HTTPS in SSL potrdila: naredite svoje spletno mesto varno (in zakaj bi ga morali)

Kako

AvtorJack Busch

Nazadnje posodobljeno dne20. april 2018

Kadar gre za pošiljanje osebnih podatkov po internetu - naj bodo to kontaktni podatki, poverilnice, podatki o računu, informacije o lokaciji ali kaj drugega, kar bi lahko bilo zlorabljeno - javnost je na splošno povsem paranoična glede hekerjev in identitete tatovi. In prav je tako. Strah, da bi vaše podatke lahko ukradli, posegli ali jih zlorabili, še zdaleč ni iracionalen. Naslovi o puščanju in kršitvah varnosti v zadnjih nekaj desetletjih to dokazujejo. Kljub temu strahu se ljudje kar naprej prijavljajo, da bi na spletu opravljali svoje bančništvo, nakupovanje, revije, zmenke, druženja in druge osebne in profesionalne posle. In obstaja ena malenkost, ki jim daje samozavest za to. Pokazal vam ga bom:

Čeprav vsi ne razumejo, kako deluje, ta majhen ključavnica v naslovni vrstici spletnim uporabnikom sporoča, da imajo zaupanja vredno povezavo z zakonitim spletnim mestom. Če obiskovalci tega ne vidijo v naslovni vrstici, ko odprejo vaše spletno mesto, ne boste začeli in ne bi smeli poslovati.

Če želite dobiti majhno omarico naslovne vrstice za svoje spletno mesto, potrebujete potrdilo SSL. Kako ga dobite? Preberite, če želite izvedeti.

Preglednica članka:

• Kaj je SSL / TLS?
• Kako uporabljati HTTPS?
• Kaj je SSL potrdilo in kako ga pridobim?
• Vodnik za nakupovanje SSL certifikatov
• • Organ za potrjevanje
  • Preverjanje domen vs. Razširjena validacija
  • Shared SSL vs. Zasebni SSL
  • Zaupajte pečate
  • SSD certifikati Wildcard
  • Garancije
  • Brezplačna SSL potrdila in samopodpisana SSL potrdila
• Namestitev SSL potrdila
• Prednosti in slabosti HTTPS

Kaj je SSL / TLS?

Na spletu se podatki prenašajo s protokolom za prenos hiperteksta. Zato imajo vsi URL-ji spletnih strani " http://” ali »https: // ”pred njimi.

Kakšna je razlika med http in https? Ta dodatni mali S ima velike posledice: Varnost.

Naj pojasnim.

HTTP je "jezik", ki ga računalnik in strežnik uporabljata za pogovor. Ta jezik je splošno razumljen, kar je priročno, ima pa tudi svoje pomanjkljivosti. Ko se podatki med vami in strežnikom prenašajo prek interneta, se bodo na poti nekaj ustavili, preden bodo dosegli končni cilj. To predstavlja tri velika tveganja:

• Da bi lahko kdo prisluškovanje o vašem pogovoru (nekako kot digitalna prisluškovalka).

• Da bi lahko kdo lažno predstavljati ena (ali obe) strani na obeh koncih.

• Da bi lahko kdo varanje pri čemer se sporočila prenašajo.

Hekerji in kreteni uporabljajo kombinacijo zgoraj navedenega za številne prevare in tuje, vključno z lažnim lažnim napadom, napadi človeka v sredini in dobrim staromodnim oglaševanjem. Zlonamerni napadi bi lahko bili tako preprosti, kot da izstrelijo Facebook poverilnice s prestrezanjem nezaščitenih piškotkov (prisluškovanje), ali pa bi lahko bili bolj zapleteni. Lahko si na primer mislite, da ste banki rekli: "Prosimo, nanesite 100 USD na moj ponudnik internetnih storitev", toda nekdo na sredini bi lahko spremenil sporočilo tako, da se glasi: "Prenesite $100ves moj denar do moj ponudnik internetnih storitevPeggy v Sibiriji”(Lažno spreminjanje in lažno predstavljanje).

To so težave s HTTP. Če želite rešiti te težave, lahko HTTP plast z varnostnim protokolom, kar ima za posledico HTTP Secure (HTTPS). Najpogosteje S v HTTPS zagotavlja protokol SSL (Secure Sockets Layer) ali novejši protokol TLS Security Transport Layer. Po uvedbi HTTPS ponuja dvosmerno šifriranje (da preprečite prisluškovanje), strežnikoverjanje (da se prepreči lažno predstavljanje) in overjanje sporočil (da preprečite poseg v podatke).

Kako uporabljati HTTPS

Tako kot govorjeni jezik tudi HTTPS deluje le, če se obe strani odločita za govor. Na strani odjemalca lahko izbiro za uporabo HTTPS izberete tako, da pred URL-jem vtipkate »https« v naslovno vrstico brskalnika (npr. Namesto da vtipkate http://www.facebook.com, tip https://www.facebook.com) ali z namestitvijo razširitve, ki samodejno prisili HTTPS, kot je HTTPS Everywhere for Firefox in Chrome. Ko vaš spletni brskalnik uporablja HTTPS, boste videli ikono ključavnice, zeleno vrstico brskalnika, palce navzgor ali kakšen drug prepričljiv znak, da je vaša povezava s strežnikom varna.

Če pa želite uporabljati HTTPS, ga mora spletni strežnik podpirati. Če ste spletni skrbnik in želite ponuditi HTTPS svojim spletnim obiskovalcem, boste potrebovali SSL ali TLS potrdilo. Kako pridobite SSL ali TLS potrdilo? Kar naprej branje.

Nadaljnje branje: Nekatere priljubljene spletne aplikacije vam omogočajo, da v svojih uporabniških nastavitvah izberete HTTPS. Preberite si naše zapise Facebook, Gmail, in Twitter.

Kaj je SSL potrdilo in kako ga pridobim?

Za uporabo HTTPS mora biti na vašem spletnem strežniku nameščen SSL ali TLS certifikat. SSL / TLS certifikat je nekako kot ID fotografije za vaše spletno mesto. Ko brskalnik, ki uporablja HTTPS, dostopa do vaše spletne strani, bo izvedel "stisk roke", v katerem odjemalec računalnik prosi za potrdilo SSL. Potrdilo SSL nato potrdi zaupanja vreden organ za potrdila (CA), ki preveri, ali je strežnik tisti, za katerega pravi, da je. Če se vse odjavi, vaš spletni obiskovalec dobi prepričljivo zeleno kljukico ali ikono ključavnice. Če gre kaj narobe, bodo od spletnega brskalnika dobili opozorilo, da identitete strežnika ni mogoče potrditi.

Nakup za SSL potrdilo

Ko gre za namestitev SSL certifikata na vaše spletno mesto, je na voljo veliko parametrov. Pojdimo čez najpomembnejše:

Organ za potrjevanje

Organ za potrdila (CA) je podjetje, ki izda vaše potrdilo SSL in je tisto, ki bo potrdilo vaše potrdilo vsakič, ko obiskovalec pride na vaše spletno mesto. Medtem ko bo vsak ponudnik SSL certifikatov konkuriral glede cene in lastnosti, je treba pri preverjanju vedeti eno stvar certifikacijski organi določajo, ali imajo potrdila, ki so vnaprej nameščeni na najbolj priljubljenem spletu brskalniki. Če pooblaščeni organ, ki izda vaš certifikat SSL, ni na tem seznamu, bo uporabnika pozval, da opozori, da varnostnemu certifikatu spletnega mesta ni zaupati. To seveda ne pomeni, da vaše spletno mesto ni zakonito - pomeni samo, da vaš CA še ni na seznamu. To je težava, ker se večina uporabnikov ne bi trudila prebrati opozorilo ali raziskati neprepoznanega CA. Verjetno bodo le kliknili stran.

Na srečo je seznam vnaprej nameščenih CA-jev v večjih brskalnikih precej velik. Vključuje nekaj velikih blagovnih znamk, pa tudi manj znanih in cenovno ugodnejših CA-jev. Imena gospodinjstev vključujejo Verisign, Pojdi oče, Comodo, Thawte, Geotrust, in Zaupanje.

Oglejte si tudi nastavitve svojega brskalnika in si oglejte, kateri organi za potrdila so predhodno nameščeni.

• Za Chrome odprite Nastavitve -> Prikaži napredne nastavitve... -> Upravljanje certifikatov.
• Za Firefox naredite Možnosti -> Napredno -> Oglejte si potrdila.
• Za IE, Internetne možnosti -> Vsebina -> Potrdila.
• Za Safari pojdite v Finder in izberite Pojdi -> Utilities -> KeyChain Access in kliknite System.

Za hitro iskanje si oglejte to nit, ki vsebuje seznam sprejemljivi SSL certifikati za Google Checkout.

Preverjanje domen vs. Razširjena validacija

Potrdilo SSL naj bi dokazalo identiteto spletnega mesta, na katero pošiljate informacije. Da bi zagotovili, da ljudje ne dajejo lažnih SSL certifikatov za domene, ki jih ne nadzorujejo pravilno, a certifikacijski organ bo potrdil, da je oseba, ki zahteva potrdilo, res lastnica domene ime. Običajno se to opravi s hitrim potrjevanjem e-pošte ali telefonskega klica, podobno kot takrat, ko vam spletno mesto pošlje e-pošto s povezavo za potrditev računa. To se imenuje a domena potrjena SSL potrdilo. Prednost tega je, da omogoča izdajo SSL certifikatov skoraj takoj. Verjetno bi lahko šli in dobili potrdilo SSL za domeno v krajšem času, kot ste potrebovali za branje te objave na spletnem dnevniku. Z potrjenim domenskim SSL certifikatom dobite ključavnico in možnost šifriranja prometa na vašem spletnem mestu.

Prednosti SSL certifikata domene so, da jih je mogoče hitro, enostavno in poceni dobiti. To je tudi njihova pomanjkljivost. Kot si lahko predstavljate, je lažje povezati samodejni sistem, kot ga vodijo živa človeška bitja. To je nekako tako, kot če bi kakšen srednješolec stopil v DMV, rekoč, da je Barack Obama in si želi pridobiti vladno osebno izkaznico. oseba za pisalno mizo bi ga pogledala in poklicala Fedove (ali posodice za smeti). A če bi robot delal kiosk s foto ID-jem, bi lahko imel nekaj sreče. Na podoben način lahko phishing lažnivci pridobijo "ponarejene ID-je" za spletna mesta, kot so Paypal, Amazon ali Facebook, s preskušanjem sistemov za preverjanje domene. Dan Kaminsky je leta 2009 objavil primer poti do prevara CA-jev za pridobitev potrdil zaradi tega bi spletno mesto z lažnim predstavljanjem izgledalo, kot da je varna in zakonita povezava. Za človeka bi to prevaro zlahka opazili. Toda v avtomatskem preverjanju domene takrat ni bilo potrebnih pregledov, da bi preprečili kaj takega.

Kot odgovor na ranljivosti SSL in domensko potrjenih SSL certifikatov je industrija uvedla Razširjena validacija potrdilo. Če želite pridobiti certifikat EV SSL, mora vaše podjetje ali organizacija opraviti strogo preverjanje, da se zagotovi da je v dobrem stanju s svojo vlado in upravičeno nadzira domeno, ki jo uporabljate za. Ti pregledi med drugim zahtevajo človeški element in tako trajajo dlje in so dražji.

V nekaterih panogah je potreben certifikat EV. Toda za druge to pomeni le tisto, kar bodo prepoznali vaši obiskovalci. Pri vsakodnevnih spletnih obiskovalcih je razlika subtilna. Poleg ikone ključavnice se naslovna vrstica obarva zeleno in prikaže ime vašega podjetja. Če kliknete za več informacij, vidite, da je bila preverjena identiteta podjetja, ne le spletnega mesta.

Tu je primer običajnega spletnega mesta HTTPS:

In tukaj je primer spletnega mesta HTTPS s potrdilom EV:

Glede na vašo panogo certifikat EV morda ne bo vreden. Poleg tega morate biti podjetje ali organizacija, da ga dobite. Čeprav se velika podjetja nagibajo k certificiranju EV, boste opazili, da večina HTTPS spletnih mest še vedno ponuja okus, ki ni EV. Če je dovolj dobro za Google, Facebook in Dropbox, je morda dovolj za vas.

Še ena stvar: obstaja sredina poti, imenovana an organizacija potrjena ali poslovno potrjeno certifikacija. To je temeljitejše preverjanje kot avtomatizirano preverjanje domene, vendar ne gre tako daleč, kot da bi se srečali z industrijo predpisi za potrdilo o razširjeni validaciji (upoštevajte, kako je razširjena validacija napisana z veliko začetnico in „organizacijsko validacija "kajne?" Preverjanje veljavnosti OV ali podjetja stane več in traja dlje, vendar vam ne bo dal zelene naslovne vrstice in preverjenih podatkov o identiteti podjetja. Iskreno, ne morem si zamisliti razloga za plačilo potrdila OV. Če si lahko omislite eno, prosim razsvetlite me v komentarjih.

Shared SSL vs. Zasebni SSL

Nekateri spletni gostitelji ponujajo skupno storitev SSL, ki je pogosto bolj dostopna kot zasebni SSL. Prednost skupnega SSL-ja je, razen cene, v tem, da vam ni treba dobiti zasebnega naslova IP ali namenskega gostitelja. Slaba stran je, da ne uporabljate svojega imena domene. Namesto tega bo varen del vašega spletnega mesta nekaj takega:

https://www.hostgator.com/~yourdomain/secure.php

Za razliko od zasebnega naslova SSL:

https://www.yourdomain.com/secure.php

Za javna mesta, kot so spletna mesta za e-trgovino in spletna mesta v družabnih omrežjih, je to očitno nekaj, kar je videti, kot da ste bili preusmerjeni z glavnega mesta. Toda za področja, ki jih širša javnost običajno ne vidi, na primer znotraj poštnega sistema ali skrbniškega območja, bi bil skupni SSL lahko dober posel.

Zaupajte pečate

Številni organi za potrdila vam dovolijo, da na svojo spletno stran postavite pečat zaupanja, ko ste se prijavili za enega od njihovih certifikatov. To daje skoraj enake podatke kot klik na omarico v oknu brskalnika, vendar z večjo vidnostjo. Vključitev skrbniškega pečata ni potrebna, niti ne poveča vaše varnosti, če pa obiskovalcem daje tople fuzzie, ki vedo, kdo je izdal SSL certifikat, ga vsekakor vrzite tja.

SSD certifikati Wildcard

SSL potrdilo preverja identiteto ene domene. Če želite imeti HTTPS na več poddomestvih - npr. Groovypost.com, mail.groovypost.com in odgovori.groovypost.com- morali bi kupiti tri različne SSL certifikate. V določenem trenutku postane wildcard SSL certifikat bolj varčen. To je eno potrdilo, ki zajema eno domeno in vse poddomene, tj. * .Groovypost.com.

Garancije

Ne glede na to, kako dolgo je dober ugled podjetja, obstajajo ranljivosti. Hekerji lahko ciljajo celo na zaupanja vredne organe, kot dokazujejo kršitev pri VeriSign, ki se je leta 2010 pojavila neprijavljeno. Poleg tega se lahko status CA na zaupnem seznamu hitro prekliče, kot smo videli pri DigiNotar snafu nazaj v 2011. Stvari se zgodijo.

Da bi zagotovili kakršno koli nelagodje nad možnostjo takšnih naključnih dejanj razpadanja SSL-jev, mnogi organi CA zdaj ponujajo garancije. Pokrivanje znaša od nekaj tisoč do več kot milijon dolarjev in vključuje izgube, ki so posledica zlorabe vašega potrdila ali drugih napak. Nimam pojma, če ti garancije dejansko dodajo vrednost ali ne, ali je kdo že kdaj zmagal. Vendar so tam zato, da vas upoštevajo.

Brezplačna SSL potrdila in samopodpisana SSL potrdila

Na voljo sta dve vrsti brezplačnih SSL certifikatov. Podpisan z lastnim podpisom, ki se uporablja predvsem za zasebno testiranje in celovito javno soočanje s SSL certifikati, ki ga je izdal veljavni organ Certificat. Dobra novica je, da je v letu 2018 na voljo nekaj možnosti, da pridobite 100% brezplačne veljavne 90-dnevne SSL certe SSL brezplačno ali Šifrirajmo. SSL for Free je predvsem grafični vmesnik za šifrirni API Let’s Encrypt. Prednost spletnega mesta SSL for Free je, da je enostaven za uporabo, saj ima lep GUI. Kljub temu je šifriranje lepo, saj lahko od njih v celoti avtomatizirate zahteve za potrdila SSL. Idealno, če potrebujete potrdila SSL za več spletnih mest / strežnikov.

Samopodpisano SSL potrdilo je za vedno brezplačno. S certifikatom, ki ga podpišete sami, ste lastnik CA. Ker pa niste med zaupanja vrednimi pooblaščenci, ki so vgrajeni v spletne brskalnike, bodo obiskovalci dobili opozorilo, da pooblastilo operacijski sistem ne prepozna. Tako resnično ni zagotovila, da ste takšni, za katere pravite, da ste (to je nekako tako, da si izdate ID fotografije in ga poskušate prenesti v prodajalno pijač). Prednost samopodpisanega SSL potrdila je, da omogoča šifriranje za spletni promet. Morda bi bilo dobro za notranjo uporabo, kjer boste lahko zaposleni dodali svojo organizacijo kot zaupanja vreden organ za odstranjevanje opozorilnega sporočila in varno povezavo prek interneta.

Za navodila o nastavitvi samopodpisanega SSL potrdila si oglejte dokumentacijo za OpenSSL. (Ali če je povpraševanje dovolj, bom napisala vadnico.)

Namestitev SSL potrdila

Ko kupite SSL potrdilo, ga morate namestiti na svojem spletnem mestu. Dober spletni gostitelj bo ponudil, da to stori za vas. Nekateri bi morda šli celo tako daleč, da bi ga kupili za vas. Pogosto je to najboljši način, saj poenostavlja zaračunavanje in zagotavlja, da je pravilno nastavljen za vaš spletni strežnik.

Kljub temu imate vedno možnost namestiti SSL potrdilo, ki ste ga kupili sami. Če to storite, se boste morda začeli posvetovati z zbirko znanja spletnega gostitelja ali z odpiranjem vozovnice službe za pomoč. Usmerili vas bodo k najboljšim navodilom za namestitev vašega SSL potrdila. Prav tako se morate posvetovati z navodili, ki jih je predložil CA. Tako boste dobili boljše napotke kot kateri koli splošni nasvet, ki vam ga lahko dam tukaj.

Morda boste želeli preveriti tudi naslednja navodila za namestitev SSL potrdila:

• Namestite SSL potrdilo in nastavite domeno v cPanel
• Kako implementirati SSL v IIS (Windows Server)
• Šifriranje Apache SSL / TLS

Vsa ta navodila bodo vključevala oblikovanje zahteve za podpis SSL potrdila (CSR). Pravzaprav boste za izdajo SSL certifikata potrebovali CSR. Pri tem vam lahko pomaga vaš spletni gostitelj. Za natančnejše informacije o samem ustvarjanju CSR-a si oglejte ta zapis DigiCert.

Prednosti in slabosti HTTPS

Prednosti HTTPS smo že trdno ugotovili: varnost, varnost, varnost. To ne samo da zmanjšuje tveganje kršitve podatkov, ampak vzbuja zaupanje in doda ugled na vašo spletno stran. Razumni kupci se morda niti ne trudijo, da se prijavijo, če vidijo » http://” na strani za prijavo.

Vendar pa ima HTTPS nekaj slabosti. Glede na potrebo HTTPS za nekatere vrste spletnih mest je bolj smiselno razmišljati o njih kot o "slabostiideje «, ne pa negativnosti.

• HTTPS stane denar. Za začetek so stroški nakupa in obnavljanja vašega SSL potrdila, da si zagotovite veljavnost iz leta v leto. Vendar pa obstajajo tudi določene "sistemske zahteve" za HTTPS, na primer namenski naslov IP ali namenski načrt gostovanja, ki je lahko dražji od skupnega gostovanja.
• HTTPS lahko upočasni odziv strežnika. Obstajata dve težavi, povezani s SSL / TLS, ki lahko upočasnita hitrost nalaganja strani. Prvič, za začetek komunikacije s svojim spletnim mestom mora uporabnikov brskalnik iti s postopkom stiskanja, ki se vrne na spletno mesto organa za potrjevanje, da preveri potrdilo. Če je spletni strežnik CA počasi, bo pri nalaganju vaše strani prišlo do zamude. To je v veliki meri zunaj vašega nadzora. Drugič, HTTPS uporablja šifriranje, za kar je potrebna večja procesorska moč. To lahko odpravite z optimizacijo vsebine glede pasovne širine in nadgradnjo strojne opreme na vašem strežniku. CloudFare ima dobro objavo v blogu o tem, kako in zakaj bi SSL lahko upočasnil vaše spletno mesto.
• HTTPS lahko vpliva na SEO prizadevanja Ko prehajate s HTTP na HTTPS; se premaknete na novo spletno mesto. Na primer https://www.groovypost.com ne bi bilo isto kot http://www.groovypost.com. Pomembno je zagotoviti, da ste preusmerili stare povezave in zapisali pravilna pravila pod pokrov vašega strežnika, da ne izgubite dragocenega soka povezav.
• Mešana vsebina lahko vrže rumeno zastavo. Za nekatere brskalnike je glavni del spletne strani naložen s HTTPS, vendar slike in drugi elementi (npr. tabele slogov ali skripte), naložene z URL-ja HTTP, potem se lahko pojavi pojavno okno, ki opozarja, da stran vključuje nezaščiteno vsebino. Seveda, imeti nekateri varna vsebina je boljša od nobene, čeprav slednja ne povzroči pojavnih oken. Vendar bi bilo morda vredno zagotoviti, da na svojih straneh nimate nobene »mešane vsebine«.
• Včasih je lažje dobiti plačilnega procesorja drugega proizvajalca. Ni sramota, če dovolite, da Google Checkout, Paypal ali Checkout by Amazon upravljajo z vašimi plačili. Če se vam zdi vse zgoraj omenjeno preveč, lahko svojim strankam omogočite izmenjavo podatkov o plačilu na varnem spletnem mestu Paypala ali Googlovem varnem spletnem mestu in si prihranite težave.

Imate še kakšna vprašanja ali komentarje glede HTTPS in SSL / TLS certifikatov? Naj to slišim v komentarjih.