Certificate HTTPS și SSL: asigurați-vă site-ul dvs. securizat (și de ce ar trebui)

Cum-Pentru a

DeJack Busch

Ultima actualizare la20 aprilie 2018

Când vine vorba despre trimiterea de informații personale pe Internet - fie că este vorba de informații de contact, date de autentificare, informații despre cont, informații despre locație sau orice altceva care ar putea fi abuzat - publicul este, în mare măsură, absolut paranoic despre hackeri și identitate hoți. Și pe bună dreptate. Teama că informațiile dvs. ar putea fi furate, manipulate sau deturnate sunt departe de a fi iraționale. Titlurile despre scurgerile și încălcările de securitate din ultimele decenii o dovedesc. În ciuda acestei frici, oamenii continuă să se conecteze pentru a-și face serviciile bancare, cumpărăturile, jurnalele, datările, socializarea și alte activități personale și profesionale pe web. Și există un mic lucru care le oferă încrederea să facă acest lucru. Îți voi arăta:

Deși nu toți înțeleg cum funcționează, acel mic lacat în bara de adrese le semnalează utilizatorilor web că au o conexiune de încredere la un site web legitim. Dacă vizitatorii nu văd asta în bara de adrese atunci când îți ridică site-ul, nu vei primi - și nu ar trebui - să-și facă afacerea.

Pentru a obține acel mic lacat de bare de adrese pentru site-ul dvs. web, aveți nevoie de un certificat SSL. Cum obții unul? Citiți mai departe pentru a afla.

Schița articolului:

• Ce este SSL / TLS?
• Cum se utilizează HTTPS?
• Ce este un certificat SSL și cum obțin unul?
• Ghid de cumpărare certificat SSL
• • Autoritate certificată
  • Validarea domeniului vs. Validare extinsă
  • SSL partajat vs. SSL privat
  • Sigilii de încredere
  • Certificative SSL Wildcard
  • Garanții
  • Certificate SSL gratuite și certificate SSL autofirmate
• Instalarea unui certificat SSL
• Pro și contra HTTPS

Ce este SSL / TLS?

Pe web, datele sunt transferate folosind Protocolul de transfer de hipertext. Acesta este motivul pentru care toate adresele URL ale paginii web au „ http://” sau „https://" in fata lor.

Care este diferența dintre http și https? Acest mic S în plus are implicații mari: securitate.

Lasă-mă să explic.

HTTP este „limba” pe care computerul și serverul o folosesc pentru a vorbi între ei. Acest limbaj este înțeles universal, ceea ce este convenabil, dar are și dezavantajele sale. Când datele sunt transmise între dvs. și un server prin Internet, vor face unele opriri pe parcurs înainte de a ajunge la destinația finală. Aceasta prezintă trei riscuri mari:

• Că cineva ar putea trage cu urechea în conversația dvs. (un fel de fișă digitală).

• Că cineva ar putea juca rolul una (sau ambele) părți de pe ambele capete.

• Că cineva ar putea tamper cu mesajele transferate.

Hackerii și jerfii folosesc o combinație dintre cele menționate mai sus pentru o serie de escrocherii și escrocherii, incluzând trupe de tip phishing, atacuri de la mijloc și bunele reclame de modă veche. Atacurile rău intenționate ar putea fi la fel de simple ca înlăturarea credențelor Facebook, prin interceptarea cookie-urilor necriptate (eavesdropping) sau ar putea fi mai sofisticate. De exemplu, ai putea crede că spui băncii tale: „Vă rugăm să transferați 100 USD pe ISP-ul meu”, dar cineva din mijloc ar putea modifica mesajul pentru a citi: „Vă rugăm să transferați $100toți banii mei la ISP-ul meuPeggy în Siberia”(Modificarea și înlocuirea datelor).

Deci, acestea sunt problemele cu HTTP. Pentru a rezolva aceste probleme, HTTP poate fi stratificat cu un protocol de securitate, rezultând HTTP Secure (HTTPS). Cel mai frecvent, S-ul în HTTPS este furnizat de protocolul SSL (Secure Sockets Layer) sau de noul protocol TLS (Transport Layer Security). Când este implementat, HTTPS oferă bidirecțional criptare (pentru a preveni extrasul), Serverautentificare (pentru a preveni impersonarea) și autentificarea mesajului (pentru a preveni modificarea datelor).

Cum se utilizează HTTPS

Ca o limbă vorbită, HTTPS funcționează numai dacă ambele părți aleg să o vorbească. Din partea clientului, alegerea de a utiliza HTTPS poate fi făcută tastând „https” în bara de adrese a browserului înainte de adresa URL (de exemplu, în loc de a tasta http://www.facebook.com, tip https://www.facebook.com) sau prin instalarea unei extensii care forțează automat HTTPS, cum ar fi HTTPS Everywhere pentru Firefox și Crom. Când browserul dvs. web utilizează HTTPS, veți vedea o pictogramă cu lacăt, o bară verde a browserului, degetele mari sau un alt semn liniștitor că conexiunea dvs. cu serverul este sigură.

Cu toate acestea, pentru a utiliza HTTPS, serverul web trebuie să îl suporte. Dacă sunteți webmaster și doriți să oferiți HTTPS vizitatorilor dvs. Web, atunci veți avea nevoie de un certificat SSL sau un certificat TLS. Cum obțineți un certificat SSL sau TLS? Continua să citești.

Citire ulterioară: Unele aplicații web populare vă permit să alegeți HTTPS în setările utilizatorului. Citiți scrierile noastre Facebook, Gmail, și Stare de nervozitate.

Ce este un certificat SSL și cum obțin unul?

Pentru a utiliza HTTPS, serverul dvs. web trebuie să aibă instalat un certificat SSL sau un certificat TLS. Un certificat SSL / TLS seamănă cu un ID foto pentru site-ul dvs. web. Când un browser care utilizează HTTPS accesează pagina dvs. web, va efectua o „strângere de mână”, în timpul căreia computerul client solicită certificatul SSL. Certificatul SSL este apoi validat de o autoritate de certificare de încredere (CA), care verifică dacă serverul este cine spune. Dacă totul se verifică, vizitatorul dvs. de internet primește marcajul de siguranță verde sau pictograma de blocare. În cazul în care se întâmplă ceva, acestea vor primi un avertisment din browserul web, în ​​care se precizează că identitatea serverului nu a putut fi confirmată.

Cumpărați pentru un certificat SSL

Când vine vorba de instalarea unui certificat SSL pe site-ul dvs. web, există o multitudine de parametri pentru a decide. Să trecem peste cel mai important:

Autoritate certificată

Autoritatea de certificare (CA) este compania care eliberează certificatul SSL și este cea care îți va confirma certificatul de fiecare dată când un vizitator vine pe site-ul tău. În timp ce fiecare furnizor de certificat SSL va concura în funcție de preț și caracteristici, cel mai important lucru care trebuie luat în considerare la verificare autoritățile de certificare înseamnă dacă au sau nu certificate care sunt preinstalate pe cel mai popular web browsere. Dacă autoritatea de certificare care eliberează certificatul dvs. SSL nu se află în acea listă, utilizatorul va fi solicitat cu un avertisment că certificatul de securitate al site-ului nu este de încredere. Desigur, acest lucru nu înseamnă că site-ul dvs. web este nelegitim, ci înseamnă că CA nu este încă pe listă (încă). Aceasta este o problemă, deoarece majoritatea utilizatorilor nu se deranjează să citească avertismentul sau să cerceteze CA-ul nerecunoscut. Probabil vor face doar clic.

Din fericire, lista de CA-uri preinstalate pe browserele principale este destul de importantă. Include câteva nume de marcă, precum și alte CA mai puțin cunoscute și mai accesibile. Numele caselor includ Verisign, Hai tăticu, Comodo, thawte, GeoTrust, și Încredinţa.

De asemenea, puteți căuta în setările browserului propriu pentru a vedea ce autorități de certificare sunt preinstalate.

• Pentru Chrome, accesați Setări -> Afișați setări avansate... -> Gestionare certificate.
• Pentru Firefox, faceți Opțiuni -> Advanced -> Vizualizați certificatele.
• Pentru IE, Opțiuni Internet -> Conținut -> Certificate.
• Pentru Safari, accesați Finder și alegeți Go -> Utilities -> KeyChain Access și faceți clic pe System.

Pentru referință rapidă, consultați acest thread, care listează certificate SSL acceptabile pentru Google Checkout.

Validarea domeniului vs. Validare extinsă

Un certificat SSL este menit să dovedească identitatea site-ului web către care trimiteți informațiile. Pentru a vă asigura că oamenii nu preiau certificate SSL false pentru domenii pe care nu le controlează corect, a autoritatea de certificare va valida faptul că persoana care solicită certificatul este într-adevăr proprietarul domeniului Nume. În mod obișnuit, acest lucru se realizează printr-o validare rapidă a unui e-mail sau apel telefonic, similar cu momentul în care un site web vă trimite un e-mail cu un link de confirmare a contului. Aceasta se numește a domeniu validat Certificat SSL. Avantajul acestui lucru este că permite emiterea certificatelor SSL aproape imediat. Puteți merge probabil să obțineți un certificat SSL validat de domeniu în mai puțin timp decât v-a luat să citiți această postare pe blog. Cu un certificat SSL validat de domeniu, obțineți lacătul și posibilitatea de a cripta traficul site-ului dvs. web.

Avantajele unui certificat SSL validat de domeniu este că sunt rapide, ușor și ieftine de obținut. Acesta este și dezavantajul lor. După cum vă puteți imagina, este mai ușor să acoperiți un sistem automat decât unul condus de ființe umane vii. Ar fi un fel de fel dacă un copil de liceu ar intra în DMV spunând că este Barack Obama și ar dori să obțină un act de identitate emis de guvern. persoana de la birou ar fi aruncat o privire la el și ar suna Fed-urile (sau coșul de băut). Dar dacă ar fi un robot care lucrează la un chioșc de identitate foto, s-ar putea să aibă un noroc. Într-un mod similar, fișierele pot obține „ID-uri false” pentru site-uri web precum Paypal, Amazon sau Facebook prin trucarea sistemelor de validare a domeniilor. În 2009, Dan Kaminsky a publicat un exemplu de cale escroci CA-uri pentru a obține certificate asta ar face ca un site web de tip phishing să pară că ar fi o conexiune sigură și legitimă. Pentru un om, această înșelătorie ar fi ușor de observat. Dar validarea automată a domeniului la acea vreme nu a avut verificările necesare pentru a preveni ceva de genul acesta.

Ca răspuns la vulnerabilitățile certificatelor SSL validate de domeniu și SSL, industria a introdus Validare extinsă certificat. Pentru a obține un certificat SSL EV, compania sau organizația dvs. trebuie să se supună verificării riguroase pentru a se asigura că este în stare bună cu guvernul dvs. și controlează corect domeniul pe care îl aplicați pentru. Aceste verificări necesită, printre altele, un element uman și astfel necesită mai mult timp și sunt mai scumpe.

În unele industrii, este necesar un certificat EV. Însă, pentru alții, beneficiul ajunge numai în măsura în care vizitatorii dvs. vor recunoaște. Pentru vizitatorii de zi cu zi, diferența este subtilă. Pe lângă pictograma lacatului, bara de adrese devine verde și afișează numele companiei tale. Dacă faceți clic pentru mai multe informații, vedeți că identitatea companiei a fost verificată, nu doar site-ul web.

Iată un exemplu de site HTTPS normal:

Și iată un exemplu de site-ul HTTPS cu certificat EV:

În funcție de industria dvs., este posibil să nu merite un certificat EV. În plus, trebuie să fii o afacere sau o organizație pentru a obține una. Deși companiile mari sunt în tendință către certificarea EV, veți observa că majoritatea site-urilor HTTPS încă au gustul non-EV. Dacă este suficient de bun pentru Google, Facebook și Dropbox, poate este suficient de bun pentru tine.

Încă un lucru: există o opțiune din mijlocul drumului numită an organizație validată sau afaceri validate certificare. Aceasta este o verificare mai amănunțită decât validarea automată a domeniului, dar nu merge până la îndeplinirea industriei regulamente pentru un certificat de validare extinsă (observați modul în care validarea extinsă este capitalizată și „organizațională) validare ”nu este?). O OV sau o certificare validată pentru afaceri costă mai mult și durează mai mult, dar nu vă va oferi bara de adrese ecologice și informațiile de identitate ale companiei. Sincer, nu pot să mă gândesc la un motiv pentru care să plătesc un certificat OV. Dacă vă puteți gândi la unul, vă rugăm să mă luminați în comentarii.

SSL partajat vs. SSL privat

Unele gazde web oferă un serviciu SSL partajat, care este adesea mai accesibil decât un SSL privat. În afară de preț, avantajul unui SSL partajat este că nu trebuie să obțineți o adresă IP privată sau o gazdă dedicată. Dezavantajul este că nu trebuie să folosiți propriul nume de domeniu. În schimb, porțiunea sigură a site-ului dvs. va fi ceva de genul:

https://www.hostgator.com/~yourdomain/secure.php

Contrastați-o cu o adresă SSL privată:

https://www.yourdomain.com/secure.php

Pentru site-urile cu public, cum ar fi site-urile de comerț electronic și rețelele de socializare, aceasta este, evident, un drag, deoarece se pare că ai fost redirecționat de pe site-ul principal. Dar pentru zonele care nu sunt de obicei vizionate de publicul larg, cum ar fi cele interioare ale unui sistem de poștă sau ale unei zone de administrator, atunci un SSL comun ar putea fi o afacere bună.

Sigilii de încredere

Multe autorități de certificare vă permit să plasați un sigiliu de încredere pe pagina dvs. web după ce v-ați înscris pentru unul dintre certificatele lor. Acest lucru oferă cam aceleași informații ca făcând clic pe lacatul din fereastra browserului, dar cu o vizibilitate mai mare. Includerea unui sigiliu de încredere nu este necesară și nici nu vă amplifică securitatea, dar dacă vă oferă vizitatorilor nebunii calde știind cine a eliberat certificatul SSL, aruncați-l acolo.

Certificative SSL Wildcard

Un certificat SSL verifică identitatea unui domeniu. Deci, dacă doriți să aveți HTTPS pe mai multe subdomenii - de exemplu, groovypost.com, mail.groovypost.com și answers.groovypost.com- va trebui să cumpărați trei certificate SSL diferite. La un moment dat, un certificat SSC de tip wildcard devine mai economic. Adică, un singur certificat pentru a acoperi un singur domeniu și toate subdomeniile, adică * .groovypost.com.

Garanții

Oricât de lungă este reputația bună a unei companii, există vulnerabilități. Chiar și CA-urile de încredere pot fi vizate de hackeri, după cum demonstrează încălcare la VeriSign, care nu a fost raportată în 2010. În plus, starea unei CA din lista de încredere poate fi rapid revocată, așa cum am văzut în secțiunea DigiNotar snafu în 2011. Lucrurile se întâmplă.

Pentru a asigura orice neliniște cu privire la potențialul unor astfel de acte aleatoare de dezavantaj SSL, multe CA oferă acum garanții. Acoperirea este cuprinsă între câteva mii de dolari și peste un milion de dolari și include pierderi rezultate din utilizarea necorespunzătoare a certificatului sau alte greșeli. Nu am idee dacă aceste garanții adaugă sau nu valoare sau dacă cineva a câștigat vreodată o cerere. Dar sunt acolo pentru considerarea ta.

Certificate SSL gratuite și certificate SSL autofirmate

Există două tipuri de certificate SSL gratuite. Un auto-semnat, utilizat în principal pentru testarea privată și publicul plin, care se confruntă cu certificate SSL emise de o autoritate de certificare valabilă. Vestea bună este că, în 2018, există câteva opțiuni pentru a obține 100% certificate gratuite, valabile în 90 de zile SSL de la ambele SSL gratuit sau Să criptăm. SSL gratuit este în primul rând o GUI pentru API-ul Let’s Encrypt. Avantajul site-ului SSL pentru Free este că este simplu de utilizat, deoarece are o GUI frumoasă. Să ne criptăm, însă, este drăguț, deoarece puteți automatiza complet solicitarea certificatelor SSL de la ele. Ideal dacă aveți nevoie de certificate SSL pentru mai multe site-uri web / servere.

Un certificat SSL auto-semnat este gratuit pentru totdeauna. Cu un certificat auto-semnat, sunteți propriul CA. Cu toate acestea, deoarece nu sunteți printre CA-urile de încredere încorporate în browserele web, vizitatorii vor primi un avertisment că autoritatea nu este recunoscută de sistemul de operare. Ca atare, nu există niciun fel de siguranță că sunteți cine spuneți că sunteți (este ca și cum ar fi să vă emiteți un ID foto și să încercați să îl transmiteți la magazinul de băuturi alcoolice). Avantajul unui certificat SSL auto-semnat este însă că permite criptarea traficului web. S-ar putea să fie bun pentru uz intern, unde puteți să vă solicitați personalului să vă adauge organizația ca CA de încredere pentru a scăpa de mesajul de avertizare și pentru a lucra la o conexiune sigură pe Internet.

Pentru instrucțiuni privind configurarea unui certificat SSL autofirmat, consultați documentația pentru OpenSSL. (Sau, dacă există o cerere suficientă, voi scrie un tutorial.)

Instalarea unui certificat SSL

După ce ați achiziționat certificatul SSL, trebuie să îl instalați pe site-ul dvs. web. O gazdă web bună se va oferi să facă acest lucru pentru tine. Unii ar putea chiar să ajungă până la cumpărarea dvs. pentru dvs. De multe ori, acesta este cel mai bun mod de urmat, deoarece simplifică facturarea și se asigură că este configurat corect pentru serverul dvs. web.

Totuși, aveți întotdeauna opțiunea de a instala un certificat SSL pe care l-ați cumpărat de unul singur. Dacă faceți acest lucru, poate doriți să începeți să consultați baza de cunoștințe a gazdei dvs. web sau să deschideți un bilet de asistență. Te vor indruma către cele mai bune instrucțiuni pentru instalarea certificatului SSL. De asemenea, trebuie să consultați instrucțiunile furnizate de CA. Acestea vă vor oferi îndrumări mai bune decât orice sfaturi generice pe care vi le pot oferi aici.

De asemenea, poate doriți să consultați următoarele instrucțiuni pentru instalarea unui certificat SSL:

• Instalați un certificat SSL și configurați domeniul în cPanel
• Cum se implementează SSL în IIS (Windows Server)
• Criptare SSL / TLS Apache

Toate aceste instrucțiuni vor implica crearea unei cereri de semnare a certificatelor SSL (CSR). De fapt, veți avea nevoie de CSR doar pentru a obține un certificat SSL. Din nou, gazda dvs. web vă poate ajuta în acest sens. Pentru informații mai specifice despre bricolaj despre crearea unui CSR, consultați această scriere de la DigiCert.

Pro și contra HTTPS

Am stabilit deja ferm avantajele HTTPS: securitate, securitate, securitate. Acest lucru nu numai că atenuează riscul unei încălcări de date, dar, de asemenea, încurajează încredere și adaugă reputație site-ului dvs. web. Clienții experimentați s-ar putea să nu se mai deranjeze să se înscrie dacă văd http://” pe pagina de conectare.

Cu toate acestea, există unele contrare pentru HTTPS. Având în vedere necesitatea HTTPS pentru anumite tipuri de site-uri web, este mai logic să ne gândim la acestea drept „contraidei ”mai degrabă decât negative.

• HTTPS costă bani. Pentru început, există costurile de cumpărare și reînnoire a certificatului SSL pentru a asigura valabilitatea de la an la an. Dar există și anumite „cerințe de sistem” pentru HTTPS, cum ar fi o adresă IP dedicată sau un plan dedicat de găzduire, care poate fi mai costisitor decât un pachet de hosting comun.
• HTTPS poate încetini răspunsul serverului. Există două probleme legate de SSL / TLS care ar putea încetini viteza de încărcare a paginii. În primul rând, pentru a începe să comunicați cu site-ul dvs. web pentru prima dată, browser-ul utilizatorului trebuie să meargă prin procesul de strângere de mână, care revine la site-ul web al autorității de certificare pentru a verifica certificat. Dacă serverul web al CA este lent, atunci va apărea o întârziere la încărcarea paginii. Acest lucru este în mare parte dincolo de controlul tău. În al doilea rând, HTTPS folosește criptarea, care necesită mai multă putere de procesare. Acest lucru poate fi rezolvat prin optimizarea conținutului dvs. pentru lățimea de bandă și modernizarea hardware-ului pe serverul dvs. Cloudflare are o postare bună pe blog despre cum și de ce SSL ar putea încetini site-ul.
• HTTPS poate afecta eforturile SEO Când treceți de la HTTP la HTTPS; vă mutați pe un nou site web. De exemplu, https://www.groovypost.com nu ar fi la fel ca http://www.groovypost.com. Este important să vă asigurați că ați redirecționat linkurile vechi și ați scris regulile corespunzătoare sub capota serverului pentru a evita pierderea sucului de linkuri prețioase.
• Conținutul mixt poate arunca un steag galben. Pentru unele browsere, dacă aveți partea principală a unei pagini web încărcate de la HTTPS, dar imagini și alte elemente (cum ar fi foi de stil sau scripturi) încărcate de pe o adresă URL HTTP, atunci poate apărea un pop-up care avertizează că pagina include non-securitate conţinut. Desigur, având niste conținutul sigur este mai bun decât să nu existe, chiar dacă acesta din urmă nu are ca rezultat un pop-up. Dar totuși, ar putea merita să vă asigurați că nu aveți „conținut mixt” în paginile dvs.
• Uneori este mai ușor să obțineți un procesator de plăți terță parte. Nu este nicio rușine în a permite Google Checkout, Paypal sau Checkout de Amazon să vă gestioneze plățile. Dacă toate aspectele de mai sus par a fi prea multe de reglat, puteți lăsa clienții să schimbe informațiile de plată pe site-ul securizat Paypal sau pe site-ul securizat Google și să vă salvați problema.

Aveți alte întrebări sau comentarii despre certificatele HTTPS și SSL / TLS? Permiteți-mi să aud în comentarii.