Certifikáty HTTPS a SSL: Zabezpečte svůj web (a proč byste měli)

přihlásit bezpečnostní funkci

Bez ohledu na to, jaký typ online obchodu nebo služby provozujete, musíte zajistit, aby byla soukromá data zabezpečena pomocí certifikátů HTTPS a SSL. Zde je náš kompletní průvodce.

Pokud jde o zasílání osobních údajůpřes internet - ať už se jedná o kontaktní informace, přihlašovací údaje, informace o účtu, informace o poloze nebo cokoli jiného, ​​co by mohlo být zneužito - veřejnost je z velké části přímo paranoidní o hackerech a zlodějích identity. A právem. Strach, že vaše informace mohou být odcizeny, neoprávněně manipulovány nebo zneužity, není zdaleka iracionální. Titulky o únikech a narušení bezpečnosti za posledních několik desetiletí to dokazují. Ale i přes tento strach, lidé se stále přihlašují, aby dělali své bankovnictví, nakupování, deníky, seznamky, socializace a další osobní a profesionální podnikání na webu. A je tu jedna malá věc, která jim dává důvěru v to. Ukážu vám to:

obraz

Ačkoli ne všichni pochopili, jak to funguje,tento malý zámek v adresním řádku signalizuje uživatelům webu, že mají důvěryhodné připojení k legitimnímu webu. Pokud to návštěvníci nevidí v adresním řádku, když vytáhnou váš web, neměli byste - a neměli byste - získat jejich firmu.

Chcete-li získat malý visací zámek adresního řádku pro svůj web, potřebujete certifikát SSL. Jak ho získáte? Čtěte dál a zjistěte to.

Osnova článku:

  • Co je to SSL / TLS?
  • Jak používat HTTPS?
  • Co je to certifikát SSL a jak jej získám?
  • Průvodce nákupem certifikátů SSL
    • Certifikační autorita
    • Ověření domény vs. rozšířené ověření
    • Sdílené SSL vs. soukromé SSL
    • Trust Seals
    • Wildcard SSL Certificates
    • Záruky
    • SSL certifikáty zdarma a SSL certifikáty s vlastním podpisem
  • Instalace certifikátu SSL
  • Výhody a nevýhody HTTPS

Co je to SSL / TLS?

Na webu jsou data přenášena pomocí protokolu Hypertext Transfer Protocol. Proto mají všechny adresy URL webových stránek „http: //“ nebo „https://" před nimi.

Jaký je rozdíl mezi http a https? To extra S má velké důsledky: Zabezpečení.

Nech mě to vysvětlit.

HTTP je „jazyk“, který váš počítač aserver používá k vzájemnému rozhovoru. Tento jazyk je všeobecně srozumitelný, což je výhodné, ale má také své nevýhody. Pokud jsou data přenášena mezi vámi a serverem přes internet, udělá několik zastávek podél cesty, než dosáhne svého konečného cíle. To představuje tři velká rizika:

  • Že by někdo mohl odposlech na vaší konverzaci (něco jako digitální odposlech).
  • Že by někdo mohl zosobnit jedna (nebo obě) strany na obou koncích.
  • Že by někdo mohl manipulovat s přenášenými zprávami.

Hackeři a trhnutí používají kombinaci výše uvedenýchpro řadu podvodů a loupeží, včetně podvodů typu phishing, útoků typu člověk uprostřed a dobré staromódní reklamy. Škodlivé útoky mohou být stejně jednoduché jako šňupání přihlašovacích údajů Facebooku zachycením nezašifrovaných souborů cookie (odposlouchávání), nebo by mohly být sofistikovanější. Můžete si například myslet, že jste své bance říkali: „Převeďte prosím 100 USD na mého poskytovatele internetových služeb“, ale někdo uprostřed by mohl zprávu změnit tak, aby četl: „Převeďte prosím 100 $ všechny moje peníze na můj ISP Peggy na Sibiři“(Manipulace s údaji a předstírání identity).

To jsou problémy s HTTP. Pro vyřešení těchto problémů může být HTTP vrstven bezpečnostním protokolem, což má za následek HTTP Secure (HTTPS). Nejčastěji je S v HTTPS poskytován protokolem Secure Sockets Layer (SSL) nebo novějším protokolem Transport Layer Security (TLS). Při nasazení nabízí HTTPS obousměrný šifrování (zabránit odposlouchávání), server autentizace (aby se zabránilo předstírání identity) a autentizace zpráv (aby nedocházelo k manipulaci s údaji).

Jak používat HTTPS

Stejně jako mluvený jazyk, HTTPS funguje, pouze pokud obojístrany se rozhodnou mluvit. Na straně klienta lze zvolit použití protokolu HTTPS zadáním „https“ do adresního řádku prohlížeče před adresou URL (např. Místo zadávání adresy http://www.facebook.com zadejte https: // www. facebook.com) nebo instalací rozšíření, které automaticky vynutí použití protokolu HTTPS, například HTTPS Everywhere pro Firefox a Chrome. Když váš webový prohlížeč používá protokol HTTPS, zobrazí se ikona zámku, zelený panel prohlížeče, palec nahoru nebo nějaký další uklidňující znak, že vaše připojení k serveru je zabezpečené.

chrome HTTPS visací zámek

visací zámek safari HTTPS

internetový prohlížeč HTTPS visací zámek

firefox https visací zámek

Chcete-li však používat HTTPS, musí webový serverpodpořte to. Pokud jste webmaster a chcete svým návštěvníkům nabídnout HTTPS, budete potřebovat certifikát SSL nebo certifikát TLS. Jak získáte certifikát SSL nebo TLS? Čti dál.

Další čtení: Některé populární webové aplikace umožňují zvolit HTTPS v uživatelském nastavení. Přečtěte si naše přihlášky na Facebooku, Gmailu a Twitteru.

Co je to certifikát SSL a jak jej získám?

Aby bylo možné používat HTTPS, musí mít váš webový servernainstalován certifikát SSL nebo TLS. Certifikát SSL / TLS je jako ID fotografie pro váš web. Když prohlížeč používající HTTPS přistupuje k vaší webové stránce, provede „handshake“, během kterého klientský počítač požádá o certifikát SSL. Certifikát SSL je poté ověřen důvěryhodnou certifikační autoritou (CA), která ověří, že server je tím, kdo říká. Pokud se vše odhlásí, váš webový návštěvník získá uklidňující zelenou značku zaškrtnutí nebo ikonu zámku. Pokud se něco zhorší, obdrží od webového prohlížeče upozornění, že nelze ověřit totožnost serveru.

Chyba certifikátu HTTPS

Nakupování za certifikát SSL

Pokud jde o instalaci certifikátu SSL na váš web, existuje celá řada parametrů, o kterých se rozhodnout. Pojďme přes nejdůležitější:

Certifikační autorita

Certifikační autorita (CA) je společnostkterý vydává váš certifikát SSL a je to ten, který bude ověřovat váš certifikát pokaždé, když návštěvník navštíví váš web. Zatímco každý poskytovatel certifikátů SSL bude soutěžit o ceně a funkcích, při prověřování certifikačních autorit je otázkou číslo jedna, zda mají nebo nemají certifikáty, které jsou předinstalovány v nejpopulárnějších webových prohlížečích. Pokud certifikační autorita, která vydává váš certifikát SSL, není na tomto seznamu, zobrazí se uživateli výzva s upozorněním, že bezpečnostní certifikát webu není důvěryhodný. To samozřejmě neznamená, že váš web je nelegitimní - znamená to, že váš CA není na seznamu (zatím). To je problém, protože většina uživatelů se neobtěžuje se čtením varování nebo zkoumáním nerozpoznaného CA. Pravděpodobně jen kliknou.

Naštěstí je seznam předinstalovaných CA na internetuhlavní prohlížeče jsou poměrně velké. Zahrnuje některé velké obchodní značky a méně známé a cenově dostupnější certifikační autority. Názvy domácností zahrnují Verisign, Go Daddy, Comodo, Thawte, Geotrust a Entrust.

V nastavení vlastního prohlížeče se také můžete podívat, které certifikační autority jsou předinstalovány.

  • V případě prohlížeče Chrome přejděte na Nastavení -> Zobrazit pokročilá nastavení ... -> Spravovat certifikáty.
  • V prohlížeči Firefox proveďte Možnosti -> Upřesnit -> Zobrazit certifikáty.
  • Pro IE, Možnosti Internetu -> Obsah -> Certifikáty.
  • V prohlížeči Safari přejděte do aplikace Finder a vyberte příkaz Přejít -> Nástroje -> KeyChain Access a klepněte na Systém.

Pro rychlou orientaci se podívejte na toto vlákno, ve kterém jsou uvedeny přijatelné certifikáty SSL pro Google Checkout.

Ověření domény vs. rozšířené ověření

Typická doba vydáníNákladyAdresní řádek
Ověření domény
Téměř okamžitěNízkýNormální HTTPS (ikona zámku)
Validace organizaceNěkolik dníStředníNormální HTTPS (ikona zámku)
Rozšířená validaceTýden nebo víceVysokýZelený adresní řádek, informace o ověření ID společnosti

</strong></p>

Účelem certifikátu SSL je prokázat totožnostwebu, na který zasíláte informace. Aby lidé zajistili, že nevyberou falešné SSL certifikáty pro domény, které právoplatně neovládají, certifikační autorita ověří, že osoba žádající o certifikát je vlastníkem názvu domény. Obvykle se to provádí prostřednictvím rychlého ověření e-mailem nebo telefonním hovorem, podobně jako když vám web pošle e-mail s odkazem na potvrzení účtu. Tomu se říká a doména ověřena SSL certifikát. Výhodou je, že umožňuje vydávání SSL certifikátů téměř okamžitě. Pravděpodobně byste mohli jít a získat ověřený certifikát SSL domény za kratší dobu, než jste si přečetli tento blogový příspěvek. Díky certifikátu SSL ověřenému v doméně získáte zámek a schopnost šifrovat provoz na vašem webu.

Výhody SSL ověřeného v doméněcertifikát je, že jsou rychlé, snadné a levné. To je také jejich nevýhoda. Jak si dokážete představit, je jednodušší vymyslet automatizovaný systém než ten, který provozují živé lidské bytosti. Je to jako kdyby nějaký středoškolský kluk vstoupil do DMV a řekl, že je Barack Obama a chtěl získat vládní průkaz totožnosti. člověk u stolu se na něj podíval a zavolal Fedům (nebo loony bin). Ale kdyby to byl robot, který by pracoval na kiosku s fotografiemi, mohl by mít štěstí. Podobným způsobem mohou phishery získat „falešná ID“ pro weby, jako jsou Paypal, Amazon nebo Facebook, tím, že podvádějí systémy ověřování domény. V roce 2009 zveřejnil Dan Kaminsky příklad způsobu, jak podvodit certifikační autority a získat certifikáty, díky nimž by phishingový web vypadal jako bezpečné a legitimní připojení. Pro člověka by byl tento podvod snadno odhalitelný. Automatizované ověření domény však v té době postrádalo nezbytné kontroly, aby se tomu zabránilo.

V reakci na zranitelnosti SSL a doménově ověřených SSL certifikátů představilo toto odvětví Rozšířená validace osvědčení. Chcete-li získat certifikát EV SSL, musí vaše společnost nebo organizace podstoupit přísné prověrky, aby se ujistila, že je v dobrém stavu s vaší vládou a správně kontroluje doménu, o kterou žádáte. Tyto kontroly, mimo jiné, vyžadují lidský prvek, a tak trvat déle a jsou dražší.

V některých odvětvích je vyžadován certifikát EV. Ale pro ostatní, výhoda jde jen tak daleko, co vaši návštěvníci poznají. Pro každodenní návštěvníky webu je rozdíl jemný. Kromě ikony visacího zámku se panel s adresou rozsvítí zeleně a zobrazí se název vaší společnosti. Pokud kliknete na další informace, uvidíte, že byla ověřena identita společnosti, nejen web.

Zde je příklad běžného webu HTTPS:

normální HTTPS (ověření organizace pro ověření domény)

A tady je příklad HTTPS certifikátu EV:

rozšířená validace HTTPS

V závislosti na vašem oboru, certifikát EVnemusí to stát za to. Navíc musíte být podnik nebo organizace, abyste si jednu získali. Přestože velké společnosti směřují k certifikaci EV, všimnete si, že většina HTTPS webů stále má chuť na jinou než EV. Pokud je to dost dobré pro Google, Facebook a Dropbox, možná je to pro vás dost dobré.

ověření domény vs. ověření organizace vs. rozšířené ověření

Ještě jedna věc: je uprostřed silnice možnost nazvaná organizace ověřena nebo podnikání ověřeno osvědčení. Jedná se o důkladnější prověrku než automatizované ověření domény, ale nejde to až k naplnění průmyslových předpisů pro certifikát s rozšířeným ověřením (všimněte si, jak je rozšířené ověřování aktivováno a „organizační ověření“ není?). Certifikace ověřená OV nebo firmou stojí více a déle, ale nedá vám zelený adresní řádek a ověřené informace o totožnosti společnosti. Upřímně řečeno, neumím vymyslet důvod, proč platit za certifikát OV. Pokud si o něčem pomyslíte, objasněte mě prosím v komentářích.

Sdílené SSL vs. soukromé SSL

Někteří weboví hostitelé nabízejí sdílenou službu SSL, kteráje často cenově dostupnější než soukromé SSL. Výhodou sdíleného SSL je kromě ceny také to, že nemusíte získat soukromou IP adresu nebo vyhrazeného hostitele. Nevýhodou je, že nemusíte používat vlastní doménové jméno. Místo toho bude zabezpečená část vašeho webu něco jako:

https://www.hostgator.com/~yourdomain/secure.php

Na rozdíl od soukromé SSL adresy:

https://www.yourdomain.com/secure.php

Pro weby zaměřené na veřejnost, jako jsou stránky elektronického obchodovánía sociálních sítí, je to samozřejmě tah, protože se zdá, že jste byli přesměrováni z hlavního webu. Ale pro oblasti, které nejsou obvykle vnímány širokou veřejností, jako jsou například innards poštovního systému nebo administrátorské oblasti, může být sdílený SSL dobrý obchod.

Trust Seals

Mnoho certifikačních autorit vám umožní umístitpoté, co jste se zaregistrovali pro jeden z jejich certifikátů, důvěřujte svému pečeti. To poskytuje téměř stejné informace jako kliknutí na visací zámek v okně prohlížeče, ale s větší viditelností. Zahrnutí důvěrné pečeti není vyžadováno, ani to nezvyšuje vaši bezpečnost, ale pokud to návštěvníkům poskytne hloupé informace o tom, kdo vydal certifikát SSL, v každém případě ho tam vyhoďte.

Verisign trust seal

Wildcard SSL Certificates

SSL certifikát ověří identitu jednohodoména. Pokud tedy chcete mít HTTPS na více subdoménách - např. Groovypost.com, mail.groovypost.com a answer.groovypost.com - budete si muset koupit tři různé certifikáty SSL. V určitém okamžiku se certifikát SSL se zástupnými znaky stává úspornějším. To znamená, že jeden certifikát pokrývá jednu doménu a všechny subdomény, tj. * .Groovypost.com.

Záruky

Bez ohledu na to, jak dlouho je společnost dobrápověst je, existují zranitelnosti. Hackeři mohou cílit i na důvěryhodné certifikační autority, o čemž svědčí porušení u společnosti VeriSign, které bylo v roce 2010 nehlášeno. Kromě toho lze stav certifikačního úřadu na důvěryhodném seznamu rychle odvolat, jak jsme viděli u zařízení DigiNotar snafu již v roce 2011. Stuff stane .

Chcete-li zmírnit nejistotu ohledně potenciálu protakové náhodné činy SSL debauchery, mnoho CA nyní nabízí záruky. Pokrytí se pohybuje od několika tisíc dolarů do více než milionu dolarů a zahrnuje ztráty vyplývající ze zneužití vašeho certifikátu nebo jiných chyb. Nemám ponětí, zda tyto záruky skutečně přinášejí přidanou hodnotu nebo ne, nebo jestli někdo úspěšně získal nárok. Ale jsou tu pro vaši pozornost.

SSL certifikáty zdarma a SSL certifikáty s vlastním podpisem

Existují dva druhy bezplatných SSL certifikátůdostupný. Vlastní podpis, který se používá především pro soukromé testování a plnohodnotné veřejně přístupné SSL Certs vydané platnou certifikační autoritou. Dobrou zprávou je, že v roce 2018 existuje několik možností, jak získat 100% zdarma, platné 90denní SSL certifikáty z obou protokolů SSL zdarma nebo Pojďme se zašifrovat. SSL for Free je primárně GUI pro Let's Encrypt API. Výhodou webu SSL for Free je snadné použití, protože má pěkné uživatelské rozhraní. Pojďme se však zašifrovat, ale můžete si plně automatizovat vyžádání SSL certifikátů. Ideální, pokud potřebujete SSL certifikáty pro více webů / serverů.

Self-signed SSL certifikát je navždy zdarma. S certifikátem s vlastním podpisem jste vlastní certifikační autoritou. Protože však nepatříte mezi důvěryhodné certifikační autority zabudované do webových prohlížečů, návštěvníci dostanou varování, že operační systém nerozpozná oprávnění. Ve skutečnosti neexistuje žádná záruka, že jste tím, kým říkáte, že jste (je to jako vydat si fotografický průkaz a pokusit se ho předat v obchodě s alkoholem). Výhodou certifikátu SSL s vlastním podpisem je však to, že umožňuje šifrování webového provozu. Pro interní použití by mohlo být dobré, když vaši zaměstnanci mohou přidat vaši organizaci jako důvěryhodnou certifikační autoritu, aby se výstražné zprávy zbavili a pracovali na zabezpečeném připojení přes internet.

Pokyny k nastavení certifikátu SSL s vlastním podpisem naleznete v dokumentaci k OpenSSL. (Nebo, pokud bude dostatek poptávky, vypíšu návod.)

Instalace certifikátu SSL

Jakmile si zakoupíte certifikát SSL, můžeteje třeba jej nainstalovat na svůj web. Dobrý webhosting vám nabídne, že to za vás udělá. Někteří by dokonce mohli jít tak daleko, jak si ho koupíte za vás. Toto je často nejlepší způsob, jak zjednodušit fakturaci a zajistit, aby byl správně nastaven pro váš webový server.

Stále máte vždy možnost nainstalovatSSL certifikát, který jste si koupili sami. Pokud tak učiníte, možná budete chtít začít konzultovat znalostní databázi svého hostitele nebo otevřít lístek na helpdesk. Nasměrují vás k nejlepším pokynům pro instalaci certifikátu SSL. Měli byste se také seznámit s pokyny poskytnutými CA. Ty vám poskytnou lepší vedení než jakékoli obecné rady, které vám mohu dát zde.

Možná budete také chtít vyzkoušet následující pokyny k instalaci certifikátu SSL:

  • Nainstalujte SSL certifikát a nastavte doménu v cPanel
  • Jak implementovat SSL ve IIS (Windows Server)
  • Apache SSL / TLS Encryption

Všechny tyto pokyny budou zahrnovatvytvoření žádosti o podepsání certifikátu SSL (CSR). Ve skutečnosti budete potřebovat CSR, abyste získali certifikát SSL. Váš webový hostitel vám s tím může opět pomoci. Podrobnější informace o tvorbě CSR o DIY najdete v tomto zápisu z DigiCert.

Výhody a nevýhody HTTPS

Již jsme pevně zavedli výhodyHTTPS: zabezpečení, zabezpečení, zabezpečení. Nejenže to snižuje riziko narušení dat, ale také zvyšuje důvěru a zvyšuje důvěryhodnost vašeho webu. Důvěrní zákazníci se nemusí ani obtěžovat s registrací, pokud uvidí na přihlašovací stránce „http: //“.

Existují však některé nevýhody HTTPS. Vzhledem k nezbytnosti protokolu HTTPS pro určité typy webových stránek má větší smysl myslet na ně jako na „nevýhodyiderace “spíše než negativy.

  • HTTPS stojí peníze. Pro začátečníky jsou náklady na nákup aobnovení vašeho SSL certifikátu, aby byla zajištěna jeho platnost meziročně. Existují však také určité „systémové požadavky“ pro HTTPS, jako je vyhrazená adresa IP nebo vyhrazený hostingový plán, což může být nákladnější než sdílený hostingový balíček.
  • HTTPS může zpomalit odezvu serveru. S SSL / TLS existují dva problémymůže zpomalit rychlost načítání stránky. Nejprve, abychom mohli začít komunikovat s vaším webem poprvé, musí prohlížeč uživatele projít procesem handshake, který se vrátí na web certifikační autority, aby certifikát ověřil. Pokud je webový server CA slabý, bude načítání stránky zpožděno. To je z velké části mimo vaši kontrolu. Za druhé, HTTPS používá šifrování, které vyžaduje větší výpočetní výkon. To lze vyřešit optimalizací obsahu pro šířku pásma a upgradováním hardwaru na serveru. CloudFare má dobrý blogový příspěvek o tom, jak a proč SSL může zpomalit váš web.
  • HTTPS může ovlivnit úsilí SEO Při přechodu z HTTP na HTTPS; ty jsipřesun na nový web. Například https://www.groovypost.com by nebylo stejné jako http://www.groovypost.com. Je důležité zajistit, že jste přesměrovali své staré odkazy a pod kapotou vašeho serveru napsali správná pravidla, abyste předešli ztrátě šťávy z drahých odkazů.
  • Smíšený obsah může házet žlutou vlajku. U některých prohlížečů máte hlavní částwebové stránky načtené z HTTPS, ale obrázky a další prvky (jako jsou šablony stylů nebo skripty) načtené z HTTP URL, pak se může objevit vyskakovací okno s upozorněním, že stránka obsahuje nezabezpečený obsah. Samozřejmě, že nějaký zabezpečený obsah je lepší než žádný, přestože výsledkem není vyskakovací okno. Přesto však může být užitečné zajistit, aby na vašich stránkách nemáte „smíšený obsah“.
  • Někdy je snazší získat zpracovatele plateb třetí strany. Nechat Google Checkout nijak ostudit,Paypal nebo Checkout by Amazon zpracovávají vaše platby. Pokud se vše výše uvedené jeví jako příliš mnoho na to, abyste se mohli hádat, můžete svým zákazníkům umožnit výměnu platebních údajů na zabezpečeném webu Paypal nebo na zabezpečeném webu Google a ušetřit si tak potíže.

Máte nějaké další dotazy nebo připomínky týkající se certifikátů HTTPS a SSL / TLS? Dovolte mi to slyšet v komentářích.

0

Podobné články

Cyber ​​Street pomáhá udržovat váš počítač doma nebo v bezpečí
Recenze

Cyber ​​Street vám pomůže udržet váš domov nebo podnikání ..

Gmail přesouvá veškerý přístup k HTTPS [groovyNews]
Zprávy

Gmail přesouvá veškerý přístup k HTTPS [groovyNews] ..

Jak vytvořit zabezpečený kód PIN Roku Channel Store
Jak

Jak vytvořit PIN PIN bezpečného kanálu Roku.

Jak si vytvořit silné heslo, které si pamatujete
Jak

Jak si vytvořit silné heslo, které si pamatujete ..

Výstraha zabezpečení: DigiNotar vydává podvodný certifikát Google.com - pokyny, jak se chránit
Jak

Výstraha zabezpečení: Problémy s DigiNotar Podvodné Google.com ..

Jak šifrovat jednotlivé soubory a složky v systému Windows 10
Jak

Jak šifrovat jednotlivé soubory a složky ve Windows.

Jak spravovat hesla pomocí prohlížeče hran v systému Windows 10
Jak

Jak spravovat hesla pomocí prohlížeče hran v systému Windows 10 ..

Udělejte svůj web tím, že Harlem Shake
Jak

Vytvořte si svůj web tak, aby Harlem Shake ..

Nebuď Weiner - zabezpečte si svůj Twitter účet!
Jak

Nebuď Weiner - zabezpeč si svůj Twitter ..

Jak zálohovat certifikát soukromého klíče EFS
Jak

Jak zálohovat certifikát soukromého klíče EFS ..

Zanechat komentář