HTTPS и SSL сертификати: Направете своя уебсайт защитен (и защо трябва)

Без значение какъв тип онлайн бизнес или услуга управлявате, трябва да гарантирате, че личните данни са защитени с HTTPS и SSL сертификати. Ето пълното ни ръководство.

Когато става въпрос за изпращане на лична информацияпо интернет - било то информация за контакт, идентификационни данни за вход, информация за акаунта, информация за местоположение или нещо друго, което може да бъде злоупотребено - обществеността като цяло е параноична за хакерите и крадците на самоличност. И с право. Страхът, че вашата информация може да бъде открадната, подправена или присвоена, е далеч от ирационален. Заглавията за течове и нарушения на сигурността през последните няколко десетилетия го доказват. Но въпреки този страх, хората продължават да влизат, за да правят своите банки, пазаруване, журналиране, запознанства, социализация и друг личен и професионален бизнес в мрежата. И има едно малко нещо, което им дава увереността да правят това. Ще ви го покажа:

Въпреки че не всички разбират как работи,този малък катинар в адресната лента сигнализира на уеб потребителите, че имат надеждна връзка с легитимен уебсайт. Ако посетителите не виждат това в адресната лента, когато изтеглят уебсайта ви, вие няма и не бива да стартирате бизнеса им.

За да получите този малък катинар на адресната лента за вашия уебсайт, трябва SSL сертификат. Как да го вземеш? Прочетете, за да разберете.

Структура на статията:

Какво е SSL / TLS?
Как да използвате HTTPS?
Какво е SSL сертификат и как да го получа?
Ръководство за пазаруване на SSL сертификати
- Сертифициращ орган
- Валидиране на домейн срещу разширено валидиране
- Споделен SSL срещу частен SSL
- Доверете се печатите
- Wildcard SSL сертификати
- Гаранции
- Безплатни SSL сертификати и самоподписани SSL сертификати
Инсталиране на SSL сертификат
Плюсове и минуси на HTTPS

Какво е SSL / TLS?

В мрежата данните се прехвърлят с помощта на протокол за трансфер на хипертекст. Ето защо всички URL адреси на уеб страници имат „http: //“ или „httpс://" пред тях.

Каква е разликата между http и https? Това допълнително малко S има голямо значение: Сигурност.

Нека обясня.

HTTP е „езикът“, който вашият компютър иизползване на сървъра за разговор помежду си. Този език е универсално разбиран, което е удобно, но има и своите недостатъци. Когато данните се предават между вас и сървър през интернет, той ще направи някои спирки по пътя, преди да достигне крайната си дестинация. Това крие три големи риска:

Това може някой подслушване на вашия разговор (нещо като цифрово подслушване).
Това може някой представяте една (или и двете) от страните от двата края.
Това може някой подправяне като съобщенията се прехвърлят.

Хакерите и ритниците използват комбинация от горнотоза редица измами и призраци, включително фишинг шпиони, атаки между хора и добра старомодна реклама. Зловредните атаки биха могли да бъдат толкова прости, колкото да изсмуквате идентификационните данни на Facebook, като прихващате нешифровани бисквитки (подслушване) или биха могли да бъдат по-сложни. Например, може да мислите, че казвате на банката си: „Моля, прехвърлете 100 долара на моя интернет доставчик“, но някой в средата може да промени съобщението да гласи: „Моля, прехвърлете $ 100 всичките ми пари да се моя ISP Пеги в Сибир”(Подправяне на данни и представянето им).

Това са проблемите с HTTP. За решаването на тези проблеми, HTTP може да бъде слоест със защитен протокол, което води до HTTP Secure (HTTPS). Най-често S в HTTPS се предоставя от протокола на защитен сокет (SSL) или от по-новия протокол за сигурност на транспортния слой (TLS). Когато се разгръща, HTTPS предлага двупосочно криптиране (за да се предотврати подслушването), сървър заверка (за да се предотврати самоличност) и удостоверяване на съобщение (за да се предотврати подправяне на данни).

Как да използвате HTTPS

Подобно на говорим език, HTTPS работи само ако и дветепартиите избират да го говорят. От страна на клиента, изборът за използване на HTTPS може да бъде направен чрез въвеждане на „https“ в адресната лента на браузъра преди URL адреса (например, вместо да въведете http://www.facebook.com, въведете https: // www. facebook.com) или чрез инсталиране на разширение, което автоматично принуждава HTTPS, като HTTPS Everywhere за Firefox и Chrome. Когато вашият уеб браузър използва HTTPS, ще видите икона на катинар, зелена лента на браузъра, палец нагоре или друг успокояващ знак, че връзката ви със сървъра е защитена.

Въпреки това, за да използва HTTPS, уеб сървърът трябваподкрепете го. Ако сте уеб администратор и искате да предложите HTTPS на своите посетители, тогава ще ви трябва SSL сертификат или TLS сертификат. Как да получите SSL или TLS сертификат? Продължавай да четеш.

Допълнително четене: Някои популярни уеб приложения ви позволяват да изберете HTTPS в потребителските си настройки. Прочетете нашите изписвания във Facebook, Gmail и Twitter.

Какво е SSL сертификат и как да го получа?

За да използвате HTTPS, вашият уеб сървър трябва да имаинсталиран SSL сертификат или TLS сертификат. SSL / TLS сертификат е нещо като ID на снимка за вашия уебсайт. Когато браузър, използващ HTTPS, осъществява достъп до уеб страницата ви, той ще извърши „ръкостискане“, по време на който клиентският компютър иска SSL сертификата. След това SSL сертификатът се валидира от доверен сертификатен орган (CA), който потвърждава, че сървърът е този, който казва, че е. Ако всичко се провери, вашият уеб посетител получава успокояващата зелена отметка или икона на заключване. Ако нещо се обърка, те ще получат предупреждение от уеб браузъра, заявявайки, че самоличността на сървъра не може да бъде потвърдена.

Пазаруване за SSL сертификат

Когато става въпрос за инсталиране на SSL сертификат на вашия уебсайт, има множество параметри, за които да решите. Нека разгледаме най-важното:

Сертифициращ орган

Органът за сертифициране (CA) е компаниятакойто издава вашия SSL сертификат и е този, който ще валидира вашия сертификат всеки път, когато посетител дойде на вашия уебсайт. Докато всеки доставчик на SSL сертификати ще се конкурира по цена и функции, първо нещо, което трябва да се вземе предвид при проверката на сертификационните органи, е дали притежават сертификати, които са предварително инсталирани в най-популярните уеб браузъри. Ако сертифициращият орган, който издава вашия SSL сертификат, не е в този списък, тогава потребителят ще бъде подканен с предупреждение, че сертификатът за сигурност на сайта не е доверен. Разбира се, това не означава, че уебсайтът ви е нелегитимен - това просто означава, че вашият CA не е в списъка (все още). Това е проблем, тъй като повечето потребители няма да си правят труда да четат предупреждението или да изследват неразпознатия CA. Вероятно просто ще кликнат.

За щастие, списъкът на предварително инсталираните CA наосновните браузъри са доста значителни. Тя включва някои големи търговски марки, както и по-малко известни и по-достъпни CA. Имената на домакинствата включват Verisign, Go Daddy, Comodo, Thawte, Geotrust и Entrust.

Можете също така да погледнете в настройките на собствения си браузър, за да видите кои органи за сертифициране са предварително инсталирани.

За Chrome отворете Настройки -> Покажи разширени настройки ... -> Управление на сертификати.
За Firefox направете Опции -> Разширени -> Преглед на сертификати.
За IE, Интернет опции -> Съдържание -> Сертификати.
За Safari влезте в Finder и изберете Go -> Utilities -> KeyChain Access и щракнете върху System.

За бърза справка, вижте тази тема, в която са изброени приемливите SSL сертификати за Google Checkout.

Валидиране на домейн срещу разширено валидиране

	Типично време за издаване	цена	Адресна лента
Валидиране на домейн	Почти моментално	ниско	Нормален HTTPS (катинарска икона)
Утвърждаване на организацията	Няколко дни	среден	Нормален HTTPS (катинарска икона)
Удължена валидация	Седмица или повече	Високо	Зелена адресна лента, информация за потвърждаване на идентификационния номер на компанията

</ Силен></ P>
SSL сертификат има за цел да докаже самоличносттана уебсайта, до който изпращате информация. За да се гарантира, че хората не изваждат фалшиви SSL сертификати за домейни, които не контролират правилно, сертифициращият орган ще потвърди, че лицето, което иска сертификата, наистина е собственик на името на домейна. Обикновено това става чрез бързо потвърждаване на имейл или телефонно обаждане, подобно на това, когато уебсайт ви изпраща имейл с връзка за потвърждение на акаунта. Това се нарича a домейн валидиран SSL сертификат. Предимството на това е, че позволява издаването на SSL сертификати почти веднага. Вероятно можете да отидете и да получите валидиран SSL сертификат за домейн за по-малко време, отколкото ви отне да прочетете тази публикация в блога. С валидиран домейн SSL сертификат получавате катинара и възможността да криптирате трафика на уебсайта си.
Предимствата на валидиран SSL за домейнсертификатът е, че те се получават бързо, лесно и евтино. Това е и техният недостатък. Както можете да си представите, по-лесно е да свържете автоматизирана система, отколкото една, управлявана от живи хора. Това е нещо като, ако някое дете от гимназията влезе в DMV, казвайки, че е Барак Обама и иска да получи документ за самоличност, издаден от правителството. човекът на бюрото би го хвърлил един поглед и би се обадил на федералите (или на кофата). Но ако беше робот, работещ с киоск за самоличност, може да има късмет. По подобен начин фишерите могат да получат „фалшиви идентификационни номера“ за уебсайтове като Paypal, Amazon или Facebook, като измамят системи за проверка на домейна. През 2009 г. Дан Камински публикува пример за начин за измама на СА, за да получи сертификати, които биха направили фишинг уебсайта да изглежда като сигурна и законна връзка. За човек тази измама би била лесна за откриване. Но по това време в автоматизираната проверка на домейна липсваха необходимите проверки, за да се предотврати подобно нещо.
В отговор на уязвимостта на SSL и валидирани SSL сертификати, индустрията въведе Удължена валидация сертификат. За да получите сертификат за EV SSL, вашата компания или организация трябва да се подложи на строга проверка, за да гарантира, че тя е в добро състояние с правителството ви и правилно контролира домейна, за който кандидатствате. Тези проверки, наред с други, изискват човешки елемент и по този начин отнемат повече време и са по-скъпи.
В някои отрасли се изисква сертификат за EV. Но за други ползата стига само до това, което посетителите ви ще разпознаят. За ежедневните уеб посетители разликата е фина. В допълнение към иконата на катинара, адресната лента става зелена и показва името на вашата компания. Ако кликнете за повече информация, ще видите, че самоличността на компанията е потвърдена, а не само на уебсайта.
Ето пример за нормален HTTPS сайт:
Ето пример за HTTPS сайт на сертификат за EV:
В зависимост от вашата индустрия, сертификат за EVможе да не си струва. Плюс това, трябва да сте фирма или организация, за да получите такъв. Въпреки че големите компании се стремят към сертифициране на EV, ще забележите, че по-голямата част от HTTPS сайтовете все още носят аромат, който не е EV. Ако е достатъчно добър за Google, Facebook и Dropbox, може би е достатъчно добър за вас.
И още нещо: има опция в средата на пътя, наречена an организация валидирана или бизнес валидиран сертифициране. Това е по-задълбочено проучване от автоматизираното валидиране на домейн, но не стига до спазването на отрасловите разпоредби за сертификат за разширена валидация (забележете как разширената валидиране се изписва с главни букви и „организационното валидиране“ не е?). Сертифицирането за OV или за валиден бизнес струва повече и отнема повече време, но няма да ви даде зелената адресна лента и информацията за потвърдената идентичност на фирмата. Честно казано, не мога да измисля причина да плащам за OV сертификат. Ако можете да се сетите за едно, моля, просветете ме в коментарите.
Споделен SSL срещу частен SSL
Някои уеб хостове предлагат споделена SSL услуга, кояточесто е по-достъпна от частна SSL. Освен цената, предимството на споделения SSL е, че не е необходимо да получавате личен IP адрес или специален хост. Недостатъкът е, че не трябва да използвате собственото си име на домейн. Вместо това сигурната част на вашия сайт ще бъде нещо като:
https://www.hostgator.com/~yourdomain/secure.php
Сравнете това с частен SSL адрес:
https://www.yourdomain.com/secure.php
За сайтове, насочени към обществото, като сайтове за електронна търговияи сайтове за социални мрежи, това очевидно е драг, тъй като изглежда, че сте пренасочени от основния сайт. Но за области, които обикновено не се гледат от широката общественост, като например вътрешността на пощенска система или администраторска област, тогава споделеният SSL може да бъде добра сделка.
Доверете се печатите
Много сертификационни органи ви позволяват да поставите адоверете се на печат на вашата уеб страница, след като сте се регистрирали за един от техните сертификати. Това дава почти същата информация като щракването на катинара в прозореца на браузъра, но с по-голяма видимост. Включването на доверителен печат не е задължително, нито увеличава сигурността ви, но ако дава на посетителите си топли мъглата, знаещи кой е издал SSL сертификата, по всякакъв начин го хвърлете там.
Wildcard SSL сертификати
SSL сертификат проверява самоличността на такъвдомейн. Така че, ако искате да имате HTTPS на няколко поддомейта - например groovypost.com, mail.groovypost.com и answer.groovypost.com - ще трябва да закупите три различни SSL сертификата. В определен момент, SSL сертификат с wildcard става по-икономичен. Тоест един сертификат за покриване на един домейн и всички поддомейни, т.е. * .groovypost.com.
Гаранции
Без значение колко дългогодишна е добрата компаниярепутацията е, има уязвимости. Дори надеждните CA могат да бъдат насочени от хакери, както се вижда от нарушението в VeriSign, което се отчете нерегистрирано през 2010 г. Освен това, състоянието на СА в списъка с доверие може бързо да бъде оттеглено, както видяхме при Snafu DigiNotar през 2011 г. Нещата се случват ,
Да се успокои всяко безпокойство от потенциала затакива случайни действия на разврат на SSL, много CA сега предлагат гаранции. Покритието варира от няколко хиляди долара до над милион долара и включва загуби в резултат на злоупотреба с вашия сертификат или други злополуки. Нямам представа дали тези гаранции действително добавят стойност или не, или дали някой някога успешно е спечелил рекламация. Но те са там за ваше внимание.
Безплатни SSL сертификати и самоподписани SSL сертификати
Има два вида безплатни SSL сертификатина разположение. Самоподписан, използван предимно за частно тестване и пълна публика пред SSL сертификати, издаден от валиден Certificat Authority. Добрата новина е, че през 2018 г. има няколко варианта да получите 100% безплатни, валидни 90 дневни SSL certs от SSL for Free или Let’s Encrypt. SSL for Free е преди всичко GUI за API на Let’s Encrypt. Предимството на сайта за SSL за безплатен е, че е лесен за използване, тъй като има приятен графичен интерфейс. Нека да шифроваме обаче е хубаво, тъй като можете напълно да автоматизирате искането на SSL сертификати от тях. Идеален, ако имате нужда от SSL сертификати за множество уебсайтове / сървъри.
Самоподписаният SSL сертификат е безплатен завинаги. Със самоподписан сертификат вие сте собственият си CA. Въпреки това, тъй като не сте сред надеждните CA, вградени в уеб браузъри, посетителите ще получат предупреждение, че авторитетът не е разпознат от операционната система. Поради това всъщност няма увереност, че сте такъв, за когото казвате, че сте (това е нещо като да си издадете самоличност на снимка и да се опитате да я предадете в магазина за алкохол). Предимството на самостоятелно подписания SSL сертификат е, че той дава възможност за криптиране за уеб трафик. Може да е добре за вътрешна употреба, където можете да накарате вашите служители да добавят вашата организация като доверен CA, за да се отървете от предупредителното съобщение и да работите върху защитена връзка през Интернет.
За инструкции за настройка на самостоятелно подписан SSL сертификат, вижте документацията за OpenSSL. (Или ако има достатъчно търсене, ще напиша урок.)
Инсталиране на SSL сертификат
След като закупите вашия SSL сертификат, виетрябва да го инсталирате на вашия уебсайт. Един добър уеб-домакин ще предложи да направи това за вас. Някои дори могат да стигнат до закупуването му за вас. Често това е най-добрият начин, тъй като опростява таксуването и гарантира, че е настроен правилно за вашия уеб сървър.
Все пак винаги имате възможност да инсталиратеSSL сертификат, който сте закупили сами. Ако направите това, може да искате да започнете да се консултирате с базата от знания на уеб хоста си или да отворите билет за помощ. Ще ви насочат към най-добрите инструкции за инсталиране на вашия SSL сертификат. Трябва също да се консултирате с инструкциите, предоставени от СО. Те ще ви дадат по-добри насоки от всички общи съвети, които мога да ви дам тук.
Може също да искате да проверите следните инструкции за инсталиране на SSL сертификат:
Инсталирайте SSL сертификат и настройте домейна в cPanel
Как да внедрите SSL във IIS (Windows Server)
Шифроване на Apache SSL / TLS
Всички тези инструкции ще включватсъздаване на заявка за подписване на SSL сертификат (CSR). Всъщност ще ви трябва CSR, само за да получите издаден SSL сертификат. Отново вашият уеб-домакин може да ви помогне в това. За по-конкретна информация за Направи си сам относно създаването на КСО, вижте това изписване от DigiCert.
Плюсовете и минусите на HTTPS
Вече твърдо установихме плюсовете наHTTPS: сигурност, сигурност, сигурност. Това не само намалява риска от нарушаване на данните, но също така внушава доверие и добавя репутация на вашия уебсайт. Находчивите клиенти може дори да не си правят труда да се регистрират, ако видят „http: //“ на страницата за вход.
Има обаче някои минуси на HTTPS. Като се има предвид необходимостта от HTTPS за определени видове уебсайтове, има по-голям смисъл да се мисли за тези като „минусиидеи ”, а не негативи.
HTTPS струва пари, Като за начало има разходи за закупуване иподновяване на вашия SSL сертификат, за да се гарантира валидността от година на година. Но има и някои „системни изисквания“ за HTTPS, като специален IP адрес или специален хостинг план, който може да бъде по-скъп от споделен хостинг пакет.
HTTPS може да забави реакцията на сървъра. Има два проблема, свързани със SSL / TLS, коитоможе да забави скоростта на зареждане на страницата ви. Първо, за да започне комуникацията с вашия уебсайт за първи път, браузърът на потребителя трябва да премине през процеса на ръкостискане, който се връща към уебсайта на органа за сертифициране, за да провери сертификата. Ако уеб сървърът на CA е бавен, ще има забавяне при зареждането на страницата ви. Това до голяма степен е извън вашия контрол. Второ, HTTPS използва криптиране, което изисква повече мощност на обработка. Това може да се реши чрез оптимизиране на съдържанието ви за честотна лента и надграждане на хардуера на вашия сървър. CloudFare има добра публикация в блога за това как и защо SSL може да забави вашия уебсайт.
HTTPS може да повлияе на SEO усилията Когато преминавате от HTTP към HTTPS; ти сипреместване на нов уебсайт. Например https://www.groovypost.com няма да е същото като http://www.groovypost.com. Важно е да се уверите, че сте пренасочили старите си връзки и сте написали правилните правила под капака на вашия сървър, за да не загубите ценен сок от връзки.
Смесеното съдържание може да хвърли жълт флаг, За някои браузъри, ако имате основната част отуеб страница, заредена от HTTPS, но изображения и други елементи (като таблици стилове или скриптове), заредени от HTTP URL, тогава може да се появи изскачащо предупреждение, че страницата включва незащитено съдържание. Разбира се, като някои защитеното съдържание е по-добро от това да няма такова, въпреки че последното не води до изскачащо меню. Но все пак може да си струва да гарантирате, че нямате „смесено съдържание“ на страниците си.
Понякога е по-лесно да получите процесор за разплащане на трети страни, Няма срам да пускате Google Checkout,Paypal или Checkout от Amazon се справят с вашите плащания. Ако всичко изброено по-горе ви се струва прекалено трудно, можете да оставите клиентите си да обменят информация за плащанията на защитения сайт на Paypal или на защитения сайт на Google и да си спестите неприятностите.
Имате ли други въпроси или коментари относно HTTPS и SSL / TLS сертификати? Нека го чуя в коментарите.