HTTPS og SSL-certifikater: Gør dit websted sikkert (og hvorfor du burde)

log ind sikkerhedsfunktion

Uanset hvilken type online-forretning eller -tjeneste, du kører, skal du sikre dig, at private data er sikre med HTTPS og SSL-certifikater. Her er vores komplette guide.

Når det kommer til at sende personlige oplysningerover internettet - det være sig kontaktoplysninger, loginoplysninger, kontooplysninger, lokaliseringsoplysninger eller noget andet, der måtte blive misbrugt - offentligheden er stort set ligefrem paranoid om hackere og identitetstyve. Og det med rette. Frygten for, at dine oplysninger kan blive stjålet, manipuleret eller forkert anvendt, er langt fra irrationel. Overskrifterne om lækager og sikkerhedsbrud i de sidste par årtier beviser det. Men på trods af denne frygt logger folk fortsat på at gøre deres bank, shopping, journalisering, dating, socialt samvær og anden personlig og professionel forretning på nettet. Og der er en lille ting, der giver dem tillid til at gøre dette. Jeg viser dig det:

billede

Selvom ikke alle forstår, hvordan det fungerer,den lille hængelås i adresselinjen signaliserer til internetbrugere, at de har en betroet forbindelse til et legitimt websted. Hvis besøgende ikke ser det i adresselinjen, når de henter dit websted, vil du ikke - og burde ikke - få deres forretning.

For at få den lille adresselinje hængelås til dit websted skal du have et SSL-certifikat. Hvordan får du en? Læs videre for at finde ud af det.

Artikeloversigt:

  • Hvad er SSL / TLS?
  • Sådan bruges HTTPS?
  • Hvad er et SSL-certifikat, og hvordan får jeg et?
  • SSL Certificate Shopping Guide
    • Certificate Authority
    • Domænevalidering vs. udvidet validering
    • Delt SSL vs. privat SSL
    • Trust Seals
    • Wildcard SSL-certifikater
    • Garantier
    • Gratis SSL-certifikater og selvsignerede SSL-certifikater
  • Installation af et SSL-certifikat
  • HTTPS fordele og ulemper

Hvad er SSL / TLS?

På nettet overføres data vha. Hypertext Transfer Protocol. Derfor har alle websides webadresser “http: //” eller “https: // ”foran dem.

Hvad er forskellen mellem http og https? Den ekstra lille S har store konsekvenser: Sikkerhed.

Lad mig forklare.

HTTP er det "sprog", din computer ogserver bruger til at tale med hinanden. Dette sprog forstås universelt, hvilket er praktisk, men det har også sine ulemper. Når der videregives data mellem dig og en server via Internettet, foretager de nogle stop undervejs, før de når sin endelige destination. Dette udgør tre store risici:

  • At nogen måske aflytte på din samtale (slags som en digital wiretap).
  • At nogen måske Repræsenter en (eller begge) af parterne i begge ender.
  • At nogen måske tamper med de meddelelser, der overføres.

Hackere og rykker bruger en kombination af ovenståendetil en række svindel og heists, inklusive phishing-ploys, angreb fra midten til midten og god gammeldags reklame. Ondsindede angreb kan være så enkle som at sniffe Facebook-legitimationsoplysninger ved at opsnappe ukrypterede cookies (aflytning), eller de kan være mere sofistikerede. For eksempel kunne du tro, at du sagde til din bank: "Overfør venligst $ 100 til min internetudbyder," men nogen i midten kunne ændre beskeden for at læse: "Overfør venligst $ 100 alle mine penge til min internetudbyder Peggy i Sibirien”(Manipulation af data og efterligning).

Så det er problemerne med HTTP. For at løse disse problemer kan HTTP være lagdelt med en sikkerhedsprotokol, hvilket resulterer i HTTP Secure (HTTPS). Oftest leveres S i HTTPS af Secure Sockets Layer (SSL) -protokol eller den nyere Transport Layer Security (TLS) -protokol. Når de er implementeret, tilbyder HTTPS tovej kryptering (for at forhindre aflytning) server Godkendelse (for at forhindre efterligning) og meddelelsesgodkendelse (for at forhindre manipulation af data).

Sådan bruges HTTPS

Ligesom et talesprog fungerer HTTPS kun, hvis begge deleparter vælger at tale det. På klientsiden kan man vælge at bruge HTTPS ved at indtaste “https” i browserens adresselinje før URL'en (f.eks. I stedet for at skrive http://www.facebook.com, skriv https: // www. facebook.com), eller ved at installere en udvidelse, der automatisk tvinger HTTPS, f.eks. HTTPS Everywhere til Firefox og Chrome. Når din webbrowser bruger HTTPS, kan du se et hængelåseikon, en grøn browserbjælke, tommelfingeren eller et andet betryggende tegn på, at din forbindelse til serveren er sikker.

krom HTTPS hængelås

safari HTTPS hængelås

Internet Explorer HTTPS hængelås

firefox https hængelås

For at bruge HTTPS skal webserveren dogstøtte det. Hvis du er en webmaster, og du vil tilbyde HTTPS til dine webbesøgere, har du brug for et SSL-certifikat eller TLS-certifikat. Hvordan får du et SSL- eller TLS-certifikat? Fortsæt med at læse.

Yderligere læsning: Nogle populære webapps giver dig mulighed for at vælge HTTPS i dine brugerindstillinger. Læs vores opskrivninger på Facebook, Gmail og Twitter.

Hvad er et SSL-certifikat, og hvordan får jeg et?

For at bruge HTTPS skal din webserver haveet SSL-certifikat eller TLS-certifikat er installeret. Et SSL / TLS-certifikat er en slags foto-ID til dit websted. Når en browser, der bruger HTTPS får adgang til din webside, udfører den et "håndtryk", hvor klientcomputeren beder om SSL-certifikatet. SSL-certifikatet valideres derefter af en betroet certifikatmyndighed (CA), der verificerer, at serveren er den, den siger, at den er. Hvis alt tjekker ud, får din webbesøg det beroligende grønne markering eller låseikon. Hvis noget går galt, får de en advarsel fra webbrowseren, hvori det anføres, at serverens identitet ikke kunne bekræftes.

HTTPS-certifikatfejl

Shopping efter et SSL-certifikat

Når det kommer til installation af et SSL-certifikat på dit websted, er der en overflod af parametre, der skal tages stilling til. Lad os gennemgå det vigtigste:

Certificate Authority

Certifikatmyndigheden (CA) er virksomhedender udsteder dit SSL-certifikat og er det, der validerer dit certifikat, hver gang en besøgende kommer til dit websted. Mens hver SSL-certifikatudbyder konkurrerer om pris og funktioner, er den vigtigste ting, man skal overveje, når man vælger certifikatmyndigheder, om de har certifikater, der kommer forudinstalleret på de mest populære webbrowsere. Hvis den certifikatmyndighed, der udsteder dit SSL-certifikat ikke er på den liste, bliver brugeren bedt om en advarsel om, at stedets sikkerhedscertifikat ikke er tillid til. Naturligvis betyder det ikke, at dit websted er uekte - det betyder bare, at din CA ikke er på listen (endnu). Dette er et problem, fordi de fleste brugere ikke gider at læse advarslen eller undersøge den ukendte CA. De vil sandsynligvis bare klikke væk.

Heldigvis er listen over forinstallerede CA'er påstore browsere er ganske betydelige. Det inkluderer nogle store mærker samt mindre kendte og mere overkommelige CA'er. Husholdningsnavne inkluderer Verisign, Go Daddy, Comodo, Thawte, Geotrust og Entrust.

Du kan også se i din egen browsers indstillinger for at se, hvilke certifikatmyndigheder der er forudinstalleret.

  • For Chrome skal du gå til Indstillinger -> Vis avancerede indstillinger ... -> Administrer certifikater.
  • For Firefox skal du vælge Valg -> Avanceret -> Vis certifikater.
  • For IE, Internetindstillinger -> Indhold -> Certifikater.
  • Gå til Finder i Safari og vælg Gå -> Hjælpeprogrammer -> KeyChain Access og klik på System.

For hurtig henvisning, se denne tråd, der viser de accepterede SSL-certifikater til Google Checkout.

Domænevalidering vs. udvidet validering

Typisk udstedelsestidKosteAdresse bar
Domænevalidering
Næsten øjeblikkeligtLavNormal HTTPS (hængelåsikon)
OrganisationsvalideringEt par dageMidNormal HTTPS (hængelåsikon)
Udvidet valideringEn uge eller mereHøjGrøn adresselinje, virksomheds-ID-verifikationsinfo

</ Strong></ P>

Et SSL-certifikat er beregnet til at bevise identitetenpå det websted, du sender oplysninger til. For at sikre, at folk ikke udtager falske SSL-certifikater for domæner, de ikke med rette kontrollerer, bekræfter en certifikatmyndighed, at den person, der anmoder om certifikatet, faktisk er ejeren af ​​domænenavnet. Dette gøres typisk via en hurtig e-mail- eller telefonopkaldsvalidering, ligesom når et websted sender dig en e-mail med et kontobekræftelseslink. Dette kaldes a domæne valideret SSL-certifikat. Fordelen ved dette er, at det giver mulighed for at blive udstedt SSL-certifikater næsten øjeblikkeligt. Du kan sandsynligvis gå og få et domæne-valideret SSL-certifikat på kortere tid, end det tog dig at læse dette blogindlæg. Med et domænevalideret SSL-certifikat får du hængelåsen og muligheden for at kryptere dit websteds trafik.

Fordelene ved et domæne valideret SSLcertifikat er, at de er hurtige, lette og billige at få. Dette er også deres ulempe. Som du kan forestille dig, er det nemmere at kopiere et automatiseret system end et, der drives af levende mennesker. Det er på samme måde, som et barn i gymnasiet gik ind i DMV og sagde, at han var Barack Obama og ville få et regeringsudstedt ID. personen ved skrivebordet kiggede et øjeblik på ham og kalder Feds (eller loony bin). Men hvis det var en robot, der arbejder med en foto-ID-kiosk, kunne han have lidt held. På en lignende måde kan phishere få "falske id'er" til websteder som Paypal, Amazon eller Facebook ved at narre domænevalideringssystemer. I 2009 offentliggjorde Dan Kaminsky et eksempel på en måde at svindle CA'er for at få certifikater, der ville få et phishing-websted til at se ud som om det var en sikker, legitim forbindelse. For et menneske ville denne fidus være let at se. Men den automatiserede domænevalidering på det tidspunkt manglede den nødvendige kontrol for at forhindre noget lignende.

Som svar på sårbarhederne i SSL- og domænevaliderede SSL-certifikater har branchen introduceret Udvidet validering certifikat. For at få et EV SSL-certifikat skal din virksomhed eller organisation gennemgå en streng kontrol for at sikre, at det er i god stand med din regering og med rette kontrollerer det domæne, du ansøger om. Disse kontroller kræver blandt andet et menneskeligt element og tager dermed længere tid og er dyrere.

I nogle brancher kræves et EV-certifikat. Men for andre går fordelene kun så langt, som dine besøgende vil genkende. For hverdagens webbesøgere er forskellen subtil. Foruden hængelåsikonet bliver adresselinjen grøn og viser navnet på din virksomhed. Hvis du klikker for mere information, kan du se, at virksomhedens identitet er verificeret, ikke kun webstedet.

Her er et eksempel på et normalt HTTPS-sted:

normal HTTPS (validering af domænevalideringsorganisation)

Og her er et eksempel på et EV-certifikat HTTPS-sted:

udvidet validering HTTPS

Afhængig af din branche, et EV-certifikater måske ikke det værd. Desuden skal du være en virksomhed eller organisation for at få en. Selvom store virksomheder er i retning af EV-certificering, vil du bemærke, at størstedelen af ​​HTTPS-websteder stadig sporter den ikke-EV-smag. Hvis det er godt nok til Google, Facebook og Dropbox, er det måske godt nok for dig.

domænevaluering vs. organisationsvalidering vs. udvidet validering

En ting mere: der er en midt på veimuligheden kaldet en organisation valideret eller forretning valideret certificering. Dette er en mere grundig vetting end den automatiserede domænevalidering, men det går ikke så langt som at opfylde brancheforskrifterne for et udvidet valideringscertifikat (vær opmærksom på, hvordan udvidet validering aktiveres og "organisatorisk validering" ikke?). En OV- eller virksomhedsvalideret certificering koster mere og tager længere tid, men det giver dig ikke den grønne adresselinje og virksomhedsidentitetsverificeret info. Helt ærligt kan jeg ikke tænke på en grund til at betale for et OV-certifikat. Hvis du kan tænke på en, så oplys mig i kommentarerne.

Delt SSL vs. privat SSL

Nogle webhosts tilbyder en delt SSL-service, somer ofte mere overkommelig end en privat SSL. Bortset fra pris er fordelen ved en delt SSL, at du ikke behøver at få en privat IP-adresse eller en dedikeret vært. Ulempen er, at du ikke får bruge dit eget domænenavn. I stedet vil den sikre del af dit websted være noget som:

https://www.hostgator.com/~yourdomain/secure.php

Kontrast det til en privat SSL-adresse:

https://www.yourdomain.com/secure.php

For websteder, der vender mod offentligheden, f.eks. E-handelswebstederog sociale netværkswebsteder er dette åbenlyst et træk, da det ser ud til, at du er blevet omdirigeret fra hovedwebstedet. Men for områder, der normalt ikke ses af offentligheden, f.eks. Indersiden af ​​et postsystem eller et administrationsområde, kan en delt SSL muligvis være en god handel.

Trust Seals

Mange certifikatmyndigheder lader dig placere enstole på segl på din webside, efter at du har tilmeldt dig et af deres certifikater. Dette giver stort set de samme oplysninger som at klikke på hængelåsen i browservinduet, men med større synlighed. At inkludere et tillidsforsegling er ikke påkrævet, og det forstærker heller ikke din sikkerhed, men hvis det giver dine besøgende de varme fuzzies, der ved, hvem der har udstedt SSL-certifikatet, skal du på alle måder smide det op der.

verisign tillid sæl

Wildcard SSL-certifikater

Et SSL-certifikat verificerer identiteten af ​​etdomæne. Så hvis du vil have HTTPS på flere underdomæner - f.eks. Groovypost.com, mail.groovypost.com og svar.groovypost.com - skal du købe tre forskellige SSL-certifikater. På et bestemt tidspunkt bliver et jokertegn SSL-certifikat mere økonomisk. Det vil sige et certifikat, der dækker et domæne og alle underdomæner, dvs. * .groovypost.com.

Garantier

Ligegyldigt hvor længe en virksomheds god eromdømme er, der er sårbarheder. Selv pålidelige CA'er kan målrettes af hackere, hvilket fremgår af bruddet på VeriSign, der gik urapporteret tilbage i 2010. Desuden kan en CA's status på den betroede liste hurtigt ophæves, som vi så med DigiNotar snafu tilbage i 2011. Stuff sker .

At svæve enhver uro over potentialet forsådanne tilfældige handlinger med SSL-afbrydelse, mange CA'er tilbyder nu garantier. Dækningen spænder fra et par tusind dollars til over en million dollars og inkluderer tab som følge af misbrug af dit certifikat eller andre uheld. Jeg aner ikke, om disse garantier faktisk tilføjer værdi eller ej, eller om nogen nogensinde med succes har vundet et krav. Men de er der for din overvejelse.

Gratis SSL-certifikater og selvsignerede SSL-certifikater

Der er to slags gratis SSL-certifikaterledig. En selvsigneret, der primært bruges til privat test og fuldblæst SSL Certs udstedt af en gyldig Certat Authority. Den gode nyhed er, i 2018 er der et par muligheder for at få 100% gratis, gyldige 90-dages SSL-certifikater fra både SSL gratis eller Lad os kryptere. SSL gratis er primært en GUI til Let's Encrypt API. Fordelen ved webstedet SSL for Free er, at det er enkelt at bruge, da det har en dejlig GUI. Lad os kryptere er imidlertid rart, da du fuldt ud kan automatisere anmodning om SSL-certifikater fra dem. Ideel, hvis du har brug for SSL-certifikater til flere websteder / servere.

Et selvsigneret SSL-certifikat er gratis for altid. Med et selvsigneret certifikat er du din egen CA. Fordi du ikke er blandt de betroede CA'er, der er indbygget i webbrowsere, får besøgende en advarsel om, at autoriteten ikke genkendes af operativsystemet. Som sådan er der virkelig ingen sikkerhed for, at du er den, du siger, at du er (det er slags som at udstede dig et foto-id og prøve at videregive det i spiritusbutikken). Fordelen ved et selvsigneret SSL-certifikat er imidlertid, at det muliggør kryptering til webtrafik. Det kan være godt til intern brug, hvor du kan få dine medarbejdere til at tilføje din organisation som en betroet CA for at slippe af med advarselsmeddelelsen og arbejde på en sikker forbindelse via Internettet.

For instruktioner om opsætning af et selvsigneret SSL-certifikat, se dokumentationen til OpenSSL. (Eller hvis der er nok efterspørgsel, skriver jeg en tutorial.)

Installation af et SSL-certifikat

Når du har købt dit SSL-certifikat, gør du detnødt til at installere det på din hjemmeside. En god webhost tilbyder at gøre dette for dig. Nogle kan endda gå så langt som at købe det til dig. Ofte er dette den bedste vej at gå, da det forenkler fakturering og sikrer, at det er konfigureret korrekt til din webserver.

Stadig har du altid muligheden for at installere enSSL-certifikat, som du har købt på egen hånd. Hvis du gør det, kan du måske begynde at konsultere din webhosts vidensbase eller ved at åbne en helpdesk-billet. De henviser dig til de bedste instruktioner til installation af dit SSL-certifikat. Du bør også se instruktionerne fra CA. Disse vil give dig bedre vejledning end nogen generisk rådgivning, jeg kan give dig her.

Du vil måske også tjekke følgende instruktioner til installation af et SSL-certifikat:

  • Installer et SSL-certifikat, og opsæt domænet i cPanel
  • Sådan implementeres SSL i IIS (Windows Server)
  • Apache SSL / TLS-kryptering

Alle disse instruktioner involvereroprettelse af en SSL-certifikatsigneringsanmodning (CSR). Faktisk har du brug for en CSR bare for at få et SSL-certifikat udstedt. Igen kan din webhost hjælpe dig med dette. For mere specifik DIY-info om oprettelse af en CSR, se denne opskrivning fra DigiCert.

Fordele og ulemper ved HTTPS

Vi har allerede fast etableret fordele forHTTPS: sikkerhed, sikkerhed, sikkerhed. Dette formindsker ikke kun risikoen for en dataovertrædelse, det giver også tillid og tilføjer omdømme til dit websted. Kyndige kunder gider måske ikke engang tilmeldingen, hvis de ser en “http: //” på login-siden.

Der er dog nogle ulemper ved HTTPS. I betragtning af nødvendigheden af ​​HTTPS for visse typer websteder er det mere fornuftigt at tænke på disse som "ulemperiderationer ”snarere end negativer.

  • HTTPS koster penge. For det første er der omkostningerne ved at købe ogforny dit SSL-certifikat for at sikre gyldighed år til år. Men der er også visse "systemkrav" til HTTPS, såsom en dedikeret IP-adresse eller dedikeret hostingplan, som kan være dyrere end en delt hostingpakke.
  • HTTPS kan muligvis nedsætte serverens respons. Der er to problemer relateret til SSL / TLS, dermuligvis nedsætter dine sidehastigheder. For det første, for at begynde at kommunikere med dit websted for første gang, skal brugerens browser gennemgå håndtrykprocessen, der springer tilbage til certifikatmyndighedens websted for at bekræfte certifikatet. Hvis CA's webserver bliver langsom, vil der være en forsinkelse i indlæsningen af ​​din side. Dette er stort set uden for din kontrol. For det andet bruger HTTPS kryptering, hvilket kræver mere processorkraft. Dette kan løses ved at optimere dit indhold til båndbredde og opgradere hardware på din server. CloudFare har et godt blogindlæg om, hvordan og hvorfor SSL muligvis bremser dit websted.
  • HTTPS kan påvirke SEO-indsatsen Når du overgår fra HTTP til HTTPS; du erflytter til et nyt websted. For eksempel ville https://www.groovypost.com ikke være det samme som http://www.groovypost.com. Det er vigtigt at sikre, at du har omdirigeret dine gamle links og skrevet de rigtige regler under hætten på din server for at undgå at miste nogen ædle links juice.
  • Blandet indhold kan kaste et gult flag. For nogle browsere, hvis du har hoveddelen afen webside indlæst fra HTTPS, men billeder og andre elementer (såsom typografiark eller scripts) indlæst fra en HTTP-URL, så vises der muligvis en popup, der advarer om, at siden indeholder ikke-sikkert indhold. Selvfølgelig at have nogle sikkert indhold er bedre end at have intet, selvom sidstnævnte ikke resulterer i en popup. Men alligevel kan det være umagen værd at sikre, at du ikke har noget "blandet indhold" på dine sider.
  • Nogle gange er det lettere at få en tredjeparts betalingsprocessor. Der er ingen skam ved at lade Google Checkout,Paypal eller Checkout fra Amazon håndterer dine betalinger. Hvis alt det ovenstående synes at være for meget at kæmpe for, kan du lade dine kunder udveksle betalingsoplysninger på Paypals sikre websted eller Googles sikre websted og spare dig selv for besværet.

Har du andre spørgsmål eller kommentarer om HTTPS- og SSL / TLS-certifikater? Lad mig høre det i kommentarerne.

0

Lignende artikler

Cyber ​​Street hjælper dig med at holde dit hjem eller din forretningscomputer sikkert
Anmeldelser

Cyber ​​Street hjælper dig med at holde dit hjem eller din virksomhed ..

Gmail flytter al adgang til HTTPS [groovyNews]
Nyheder

Gmail flytter al adgang til HTTPS [groovyNews] ..

Sådan opretter du en sikker Roku Channel Store-PIN-kode
Hvordan

Sådan opretter du en sikker Roku Channel Store-PIN ..

Sådan opretter du en stærk adgangskode, du kan huske
Hvordan

Sådan opretter du en stærk adgangskode, du kan huske ..

Sikkerhedsadvarsel: DigiNotar udsteder svigagtig Google.com-certifikat - instruktioner til, hvordan du beskytter dig selv
Hvordan

Sikkerhedsadvarsel: DigiNotar udsteder svigagtig Google.com ..

Sådan krypteres individuelle filer og mapper i Windows 10
Hvordan

Sådan krypteres individuelle filer og mapper i Windows ..

Sådan administreres adgangskoder med Edge Browser i Windows 10
Hvordan

Sådan administreres adgangskoder med Edge Browser i Windows 10.

Lav dit websted til at gøre Harlem Shake
Hvordan

Lav dit websted Gør Harlem Shake ..

Bliv ikke en viner - Sikker din Twitter-konto!
Hvordan

Bliv ikke en viner - Sikre din Twitter ..

Sådan sikkerhedskopieres dit EFS Private Key Certificate
Hvordan

Sådan sikkerhedskopieres dit EFS Private Key Certificate ..

Efterlad en kommentar