方式。 PKI是支持SSL / TLS的信任模型,這就是用戶瀏覽器可以驗證給定SSL / TLS證書的真實性並信任它的原因。

深入研究PKI和根源 超出本文的範圍,重要的是要知道只有受信任的CA才能頒發受信任的證書。 這就是為什麼你不能只發出自己的並自我簽名的原因。 如果不手動調整設置,瀏覽器將無法信任它。

但你應該選擇什麼樣的CA?

這取決於你在尋找什麼。

對於許多不需要聲明多少身份的簡單網站,可以免費獲得DV SSL / TLS證書 讓我們加密 (或其他免費CA)是一個不錯的選擇。 它不需要任何費用,它足以滿足您的需求。

除此之外的任何東西,或者如果你不是特別精通技術,你應該使用DigiCert,Sectigo,Entrust Datacard等商業證書頒發機構。

但事情就是這樣:你沒有直接從CA購買最好的定價。

通過從多個CA提供SSL / TLS證書的SSL服務購買,您可以獲得最佳的定價和選擇組合。 這樣做的原因很簡單,就是這些SSL服務 以低於零售客戶的價格從CA批量購買證書。 這讓他們以極低的折扣率出售證書,將節省的成本轉嫁給消費者。

在某些情況下,您可以節省製造商建議零售價格的85% 通過SSL服務而不是直接購買.

請記住,SSL / TLS中的專用SSL服務SPECIALIZE,他們將提供更好的客戶支持,他們可以幫助您安裝它,他們知道如何優化您的實施,為您的網站提供最佳的安全性。

與免費CA(甚至是一些商業CA)相比,您必須通過票務系統工作或篩選舊論壇帖子以獲得眾包支持,而且價值很明顯。

當然,對於一些技術嫻熟的網站所有者來說,支持問題不是問題。 如果你知道如何自己支持一切,那麼走自由路線肯定沒有錯。

但對於其他網站所有者而言,您為證書本身支付的費用較少,而對於圍繞它構建的支持設備則更多。 您還無法使用免費的SSL / TLS訪問更高的驗證級別(OV / EV)或高級功能(多域,通配符)。 您必須從商業CA或SSL服務獲得這些。

那麼,付費還是免費? 除了您是否需要超出單域DV的功能和驗證之外,它還取決於您或您的組織技術熟練程度。

SSL / TLS買家指南常見問題解答

Q1。 擴展驗證值得嗎?

對於許多網站而言,EV SSL / TLS證書更多的是投資而非費用。 沒有其他方法來斷言最大身份並讓您的網站優先瀏覽器處理。 當訪問者到達網站並看到地址欄中顯示的組織名稱時,會產生深刻的心理影響。 雖然這種影響難以在紙上量化,但調查一致發現人們對使用EV訪問網站感覺比訪問沒有它的網站感覺更好。

在互聯網上,每一點都很重要,所以如果你是一個想要在網絡上聲明身份的組織,EV SSL / TLS證書是最好的方法。

Q2。 你一直在寫SSL / TLS,這是什麼意思?

SSL代表 安全套接字層,它是我們用來確保我們今天的連接的加密協議的原始版本。 在漏洞迫使行業重新回到繪圖板之前,我們一直到SSL 3.0 傳輸層安全性 (TLS)旨在成為SSL的繼任者。

今天我們使用的是TLS 1.3,SSL 3.0幾乎完全被棄用,2020 TLS 1.0和1.1也將被棄用。 雖然今天的互聯網幾乎完全依賴於TLS協議,但它仍然通俗地稱為SSL。

Q3。 什麼是SSL / TLS協議版本?

這與我們的上一個問題有關,SSL和TLS是促進HTTPS連接的兩種協議,與其他任何技術一樣,這些協議需要在發現新的漏洞和攻擊時定期更新。 當您看到SSL 3.0或TLS 1.2時,它指的是特定版本的SSL / TLS協議。

目前,最佳做法是支持TLS 1.2和TLS 1.3,因為所有以前的版本都被發現易受某些漏洞利用或其他攻擊。

Q4。 我應該怎麼知道密碼套房?

密碼套件是算法的集合 將在SSL / TLS加密過程中使用。 它們通常包括某種公鑰算法,消息認證算法和對稱(塊/流)加密算法。

在您確定要支持哪些Cipher套件之前,您需要知道您的服務器能夠做什麼,這可能意味著將OpenSSL(或備用SSL軟件)庫更新為最現代的迭代。 一句忠告, 使用橢圓曲線密碼學優於RSA.

Q5。 保修重要嗎?

很高興為任何產品提供大量保修,SSL / TLS行業提供了一些最慷慨的保修。 如果頒發證書的CA遇到了組織費用問題,他們會付款。 不可否認,這並不是那麼常見,這對SSL / TLS證書來說是一種認可,但我們也不應該指出這一點。


帕特里克諾厄
關於作者:Patrick Nohe

Patrick Nohe的職業生涯始於邁阿密先驅報的記者和專欄作家。 他還擔任內容經理 SSL Store™.

關於WHSR嘉賓

本文由客座撰稿人撰寫。 以下作者的觀點完全是他或她自己的觀點,可能無法反映WHSR的觀點。