Certifikáty HTTPS a SSL: Zabezpečte svoje webové stránky (a prečo by ste ich mali)

Ako

podľaJack Busch

Posledná aktualizácia dňa20. apríla 2018

Pokiaľ ide o zasielanie osobných údajov cez internet - či už ide o kontaktné informácie, prihlasovacie údaje, informácie o účte, informácie o polohe alebo čokoľvek iné, čo by mohlo byť zneužité - verejnosť je vo všeobecnosti priamo paranoidná o hackeroch a identite zlodeji. A právom. Obava, že vaše informácie môžu byť ukradnuté, neoprávnene manipulované alebo zneužité, nie je aniracionálna. Dokazujú to aj titulky o únikoch a narušeniach bezpečnosti za posledných niekoľko desaťročí. Napriek tomuto strachu sa však ľudia stále prihlasujú, aby na webe robili svoje bankovníctvo, nakupovanie, žurnálovanie, zoznamovanie, stýkanie sa s ľuďmi a iné osobné a profesionálne podnikanie. A je tu jedna malá vec, ktorá im dáva istotu, že tak urobia. Ukážem vám to:

Aj keď nie všetci z nich chápu, ako to funguje, tento malý zámok v paneli s adresou signalizuje používateľom webu, že majú dôveryhodné pripojenie k legitímnej webovej stránke. Ak to návštevníci na paneli s adresou neuvidia, keď vytiahnu váš web, nedostanete - a nemali by ste - svoje podnikanie.

Ak chcete získať malý zámok s adresou pre svoj web, potrebujete certifikát SSL. Ako ho získate? Čítajte ďalej a zistite to.

Osnova článku:

• Čo je to SSL / TLS?
• Ako používať HTTPS?
• Čo je to certifikát SSL a ako ho môžem získať?
• Sprievodca nákupom certifikátov SSL
• • Certifikačná autorita
  • Overenie domény vs. Predĺžená validácia
  • Zdieľané SSL vs Súkromné ​​SSL
  • Trust Seals
  • Zástupné certifikáty SSL
  • záruky
  • Bezplatné certifikáty SSL a certifikáty SSL s vlastným podpisom
• Inštalácia certifikátu SSL
• Výhody a nevýhody HTTPS

Čo je to SSL / TLS?

Na webe sa údaje prenášajú pomocou protokolu Hypertext Transfer Protocol. Preto majú všetky adresy URL webových stránok „ http://” alebo „https: // “pred nimi.

Aký je rozdiel medzi http a https? Toto malé množstvo S má veľké dôsledky: bezpečnosť.

Nechaj ma vysvetliť.

HTTP je „jazyk“, ktorý váš počítač a server používajú na vzájomnú komunikáciu. Tento jazyk je všeobecne chápaný, čo je výhodné, ale má aj svoje nevýhody. Keď sa údaje prenášajú medzi vami a serverom cez internet, pred dosiahnutím konečného cieľa sa na ceste zastavia. To predstavuje tri veľké riziká:

• Že by niekto mohol počúvať za dverami pri konverzácii (niečo ako digitálny odposluch).

• Že by niekto mohol impersonate jedna (alebo obidve) strany na oboch stranách.

• Že by niekto mohol tamper s prenášanými správami.

Hackeri a hlupáci používajú vyššie uvedené kombinácie na množstvo podvodov a lúpeží, vrátane útokov typu phishing, útokov typu človek v strede a dobrej staromódnej reklamy. Škodlivé útoky by mohli byť také jednoduché, ako by mohli vyčarovať poverenia Facebook zachytením nezašifrovaných súborov cookie (odpočúvanie), alebo by mohli byť prepracovanejšie. Napríklad by ste si mohli myslieť, že ste hovorili svojej banke: „Prosím, preneste 100 USD na môjho ISP,“ ale niekto v strede by mohol správu zmeniť tak, aby čítal: „Prosím, preneste $100všetky moje peniaze na môj ISPPeggy na Sibíri“(Manipulácia s údajmi a odcudzenie identity).

To sú problémy s HTTP. Na vyriešenie týchto problémov môže byť HTTP vrstvený bezpečnostným protokolom, čo má za následok HTTP Secure (HTTPS). Najčastejšie sa S v HTTPS poskytuje prostredníctvom protokolu SSL (Secure Sockets Layer) alebo novšieho protokolu Transport Layer Security (TLS). Pri nasadení ponúka HTTPS obojsmerný prístup šifrovanie (zabrániť odposluchu), serverOverenie (na zabránenie predstierania identity) a autentifikácia správ (aby sa zabránilo neoprávnenému zásahu do údajov).

Ako používať HTTPS

HTTPS funguje ako hovorený jazyk, iba ak sa ho obidve strany rozhodnú hovoriť. Na strane klienta je možné zvoliť použitie protokolu HTTPS zadaním „https“ do panela s adresou prehliadača pred URL (napr. Namiesto zadania http://www.facebook.com, napíšte https://www.facebook.com) alebo inštaláciou rozšírenia, ktoré automaticky vynúti HTTPS, napríklad HTTPS Everywhere for Firefox a chróm. Keď váš webový prehliadač používa protokol HTTPS, zobrazí sa ikona zámku, zelený panel prehliadača, palec hore alebo iné upokojujúce znamenie, že vaše pripojenie k serveru je bezpečné.

Aby ste však mohli používať HTTPS, webový server ho musí podporovať. Ak ste webmaster a chcete svojim návštevníkom ponúkať protokol HTTPS, budete potrebovať certifikát SSL alebo certifikát TLS. Ako získate certifikát SSL alebo TLS? Pokračujte v čítaní.

Ďalšie čítanie: Niektoré populárne webové aplikácie vám umožňujú zvoliť HTTPS v nastaveniach používateľa. Prečítajte si naše registrácie Facebook, Gmaila cvrlikání.

Čo je to certifikát SSL a ako ho môžem získať?

Ak chcete používať protokol HTTPS, váš webový server musí mať nainštalovaný certifikát SSL alebo certifikát TLS. Certifikát SSL / TLS je ako ID fotografie pre váš web. Keď prehliadač, ktorý používa HTTPS, pristupuje na vašu webovú stránku, vykoná „handshake“, počas ktorého klientsky počítač požiada o certifikát SSL. Certifikát SSL potom overí dôveryhodná certifikačná autorita (CA), ktorá overí, či je server tým, kto hovorí. Ak sa všetko odhlási, váš webový návštevník získa upokojujúcu zelenú značku začiarknutia alebo ikonu zámku. Ak sa niečo zhorší, webový prehľadávač dostane upozornenie, v ktorom uvedie, že totožnosť servera nebolo možné potvrdiť.

Nakupovanie za certifikát SSL

Pokiaľ ide o inštaláciu certifikátu SSL na vašu webovú stránku, existuje množstvo parametrov, o ktorých sa má rozhodnúť. Poďme na to najdôležitejšie:

Certifikačná autorita

Certifikačná autorita (CA) je spoločnosť, ktorá vydáva váš certifikát SSL a je spoločnosťou, ktorá bude overovať váš certifikát vždy, keď návštevník navštívi váš web. Zatiaľ čo každý poskytovateľ certifikátov SSL bude súťažiť o cenu a vlastnosti, číslo jedna je potrebné zvážiť pri kontrole certifikačné autority sú, či majú alebo nemajú predinštalované certifikáty na najpopulárnejšom webe prehliadača. Ak certifikačná autorita, ktorá vydáva váš certifikát SSL, nie je na tomto zozname, zobrazí sa používateľovi výzva s upozornením, že bezpečnostný certifikát tejto stránky nie je dôveryhodný. To, samozrejme, neznamená, že váš web je nelegitímny - znamená to, že váš CA ešte nie je na zozname (zatiaľ). Je to problém, pretože väčšina používateľov sa neobťažuje čítať upozornenie ani skúmať nerozpoznané CA. Pravdepodobne stačí kliknúť.

Našťastie je zoznam predinštalovaných CA vo veľkých prehľadávačoch pomerne rozsiahly. Zahŕňa niektoré veľké obchodné značky, ako aj menej známe a cenovo dostupnejšie certifikačné autority. Názvy domácnosti zahŕňajú Verisign, Do toho, ocko, Comodo, Thawte, GeoTrusta zveriť.

V nastaveniach svojho vlastného prehliadača sa tiež môžete pozrieť, ktoré certifikačné autority sú predinštalované.

• V prehliadači Chrome prejdite do časti Nastavenia -> Zobraziť rozšírené nastavenia... -> Spravovať certifikáty.
• V prehliadači Firefox vykonajte Možnosti -> Rozšírené -> Zobraziť certifikáty.
• Pre IE, Možnosti siete Internet -> Obsah -> Certifikáty.
• V prípade prehliadača Safari prejdite do vyhľadávača a vyberte položku Choď -> Nástroje -> KeyChain Access a kliknite na Systém.

Pre rýchlu orientáciu si pozrite toto vlákno, ktoré obsahuje zoznam prijateľné certifikáty SSL pre službu Google Checkout.

Overenie domény vs. Predĺžená validácia

Účelom certifikátu SSL je preukázať totožnosť webovej stránky, na ktorú posielate informácie. Ak chcete zaistiť, aby ľudia nevyberali falošné certifikáty SSL pre domény, ktoré neoprávnene nekontrolujú, a certifikačný orgán overí, či je osoba, ktorá žiada o certifikát, skutočne vlastníkom domény názov. Spravidla sa to deje prostredníctvom rýchleho overenia e-mailom alebo telefonickým hovorom, podobne ako keď vám webová stránka pošle e-mail s odkazom na potvrdenie účtu. Toto sa nazýva a doména bola overená SSL certifikát. Výhodou je, že umožňuje vydávanie certifikátov SSL takmer okamžite. Pravdepodobne by ste mohli ísť a získať certifikát SSL s overenou doménou v kratšom čase, ako ste si prečítali tento blogový príspevok. Certifikátom SSL s overenou doménou získate visiaci zámok a schopnosť šifrovať návštevnosť svojich webových stránok.

Výhodou certifikátu SSL s overenou doménou je to, že je rýchly, ľahký a lacný. To je tiež ich nevýhoda. Ako si dokážete predstaviť, je jednoduchšie vymýšľať automatizovaný systém ako ten, ktorý prevádzkujú živé ľudské bytosti. Je to ako keby nejaký stredoškolský chlapec vstúpil do DMV s tvrdením, že je Barack Obama a chcel získať štátny preukaz. osoba pri stole sa na neho jeden raz pozrela a zavolala Fedom (alebo loony bin). Keby to však bol robot pracujúci na kiosku s fotografiami, mohol by mať šťastie. Podobným spôsobom môžu phishingári získať „falošné ID“ pre webové stránky, ako sú Paypal, Amazon alebo Facebook, a to tak, že podvádzajú systémy overovania domény. V roku 2009 Dan Kaminsky uverejnil príklad spôsobu, ako podvody CA získať certifikáty ktoré by prinútili phishingovú webovú stránku, aby vyzerala ako bezpečné a legitímne pripojenie. Pre človeka by bolo možné tento podvod ľahko zistiť. V automatizovanom overení domény v tom čase však chýbali potrebné kontroly, aby sa niečo podobné zabránilo.

V reakcii na zraniteľné miesta certifikátov SSL a SSL overených v doméne toto odvetvie zaviedlo Predĺžená validácia certifikátu. Na získanie certifikátu EV SSL musí vaša spoločnosť alebo organizácia podstúpiť prísnu kontrolu, aby sa zabezpečilo že je v dobrom stave s vašou vládou a oprávnene kontroluje doménu, ktorú sa uchádzate Pro. Tieto kontroly okrem iného vyžadujú ľudský prvok, a preto trvajú dlhšie a sú drahšie.

V niektorých odvetviach sa vyžaduje certifikát EV. Ale pre ostatných to platí len tak ďaleko, ako to zistia vaši návštevníci. Pre každodenných návštevníkov webu je rozdiel jemný. Okrem ikony visiaceho zámku sa panel s adresou zmení na zelený a zobrazuje názov vašej spoločnosti. Ak kliknete na ďalšie informácie, uvidíte, že totožnosť spoločnosti bola overená, nielen webová stránka.

Tu je príklad normálneho webu HTTPS:

A tu je príklad stránky HTTPS s certifikátom EV:

V závislosti od vášho odvetvia nemusí mať certifikát EV hodnotu. Navyše musíte byť firmou alebo organizáciou, aby ste ju získali. Aj keď veľké spoločnosti smerujú k certifikácii EV, všimli ste si, že väčšina stránok HTTPS ešte stále má príchuť inú ako EV. Ak je to dosť dobré pre Google, Facebook a Dropbox, možno je to pre vás dosť dobré.

Ešte jedna vec: je tu možnosť cesty, ktorá sa nazýva organizácia overená alebo obchod overený certifikácie. Jedná sa o dôkladnejšiu kontrolu ako automatizované overenie domény, ale nejde až tak ďaleko, aby vyhovovalo odvetviu predpisy pre osvedčenie o rozšírenej validácii (všimnite si, ako je rozšírená validácia kapitalizovaná a „organizačná“) overenie “nie je?). Certifikácia overená OV alebo firmou stojí viac a trvá dlhšie, nedá vám však zelený panel s adresou a informácie o overení totožnosti spoločnosti. Úprimne povedané, neviem si predstaviť dôvod platiť za certifikát OV. Ak si myslíte o jednom, objasnite ma v komentároch.

Zdieľané SSL vs Súkromné ​​SSL

Niektorí weboví hostitelia ponúkajú zdieľanú službu SSL, ktorá je často cenovo dostupnejšia ako súkromná technológia SSL. Výhodou zdieľaného protokolu SSL okrem ceny je, že nemusíte získať súkromnú adresu IP alebo vyhradeného hostiteľa. Nevýhodou je, že nemusíte používať svoj vlastný názov domény. Namiesto toho bude zabezpečená časť vášho webu niečo ako:

https://www.hostgator.com/~yourdomain/secure.php

Na rozdiel od súkromnej adresy SSL:

https://www.yourdomain.com/secure.php

V prípade webových stránok zameraných na verejnosť, ako napríklad webových stránok elektronického obchodu a sociálnych sietí, je to očividne ťahanie, pretože sa zdá, že ste boli presmerovaní z hlavnej stránky. Ale pre oblasti, ktoré si obyčajne neuvedomuje široká verejnosť, ako sú napríklad innards poštového systému alebo administrátorská oblasť, môže byť zdieľaný SSL dobrý obchod.

Trust Seals

Mnohé certifikačné autority vám umožňujú umiestniť na svoju webovú stránku pečať dôvery po registrácii do niektorého z ich certifikátov. To poskytuje takmer rovnaké informácie ako kliknutie na visiaci zámok v okne prehliadača, ale s lepšou viditeľnosťou. Zahrnutie dôveryhodnej pečiatky sa nevyžaduje, ani to nezvyšuje vašu bezpečnosť, ale ak to návštevníkom poskytne príjemné informácie o tom, kto certifikát SSL vydal, všetkými prostriedkami ho tam vyhoďte.

Zástupné certifikáty SSL

Certifikát SSL overuje identitu jednej domény. Ak teda chcete mať HTTPS na viacerých subdoménach - napr. Groovypost.com, mail.groovypost.com a answers.groovypost.com—Budete musieť kúpiť tri rôzne certifikáty SSL. V určitom okamihu sa certifikát SSL so zástupnými znakmi stáva úspornejším. To znamená, že jeden certifikát pokrýva jednu doménu a všetky subdomény, t. J. * .Groovypost.com.

záruky

Bez ohľadu na to, ako dlho je dobrá povesť spoločnosti, existujú zraniteľné miesta. Hackeri sa môžu zamerať aj na dôveryhodné CA, čo dokazuje aj porušenie spoločnosti VeriSign, ktoré bolo v roku 2010 neohlásené. Navyše, stav CA na dôveryhodnom zozname sa dá rýchlo odvolať, ako sme to videli v prípade DigiNotar snafu späť v roku 2011. Stuff stane.

S cieľom ubezpečiť akékoľvek znepokojenie nad potenciálom takýchto náhodných činov SSL zhabania, mnoho CA teraz ponúka záruky. Pokrytie sa pohybuje od niekoľkých tisíc dolárov do vyše milióna dolárov a zahŕňa straty, ktoré vzniknú v dôsledku zneužitia vášho certifikátu alebo iných nesprávnych informácií. Nemám potuchy, či tieto záruky skutočne prinášajú pridanú hodnotu alebo nie, alebo či niekto úspešne získal nárok. Ale sú tu pre vaše zváženie.

Bezplatné certifikáty SSL a certifikáty SSL s vlastným podpisom

K dispozícii sú dva druhy bezplatných certifikátov SSL. Vlastné podpisy, ktoré sa používajú predovšetkým na súkromné ​​testovanie a na plnohodnotnú verejnosť, s ktorou sa stretávajú SSL Certs vydané platným certifikačným orgánom. Dobrou správou je, že v roku 2018 existuje niekoľko možností, ako získať 100% zadarmo, platné 90-dňové SSL certifikáty od oboch SSL zadarmo alebo Poďme zašifrovať. SSL zadarmo je primárne GUI pre Let's Encrypt API. Výhodou stránky SSL pre bezplatné používanie je jednoduché použitie, pretože má pekné používateľské rozhranie. Poďme sa zašifrovať, je však pekné, pretože od nich môžete úplne automatizovať žiadosti o certifikáty SSL. Ideálne, ak potrebujete SSL certifikáty pre viaceré webové stránky / servery.

Certifikát SSL s vlastným podpisom je zadarmo navždy. S certifikátom s vlastným podpisom ste vlastným CA. Pretože však nepatríte medzi dôveryhodné certifikačné autority zabudované do webových prehľadávačov, návštevníci dostanú varovanie, že operačný systém neuzná oprávnenie. Neexistuje teda žiadna záruka, že ste tým, kým hovoríte, že je to niečo ako vydať si fotografický preukaz a pokúsiť sa ho odovzdať v obchode s alkoholom). Výhoda SSL certifikátu s vlastným podpisom je však v tom, že umožňuje šifrovanie pre webový prenos. Pre interné použitie by mohlo byť užitočné, keď vaši zamestnanci môžu pridať vašu organizáciu ako dôveryhodnú CA, aby sa zbavili varovnej správy a pracovali na bezpečnom pripojení cez internet.

Pokyny na nastavenie certifikátu SSL s vlastným podpisom nájdete v dokumentácii k serveru OpenSSL. (Alebo, ak existuje dostatok dopytu, napíšem návod.)

Inštalácia certifikátu SSL

Po zakúpení certifikátu SSL ho musíte nainštalovať na svoj web. Dobrý webhosting vám ponúkne urobiť to za vás. Niektorí by dokonca mohli ísť tak ďaleko, ako si ich kúpite za vás. Toto je často najlepší spôsob, ako zjednodušiť fakturáciu a zabezpečiť, aby bol správne nastavený pre váš webový server.

Stále však máte možnosť nainštalovať certifikát SSL, ktorý ste si kúpili sami. Ak tak urobíte, mali by ste začať konzultovať informačnú základňu svojho webového hostiteľa alebo otvoriť lístok na helpdesk. Nasmerujú vás k najlepším pokynom na inštaláciu vášho certifikátu SSL. Mali by ste sa tiež oboznámiť s pokynmi poskytnutými CA. Tieto pokyny vám poskytnú lepšie usmernenie ako akékoľvek všeobecné rady, ktoré vám tu môžem poskytnúť.

Môžete si tiež pozrieť nasledujúce pokyny na inštaláciu certifikátu SSL:

• Nainštalujte SSL certifikát a nastavte doménu v cPanel
• Ako implementovať SSL v IIS (Windows Server)
• Apache SSL / TLS Encryption

Všetky tieto pokyny budú zahŕňať vytvorenie žiadosti o podpísanie certifikátu SSL (CSR). V skutočnosti budete potrebovať CSR iba na vydanie certifikátu SSL. Váš webový hostiteľ vám s tým môže znova pomôcť. Ak chcete získať konkrétnejšie informácie pre domácich majstrov o vytvorení správy o chemickej bezpečnosti, prečítajte si túto registráciu od DigiCert.

Výhody a nevýhody HTTPS

Máme už pevne stanovené výhody HTTPS: bezpečnosť, bezpečnosť, bezpečnosť. Nielenže to zmierňuje riziko porušenia údajov, ale tiež zvyšuje dôveru a zvyšuje dôveryhodnosť vašich webových stránok. Dôvtipní zákazníci sa nemusia ani obťažovať pri registrácii, ak uvidia „ http://” na prihlasovacej stránke.

Existujú však určité nevýhody HTTPS. Vzhľadom na nevyhnutnosť protokolu HTTPS pre určité typy webových stránok má zmysel uvažovať o nich ako o „záporyiderácie “namiesto negatívov.

• HTTPS stojí peniaze. Pre začiatočníkov existujú náklady na nákup a obnovenie vášho certifikátu SSL, aby sa zabezpečila ročná platnosť. Existujú však aj určité „systémové požiadavky“ pre HTTPS, ako je vyhradená adresa IP alebo vyhradený plán hostenia, ktoré môžu byť nákladnejšie ako zdieľaný hostingový balík.
• HTTPS môže spomaliť reakciu servera. Existujú dva problémy súvisiace s SSL / TLS, ktoré môžu spomaliť rýchlosť načítania stránky. Ak chcete začať komunikovať s webom prvýkrát, musíte najprv prejsť do prehliadača používateľa prostredníctvom procesu podania ruky, ktorý sa vracia naspäť na webovú stránku certifikačnej autority a overuje ju certifikátu. Ak je webový server CA slabý, načítanie stránky bude oneskorené. To je z veľkej časti mimo vašu kontrolu. Po druhé, HTTPS používa šifrovanie, ktoré vyžaduje viac výpočtového výkonu. Toto je možné vyriešiť optimalizáciou obsahu pre šírku pásma a aktualizáciou hardvéru na vašom serveri. CloudFlare má dobrý blogový príspevok o tom, ako a prečo SSL môže spomaliť vaše webové stránky.
• HTTPS môže ovplyvniť úsilie SEO Pri prechode z HTTP na HTTPS; prechádzate na nový web. Napríklad, https://www.groovypost.com by nebolo rovnaké ako http://www.groovypost.com. Je dôležité zabezpečiť, aby ste presmerovali svoje staré odkazy a aby ste napísali správne pravidlá do krytu servera, aby ste nestratili žiadnu drahocennú šťavu z odkazu.
• Zmiešaný obsah môže hádzať žltú vlajku. Ak máte niektoré prehliadače hlavnú časť webovej stránky načítanú z protokolu HTTPS, obrázky a ďalšie prvky (napríklad štýlov alebo skriptov) načítaných z adresy URL HTTP, potom sa môže zobraziť kontextové okno s upozornením, že stránka obsahuje nezabezpečené Obsah. Samozrejme, že niektorí zabezpečený obsah je lepší ako žiadny, aj keď jeho výsledkom nie je kontextové okno. Napriek tomu môže byť užitočné ubezpečiť sa, že na svojich stránkach nemáte „zmiešaný obsah“.
• Niekedy je ľahšie získať spracovateľa platieb od tretej strany. Nedovolíte, aby vaše platby mohli spracovať Google Checkout, Paypal alebo Checkout od Amazonu. Ak sa zdá, že všetky vyššie uvedené skutočnosti sa príliš hádajú, môžete si nechať svojich zákazníkov vymieňať si informácie o platbe na zabezpečenom webe Paypal alebo na zabezpečenom webe Google a ušetrite si problémy.

Máte ďalšie otázky alebo pripomienky týkajúce sa certifikátov HTTPS a SSL / TLS? Dovoľte mi to vypočuť v komentároch.