Certyfikaty HTTPS i SSL: Zabezpiecz swoją stronę internetową (i dlaczego powinieneś)

Jak

PrzezJack Busch

Ostatnia aktualizacja dnia20 kwietnia 2018 r

Jeśli chodzi o wysyłanie danych osobowych przez Internet - czy to dane kontaktowe, dane logowania, dane konta, informacje o lokalizacji lub cokolwiek innego, co może być nadużywane - ogół społeczeństwa jest wręcz paranoikiem w sprawie hakerów i tożsamości złodzieje. I słusznie tak. Strach przed kradzieżą, manipulacją lub przywłaszczeniem informacji jest daleki od irracjonalnego. Dowodzą tego nagłówki o przeciekach i naruszeniach bezpieczeństwa w ciągu ostatnich kilku dekad. Ale pomimo tego strachu ludzie nadal logują się, aby robić bankowość, robić zakupy, dziennikarze, randki, kontakty towarzyskie i inne osobiste i profesjonalne interesy w Internecie. I jest jedna drobna rzecz, która daje im pewność, aby to zrobić. Pokażę ci to:

Chociaż nie wszyscy rozumieją, jak to działa, ta mała kłódka na pasku adresu sygnalizuje użytkownikom sieci, że mają zaufane połączenie z legalną stroną internetową. Jeśli odwiedzający nie zobaczą tego na pasku adresu, gdy podciągną Twoją witrynę, nie dostaniesz - i nie powinieneś - ich działalności.

Aby uzyskać tę małą kłódkę paska adresu dla swojej witryny, potrzebujesz certyfikatu SSL. Jak je zdobyć? Czytaj dalej, aby się dowiedzieć.

Zarys artykułu:

• Co to jest SSL / TLS?
• Jak korzystać z HTTPS?
• Co to jest certyfikat SSL i jak go uzyskać?
• Przewodnik zakupów certyfikatów SSL
• • Urząd certyfikacji
  • Walidacja domeny vs. Rozszerzona walidacja
  • Wspólny SSL vs. Prywatny SSL
  • Pieczęcie zaufania
  • Certyfikaty SSL wieloznaczne
  • Gwarancje
  • Darmowe certyfikaty SSL i certyfikaty SSL z podpisem własnym
• Instalowanie certyfikatu SSL
• Zalety i wady HTTPS

Co to jest SSL / TLS?

W Internecie dane są przesyłane przy użyciu protokołu przesyłania hipertekstu. Właśnie dlatego wszystkie adresy URL stron internetowych mają „ http://” lub „https://" przed nimi.

Jaka jest różnica między http a https? Ta bardzo mała litera S ma duże implikacje: bezpieczeństwo.

Pozwól mi wyjaśnić.

HTTP jest „językiem” używanym przez komputer i serwer do komunikowania się ze sobą. Ten język jest powszechnie rozumiany, co jest wygodne, ale ma również swoje wady. Gdy dane są przesyłane między tobą a serwerem przez Internet, po drodze zatrzymają się, zanim dotrą do miejsca docelowego. Stwarza to trzy duże zagrożenia:

• Że ktoś może podsłuchiwać podczas rozmowy (coś w rodzaju podsłuchu cyfrowego).

• Że ktoś może podszywać się jedna (lub obie) strony po obu stronach.

• Że ktoś może majstrować z przesyłanymi wiadomościami.

Hakerzy i szarpnięcia używają kombinacji powyższych elementów do wielu oszustw i napadów, w tym prób phishingu, ataków typu man-the-the-middle i dobrej, staromodnej reklamy. Szkodliwe ataki mogą być tak proste, jak wykrywanie poświadczeń z Facebooka poprzez przechwytywanie niezaszyfrowanych plików cookie (podsłuch), lub mogą być bardziej wyrafinowane. Na przykład możesz pomyśleć, że mówisz swojemu bankowi: „Prześlij 100 USD mojemu dostawcy usług internetowych”, ale ktoś pośrodku może zmienić wiadomość i przeczytać: „Prześlij $100wszystkie moje pieniądze do mój dostawca usług internetowychPeggy na Syberii”(Manipulowanie danymi i podszywanie się pod inne osoby).

Takie są problemy z HTTP. Aby rozwiązać te problemy, HTTP można nakładać na warstwy za pomocą protokołu bezpieczeństwa, dzięki czemu HTTP Secure (HTTPS). Najczęściej S w HTTPS jest zapewniany przez protokół Secure Sockets Layer (SSL) lub nowszy protokół Transport Layer Security (TLS). Po wdrożeniu HTTPS oferuje dwukierunkowy szyfrowanie (aby zapobiec podsłuchowi), serwerpoświadczenie (aby zapobiec podszywaniu się) i uwierzytelnianie wiadomości (aby zapobiec manipulowaniu danymi).

Jak korzystać z HTTPS

Podobnie jak język mówiony, HTTPS działa tylko wtedy, gdy obie strony zdecydują się go mówić. Po stronie klienta wyboru użycia HTTPS można dokonać, wpisując „https” w pasku adresu przeglądarki przed adresem URL (np. Zamiast pisać http://www.facebook.com, rodzaj https://www.facebook.com) lub instalując rozszerzenie, które automatycznie wymusza HTTPS, takie jak HTTPS Everywhere for Firefox i Chrom. Gdy Twoja przeglądarka korzysta z HTTPS, zobaczysz ikonę kłódki, zielony pasek przeglądarki, kciuki w górę lub inny uspokajający znak, że twoje połączenie z serwerem jest bezpieczne.

Jednak aby używać HTTPS, serwer WWW musi go obsługiwać. Jeśli jesteś webmasterem i chcesz zaoferować HTTPS odwiedzającym, musisz mieć certyfikat SSL lub certyfikat TLS. Jak uzyskać certyfikat SSL lub TLS? Czytaj dalej.

Dalsza lektura: Niektóre popularne aplikacje internetowe pozwalają wybrać HTTPS w ustawieniach użytkownika. Przeczytaj nasze artykuły na Facebook, Gmail, i Świergot.

Co to jest certyfikat SSL i jak go uzyskać?

Aby korzystać z HTTPS, twój serwer musi mieć zainstalowany certyfikat SSL lub certyfikat TLS. Certyfikat SSL / TLS jest jak dowód tożsamości ze zdjęciem dla Twojej witryny. Gdy przeglądarka korzystająca z protokołu HTTPS uzyska dostęp do Twojej strony, wykona „uścisk dłoni”, podczas którego komputer kliencki prosi o certyfikat SSL. Certyfikat SSL jest następnie sprawdzany przez zaufany urząd certyfikacji (CA), który sprawdza, czy serwer jest tym, za kogo się podaje. Jeśli wszystko się sprawdzi, Twój użytkownik otrzyma uspokajający zielony znacznik wyboru lub ikonę blokady. Jeśli coś pójdzie nie tak, otrzymają ostrzeżenie z przeglądarki, że nie można potwierdzić tożsamości serwera.

Kupowanie certyfikatu SSL

Jeśli chodzi o instalowanie certyfikatu SSL na swojej stronie, istnieje wiele parametrów do wyboru. Omówmy najważniejsze:

Urząd certyfikacji

Urząd certyfikacji (CA) to firma, która wystawia certyfikat SSL i to ten, który będzie sprawdzał twój certyfikat za każdym razem, gdy odwiedzający wejdzie na twoją stronę. Podczas gdy każdy dostawca certyfikatu SSL będzie konkurował ceną i funkcjami, najważniejszą rzeczą do rozważenia przy weryfikacji urzędy certyfikacji określają, czy mają certyfikaty wstępnie zainstalowane w najpopularniejszej sieci przeglądarki. Jeśli urzędu certyfikacji, który wystawia certyfikat SSL, nie ma na tej liście, użytkownik otrzyma ostrzeżenie, że certyfikat bezpieczeństwa witryny nie jest zaufany. Oczywiście nie oznacza to, że Twoja witryna jest nielegalna - oznacza tylko, że Twojego urzędu certyfikacji nie ma (jeszcze) na liście. Jest to problem, ponieważ większość użytkowników nie zawraca sobie głowy czytaniem ostrzeżenia lub badaniem nierozpoznanego urzędu certyfikacji. Prawdopodobnie po prostu klikną.

Na szczęście lista wstępnie zainstalowanych urzędów certyfikacji w głównych przeglądarkach jest dość spora. Obejmuje niektóre duże marki, a także mniej znane i tańsze CA. Do nazwisk domowych należą Verisign, Idź Tato, Comodo, Thawte, Geotrust, i Powierzać.

Możesz również sprawdzić ustawienia własnej przeglądarki, aby zobaczyć, które urzędy certyfikacji są wstępnie zainstalowane.

• W przypadku Chrome przejdź do Ustawienia -> Pokaż ustawienia zaawansowane… -> Zarządzaj certyfikatami.
• W przeglądarce Firefox wykonaj Opcje -> Zaawansowane -> Wyświetl certyfikaty.
• Dla IE Opcje internetowe -> Treść -> Certyfikaty.
• W przeglądarce Safari przejdź do Findera i wybierz Idź -> Narzędzia -> KeyChain Access i kliknij System.

W celu szybkiego zapoznania się z tym wątkiem, który zawiera listę akceptowalne certyfikaty SSL dla Google Checkout.

Walidacja domeny vs. Rozszerzona walidacja

Certyfikat SSL ma na celu potwierdzenie tożsamości witryny, do której wysyłasz informacje. Aby upewnić się, że ludzie nie wyciągają fałszywych certyfikatów SSL dla domen, których nie kontrolują, a urząd certyfikacji potwierdzi, że osoba wnioskująca o certyfikat jest rzeczywiście właścicielem domeny Nazwa. Zazwyczaj odbywa się to poprzez szybką weryfikację adresu e-mail lub połączenia telefonicznego, podobnie jak wtedy, gdy witryna wysyła wiadomość e-mail z linkiem do potwierdzenia konta. To się nazywa domena zweryfikowana Certyfikat SSL. Zaletą tego jest to, że pozwala niemal natychmiast wydawać certyfikaty SSL. Prawdopodobnie możesz udać się po certyfikat SSL zweryfikowany w domenie w krótszym czasie niż przeczytanie tego posta na blogu. Dzięki zweryfikowanemu w domenie certyfikatu SSL otrzymujesz kłódkę i możliwość szyfrowania ruchu w Twojej witrynie.

Zaletą certyfikatu SSL zweryfikowanego przez domenę jest to, że są one szybkie, łatwe i tanie. To także ich wada. Jak możesz sobie wyobrazić, łatwiej jest zarzucić system automatyczny niż ten obsługiwany przez żywe istoty ludzkie. To tak, jakby jakieś dziecko z liceum weszło do DMV, mówiąc, że jest Barackiem Obamą i chce uzyskać wydany przez rząd dowód tożsamości. osoba przy biurku rzuciła na niego okiem i zadzwoniła do federalnych (lub do loony bin). Ale gdyby to był robot pracujący w kiosku ze zdjęciem, mógłby mieć trochę szczęścia. W podobny sposób phisherzy mogą uzyskać „fałszywe identyfikatory” dla witryn takich jak Paypal, Amazon lub Facebook, oszukując systemy sprawdzania poprawności domen. W 2009 roku Dan Kaminsky opublikował przykładowy sposób oszukańcze urzędy certyfikacji, aby uzyskać certyfikaty sprawiłoby to, że strona phishingowa wyglądałaby jak bezpieczne, legalne połączenie. Dla człowieka to oszustwo byłoby łatwe do wykrycia. Ale w automatycznej weryfikacji domeny w tym czasie brakowało niezbędnych kontroli, aby temu zapobiec.

W odpowiedzi na luki w zabezpieczeniach SSL i zweryfikowanych domenowo certyfikatów SSL, przemysł wprowadził Rozszerzona walidacja certyfikat. Aby uzyskać certyfikat EV SSL, Twoja firma lub organizacja musi przejść rygorystyczną weryfikację że ma dobrą opinię z rządem i prawidłowo kontroluje wnioskowaną domenę dla. Kontrole te wymagają między innymi elementu ludzkiego, a zatem trwają dłużej i są droższe.

W niektórych branżach wymagany jest certyfikat EV. Ale dla innych korzyści sięgają tylko tego, co rozpoznają odwiedzający. Dla zwykłych użytkowników internetu różnica jest subtelna. Oprócz ikony kłódki pasek adresu zmienia kolor na zielony i wyświetla nazwę Twojej firmy. Jeśli klikniesz, aby uzyskać więcej informacji, zobaczysz, że tożsamość firmy została zweryfikowana, a nie tylko strona internetowa.

Oto przykład zwykłej witryny HTTPS:

A oto przykład witryny HTTPS z certyfikatem EV:

W zależności od branży certyfikat EV może nie być tego wart. Ponadto musisz być firmą lub organizacją, aby je zdobyć. Chociaż duże firmy dążą do uzyskania certyfikatu EV, zauważysz, że większość witryn HTTPS nadal ma smak inny niż EV. Jeśli jest wystarczająco dobry dla Google, Facebooka i Dropbox, być może jest wystarczająco dobry dla Ciebie.

Jeszcze jedno: istnieje środek opcji drogi o nazwie an zatwierdzona organizacja lub firma zatwierdzona orzecznictwo. Jest to dokładniejsza weryfikacja niż zautomatyzowane sprawdzanie poprawności domen, ale nie idzie tak daleko, jak spotkanie z branżą przepisy dotyczące certyfikatu Extended Validation (zwróć uwagę na to, jak pisane jest ono i „organizacyjne” walidacja ”, prawda?). Certyfikacja OV lub firmy kosztuje więcej i trwa dłużej, ale nie daje zielonego paska adresu ani informacji weryfikujących tożsamość firmy. Szczerze mówiąc, nie mogę wymyślić powodu, by zapłacić za certyfikat OV. Jeśli możesz o tym pomyśleć, proszę oświeć mnie w komentarzach.

Wspólny SSL vs. Prywatny SSL

Niektóre hosty internetowe oferują wspólną usługę SSL, która często jest tańsza niż prywatny SSL. Poza ceną zaletą współdzielonego protokołu SSL jest to, że nie trzeba uzyskiwać prywatnego adresu IP ani dedykowanego hosta. Minusem jest to, że nie możesz używać własnej nazwy domeny. Zamiast tego bezpieczna część witryny będzie przypominać:

https://www.hostgator.com/~yourdomain/secure.php

Porównaj to z prywatnym adresem SSL:

https://www.yourdomain.com/secure.php

W przypadku witryn publicznych, takich jak witryny e-commerce i portale społecznościowe, jest to oczywiście utrudnienie, ponieważ wygląda na to, że zostałeś przekierowany z głównej strony. Ale w obszarach, które zwykle nie są oglądane przez ogół społeczeństwa, takich jak wnętrze systemu pocztowego lub obszaru administratora, współużytkowany protokół SSL może być dobrym rozwiązaniem.

Pieczęcie zaufania

Wiele urzędów certyfikacji pozwala umieścić pieczęć zaufania na swojej stronie internetowej po zarejestrowaniu się w jednym z ich certyfikatów. Daje to prawie takie same informacje, jak kliknięcie kłódki w oknie przeglądarki, ale z lepszą widocznością. Dołączenie pieczęci zaufania nie jest wymagane, ani nie zwiększa twojego bezpieczeństwa, ale jeśli daje odwiedzającym ciepłe gadżety, wiedząc, kto wystawił certyfikat SSL, to w każdym razie wyrzuć go tam.

Certyfikaty SSL wieloznaczne

Certyfikat SSL weryfikuje tożsamość jednej domeny. Tak więc, jeśli chcesz mieć HTTPS na wielu poddomenach - np. Groovypost.com, mail.groovypost.com i answer.groovypost.com- musisz kupić trzy różne certyfikaty SSL. W pewnym momencie wieloznaczny certyfikat SSL staje się bardziej ekonomiczny. Oznacza to, że jeden certyfikat obejmuje jedną domenę i wszystkie subdomeny, tj. * .Groovypost.com.

Gwarancje

Bez względu na to, jak długotrwała jest dobra reputacja firmy, istnieją luki w zabezpieczeniach. Hakerzy mogą być celem nawet zaufanych urzędów certyfikacji, o czym świadczy to naruszenie w VeriSign, które nie zostało zgłoszone w 2010 r. Ponadto status urzędu certyfikacji na zaufanej liście można szybko cofnąć, jak widzieliśmy w przypadku DigiNotar snafu w 2011 roku Rzeczy się zdarzają.

Aby złagodzić niepokój związany z możliwością takich przypadkowych przypadków rozpusty SSL, wiele urzędów certyfikacji oferuje teraz gwarancje. Zakres ubezpieczenia wynosi od kilku tysięcy dolarów do ponad miliona dolarów i obejmuje straty wynikające z niewłaściwego wykorzystania certyfikatu lub innych zdarzeń losowych. Nie mam pojęcia, czy gwarancje te rzeczywiście wnoszą wartość dodaną, czy też nie, czy ktoś kiedykolwiek wygrał roszczenie. Ale są tam do rozważenia.

Darmowe certyfikaty SSL i certyfikaty SSL z podpisem własnym

Dostępne są dwa rodzaje bezpłatnych certyfikatów SSL. Samopodpisany, używany głównie do prywatnych testów i pełnoprawnych publicznych certyfikatów SSL wystawionych przez ważny urząd certyfikacji. Dobrą wiadomością jest to, że w 2018 roku istnieje kilka opcji, aby uzyskać 100% darmowych, ważnych 90-dniowych certyfikatów SSL od obu SSL za darmo lub Szyfrujmy. SSL za darmo to przede wszystkim GUI interfejsu API Let's Encrypt. Zaletą witryny SSL za darmo jest prosta obsługa, ponieważ ma ładny interfejs GUI. Let's Encrypt jest jednak przyjemne, ponieważ możesz w pełni zautomatyzować żądania od nich certyfikatów SSL. Idealny, jeśli potrzebujesz certyfikatów SSL dla wielu stron / serwerów.

Samopodpisany certyfikat SSL jest zawsze bezpłatny. Dzięki samopodpisanemu certyfikatowi jesteś własnym urzędem certyfikacji. Ponieważ jednak nie należysz do zaufanych urzędów certyfikacji wbudowanych w przeglądarki internetowe, użytkownicy otrzymają ostrzeżenie, że system nie rozpoznaje uprawnień. W związku z tym naprawdę nie ma gwarancji, że jesteś tym, za kogo się podajesz (to coś w rodzaju wystawienia dokumentu tożsamości ze zdjęciem i próby przekazania go w sklepie monopolowym). Zaletą samopodpisanego certyfikatu SSL jest jednak to, że umożliwia szyfrowanie ruchu sieciowego. Może to być przydatne do użytku wewnętrznego, gdzie możesz poprosić swoich pracowników o dodanie organizacji jako zaufanego urzędu certyfikacji, aby pozbyć się komunikatu ostrzegawczego i pracować nad bezpiecznym połączeniem przez Internet.

Aby uzyskać instrukcje dotyczące konfigurowania samopodpisanego certyfikatu SSL, zapoznaj się z dokumentacją OpenSSL. (Lub, jeśli jest wystarczające zapotrzebowanie, napiszę samouczek).

Instalowanie certyfikatu SSL

Po zakupie certyfikatu SSL musisz go zainstalować w swojej witrynie. Dobry hosting zaoferuje to za Ciebie. Niektórzy mogą nawet posunąć się nawet do zakupu dla ciebie. Często jest to najlepszy sposób, ponieważ upraszcza fakturowanie i zapewnia prawidłowe skonfigurowanie serwera WWW.

Mimo to zawsze masz możliwość zainstalowania samodzielnie zakupionego certyfikatu SSL. Jeśli to zrobisz, możesz zacząć korzystać z bazy wiedzy swojego usługodawcy internetowego lub otworzyć bilet do działu pomocy technicznej. Poprowadzą Cię do najlepszych instrukcji dotyczących instalowania certyfikatu SSL. Należy również zapoznać się z instrukcjami dostarczonymi przez właściwy organ. To da ci lepsze wskazówki niż jakakolwiek ogólna rada, którą mogę ci tutaj dać.

Możesz także sprawdzić następujące instrukcje dotyczące instalowania certyfikatu SSL:

• Zainstaluj certyfikat SSL i skonfiguruj domenę w cPanel
• Jak zaimplementować SSL w IIS (Windows Server)
• Szyfrowanie Apache SSL / TLS

Wszystkie te instrukcje będą wymagały utworzenia żądania podpisania certyfikatu SSL (CSR). W rzeczywistości potrzebujesz CSR, aby uzyskać certyfikat SSL. Znowu twój hosting może ci w tym pomóc. Aby uzyskać bardziej szczegółowe informacje na temat tworzenia CSR dla majsterkowiczów, sprawdź ten zapis od DigiCert.

Plusy i minusy HTTPS

Ustaliliśmy już mocno zalety HTTPS: bezpieczeństwo, ochrona, bezpieczeństwo. Nie tylko zmniejsza to ryzyko naruszenia danych, ale także budzi zaufanie i podnosi reputację Twojej witryny. Doświadczeni klienci mogą nawet nie zawracać sobie głowy rejestracją, jeśli zobaczą „ http://” na stronie logowania.

Istnieją jednak pewne wady HTTPS. Biorąc pod uwagę konieczność stosowania HTTPS w przypadku niektórych rodzajów witryn, sensowniej jest myśleć o nich jako „Consideracje ”zamiast negatywów.

• HTTPS kosztuje. Na początek trzeba kupić i odnowić certyfikat SSL, aby zapewnić ważność z roku na rok. Istnieją jednak pewne „wymagania systemowe” dla HTTPS, takie jak dedykowany adres IP lub dedykowany plan hostingowy, które mogą być droższe niż udostępnianie pakietu hostingowego.
• HTTPS może spowolnić odpowiedź serwera. Istnieją dwa problemy związane z SSL / TLS, które mogą spowolnić prędkość ładowania strony. Po pierwsze, aby rozpocząć komunikację z witryną po raz pierwszy, przeglądarka użytkownika musi przejść poprzez proces uzgadniania, który odsyła z powrotem do strony internetowej ośrodka certyfikacji w celu weryfikacji certyfikat. Jeśli serwer internetowy urzędu certyfikacji działa zbyt wolno, ładowanie strony będzie opóźnione. Jest to w dużej mierze poza twoją kontrolą. Po drugie, HTTPS wykorzystuje szyfrowanie, które wymaga większej mocy obliczeniowej. Można temu zaradzić, optymalizując zawartość pod kątem przepustowości i aktualizując sprzęt na serwerze. CloudFare ma dobry post na blogu o tym, jak i dlaczego SSL może spowolnić Twoją witrynę.
• HTTPS może wpływać na działania SEO Podczas przejścia z HTTP na HTTPS; przeprowadzasz się do nowej witryny. Na przykład, https://www.groovypost.com nie byłby taki sam jak http://www.groovypost.com. Ważne jest, aby upewnić się, że przekierowałeś stare linki i zapisałeś odpowiednie reguły pod maską swojego serwera, aby uniknąć utraty cennego soku z linków.
• Mieszana treść może rzucić żółtą flagę. W przypadku niektórych przeglądarek, jeśli główna część strony została załadowana z HTTPS, ale obrazy i inne elementy (takie jak arkusze stylów lub skrypty) ładowane z adresu URL HTTP, może pojawić się wyskakujące okienko z ostrzeżeniem, że strona zawiera niezabezpieczone zawartość. Oczywiście mając trochę bezpieczna treść jest lepsza niż jej brak, nawet jeśli ta ostatnia nie powoduje wyskakującego okienka. Mimo wszystko warto jednak upewnić się, że na stronach nie ma żadnych „mieszanych treści”.
• Czasami łatwiej jest uzyskać zewnętrzny procesor płatności. Nie ma wstydu, gdy Google Checkout, Paypal lub Checkout by Amazon obsługują Twoje płatności. Jeśli wszystkie powyższe wydają się zbyt trudne do rozwiązania, możesz pozwolić swoim klientom wymieniać informacje o płatnościach w bezpiecznej witrynie Paypal lub w bezpiecznej witrynie Google i zaoszczędzić sobie kłopotów.

Masz inne pytania lub uwagi dotyczące certyfikatów HTTPS i SSL / TLS? Daj mi usłyszeć w komentarzach.