HTTPS i SSL certifikati: učinili svoju web lokaciju sigurnom (i zašto biste trebali)

prijava sigurnosna značajka

Bez obzira na vrstu internetske tvrtke ili usluge koju vodite, morate osigurati da su privatni podaci sigurni pomoću HTTPS i SSL certifikata. Evo našeg cjelovitog vodiča.

Kada je u pitanju slanje osobnih podatakaputem interneta - bilo da se radi o kontaktnim podacima, vjerodajnicama za prijavu, podacima o računu, podacima o lokaciji ili bilo čemu drugom što bi se moglo zloupotrijebiti - javnost je u velikoj mjeri potpuno paranoična o hakerima i lopovima identiteta. I s pravom je tako. Strah da bi vaše informacije mogle biti ukradene, ukradene ili protupravno prisvojene daleko je od iracionalnog. Naslovi o propuštanjima i kršenjima sigurnosti u proteklih nekoliko desetljeća to dokazuju. No, uprkos ovom strahu, ljudi se i dalje prijavljuju kako bi vršili svoje bankarstvo, kupovinu, časopise, sastanke, druženja i druge osobne i profesionalne poslove na webu. I postoji jedna sitnica koja im daje povjerenje da to rade. Pokazat ću vam:

slika

Iako ne razumiju sve kako to funkcionira,taj mali katanac u adresnoj traci signalizira web korisnicima da imaju pouzdanu vezu s zakonitom web stranicom. Ako posjetitelji to ne vide u adresnoj traci kad povuku vašu web lokaciju, nećete - i ne biste trebali - pokrenuti njihovu tvrtku.

Da biste dobili malo zaključavanje adresne trake za vaše web mjesto, potreban vam je SSL certifikat. Kako je nabavite? Pročitajte da biste saznali.

Pregled članka:

  • Što je SSL / TLS?
  • Kako koristiti HTTPS?
  • Što je SSL certifikat i kako da je dobijem?
  • Vodič za kupovinu SSL certifikata
    • Tijelo za certifikate
    • Provjera domene u odnosu na produženu provjeru valjanosti
    • Dijeljeni SSL vs privatni SSL
    • Povjerite pečate
    • Wildcard SSL certifikati
    • jamstva
    • Besplatni SSL certifikati i samopotpisani SSL certifikati
  • Instaliranje SSL certifikata
  • Za i protiv HTTPS-a

Što je SSL / TLS?

Na Internetu se podaci prenose pomoću protokola za prijenos hiperteksta. Zato svi URL-ovi web stranica imaju "http: //" ili "httpa: // ”ispred njih.

Koja je razlika između http i https? Taj mali mali S ima velike implikacije: Sigurnost.

Dopustite mi da objasnim.

HTTP je "jezik" na kojem vaše računalo iposlužitelj koristiti za razgovor jedni s drugima. Ovaj je jezik univerzalno razumljiv, što je prikladno, ali ima i svojih nedostataka. Kad podaci budu poslani između vas i poslužitelja putem Interneta, zaustavit će se na putu prije nego što stigne do krajnjeg odredišta. To predstavlja tri velika rizika:

  • To bi netko mogao prisluškivati na vašem razgovoru (poput digitalnog prisluškivanja).
  • To bi netko mogao predstavljati jedna (ili obje) stranke na oba kraja.
  • To bi netko mogao nagovarati s tim da se poruke prenose.

Hakeri i kreteni koriste kombinaciju gore navedenogza brojne prevare i pljačke, uključujući krađe lažnog identiteta, napade iz sredine i dobra staromodna reklama. Zlonamjerni napadi mogu biti jednostavni poput njuškanja Facebook vjerodajnica presretanjem nekodiranih kolačića (prisluškivanje), ili bi mogli biti sofisticiraniji. Na primjer, mogli biste pomisliti da svojoj banci govorite: "Molim vas, prenesite 100 USD na moj davatelj internetskih usluga", ali netko u sredini mogao bi promijeniti poruku da glasi: "Molim vas, prenesite $ 100 sav moj novac k moj ISP Peggy u Sibiru”(Diranje podataka i lažno predstavljanje).

To su problemi s HTTP-om. Da bi se riješili ti problemi, HTTP se može slojeviti sa sigurnosnim protokolom, što rezultira HTTP Secure (HTTPS). Najčešće, S u HTTPS-u pruža protokol SSL (Secure Sockets Layer) ili noviji TLS protokol za sigurnost transportnog sloja. Kada se implementira, HTTPS nudi dvosmjerno šifriranje (kako bi se spriječilo prisluškivanje), server ovjera (kako bi se spriječilo lažno predstavljanje) i provjera autentičnosti poruke (da se spriječi varanje podataka).

Kako koristiti HTTPS

Poput govornog jezika, HTTPS funkcionira samo ako su obastranke se odluče za to govoriti. Na strani klijenta izbor HTTPS-a može se izvršiti unosom „https“ u adresnu traku preglednika prije URL-a (npr. Umjesto upisivanja http://www.facebook.com, upišite https: // www. facebook.com) ili instaliranjem proširenja koje automatski forsira HTTPS, poput HTTPS Everywhere za Firefox i Chrome. Kada vaš web preglednik koristi HTTPS, vidjet ćete ikonu lokota, zelenu traku preglednika, palčeve gore ili neki drugi uvjerljiv znak da je vaša veza s poslužiteljem sigurna.

kromirani HTTPS katanac

safari HTTPS lokot

lokotar Internet Explorer HTTPS

firefox https lokot

No, za korištenje HTTPS-a web poslužitelj morapodržati. Ako ste webmaster i želite ponuditi HTTPS svojim posjetiteljima, tada će vam trebati SSL certifikat ili TLS certifikat. Kako dobivate SSL ili TLS certifikat? Nastavi čitati.

Daljnje čitanje: Neke popularne web aplikacije omogućuju vam da odaberete HTTPS u svojim korisničkim postavkama. Pročitajte naše zapise na Facebooku, Gmailu i Twitteru.

Što je SSL certifikat i kako da je dobijem?

Za upotrebu HTTPS-a mora postojati vaš web poslužiteljinstaliran SSL certifikat ili TLS certifikat. SSL / TLS certifikat sličan je ID-u fotografije za vaše web mjesto. Kada preglednik koji koristi HTTPS pristupi vašoj web stranici, izvršit će "stisak ruke" tijekom kojeg klijentsko računalo traži SSL certifikat. Potom SSL certifikat potvrđuje provjereno tijelo certifikata (CA) koje provjerava je li poslužitelj onaj koji to kaže. Ako se sve odjavi, vaš web posjetitelj dobiva uvjerljivu zelenu kvačicu ili ikonu zaključavanja. Ako nešto pođe po zlu, dobit će upozorenje web preglednika u kojem se navodi da identitet poslužitelja nije moguće potvrditi.

Pogreška HTTPS certifikata

Kupnja za SSL certifikat

Kada je u pitanju instaliranje SSL certifikata na vaše web mjesto, postoji mnoštvo parametara o kojima treba odlučiti. Prijeđimo na najvažnije:

Tijelo za certifikate

Tijelo za certifikate (CA) je tvrtkakoji izdaje vaš SSL certifikat i onaj koji će provjeriti vašu potvrdu svaki put kad posjetitelj dođe na vašu web stranicu. Iako će se svaki davatelj SSL certifikata natjecati u cijeni i značajkama, stvar koja treba uzeti u obzir prilikom provjere ovlaštenja certifikata je da li imaju certifikate koji su unaprijed instalirani u najpopularnijim web preglednicima. Ako tijelo certifikata koje izdaje vaš SSL certifikat nije na tom popisu, korisnik će dobiti upit s upozorenjem da se sigurnosnom certifikatu web mjesta ne vjeruje. Naravno, to ne znači i da vaša web lokacija nije nelegitimna - to samo znači da vaš CA još nije na popisu. To je problem jer se većina korisnika neće mučiti čitati upozorenje ili istraživati ​​nepriznati CA. Vjerojatno će ih jednostavno kliknuti.

Srećom, popis predinstaliranih CA naglavni preglednici su prilično značajni. To uključuje nekoliko velikih brandova, kao i manje poznate i povoljnije CA-e. Imena kućanstava uključuju Verisign, Go Daddy, Comodo, Thawte, Geotrust i Entrust.

Možete pogledati i postavke vlastitog preglednika da biste vidjeli koja su tijela certifikata unaprijed instalirana.

  • Za Chrome idite na Postavke -> Prikaži napredne postavke ... -> Upravljanje potvrdama.
  • Za Firefox učinite Opcije -> Napredno -> Pogledajte potvrde.
  • Za IE, Internet opcije -> Sadržaj -> Potvrde.
  • Za Safari, idite na Finder i odaberite Go -> Utilities -> KeyChain Access i kliknite System.

Za brzu referencu pogledajte ovu nit koja sadrži prihvatljive SSL certifikate za Google Checkout.

Provjera domene u odnosu na produženu provjeru valjanosti

Tipično vrijeme izdavanjacijenaAdresačka traka
Provjera domene
Skoro trenutnonizakNormalni HTTPS (ikona lokota)
Provjera organizacijeNekoliko danasrednjiNormalni HTTPS (ikona lokota)
Proširena validacijaTjedan ili viševisokZelena adresna traka, podaci o potvrdi ID-a tvrtke

</ Strong></ P>

SSL certifikat namijenjen je dokazivanju identitetaweb stranice na koje šaljete informacije. Da bi osigurali da ljudi ne uzimaju lažne SSL certifikate za domene koje ne kontroliraju s pravom, certifikacijsko tijelo će potvrditi da je osoba koja zahtijeva certifikat doista vlasnik imena domene. Obično se to provodi putem brze provjere e-pošte ili telefonskog poziva, slično kao kad vam web mjesto pošalje e-poštu s vezom za potvrdu računa. To se naziva a domena potvrđena SSL certifikat. Prednost ovoga je što omogućuje izdavanje SSL certifikata gotovo odmah. Vjerojatno biste mogli otići i dobiti SSL certifikat za domenu za manje vremena nego što vam je trebalo da pročitate ovaj post na blogu. Pomoću potvrđenog SSL certifikata domene dobivate katanac i mogućnost šifriranja prometa na vašoj web lokaciji.

Prednosti SSL-a koji je potvrdio domenupotvrda je da ih je brzo, lako i jeftino dobiti. To je ujedno i njihov nedostatak. Kao što možete zamisliti, lakše je povezati automatizirani sustav od živog ljudskog bića. To je nekako kao kad bi neki srednjoškolac ušao u DMV rekavši da je Barack Obama i želi dobiti vladinu iskaznicu. osoba za stolom bacila bi jedan pogled na njega i nazvala Fedare (ili kantu za smeće). Ali, da je robot radio kiosk s fotografijom, možda bi imao sreće. Na sličan način, lažnjaci mogu dobiti "lažne ID-ove" za web stranice poput Paypal-a, Amazona ili Facebooka trikvanjem sustavima za provjeru domena. Dan Kaminsky je 2009. godine objavio primjer načina prevare službenika CA za dobivanje certifikata koji bi phishing web stranicu izgledali kao da je sigurna i zakonita veza. Ljudski bi ovu prevaru bilo lako uočiti. Ali tadašnjoj automatiziranoj provjeri domene nedostajale su potrebne provjere da se nešto slično spriječi.

Kao odgovor na ranjivosti SSL i domena validiranih SSL certifikata, industrija je uvela Proširena validacija potvrda. Za dobivanje EV SSL certifikata vaša tvrtka ili organizacija moraju podvrgnuti strogoj provjeri kako bi bili sigurni da je u dobrom stanju s vašom vladom i s pravom kontrolira domenu za koju se prijavljujete. Te provjere, između ostalog, zahtijevaju ljudski element, a na taj način traju duže i skuplje su.

U nekim industrijama potreban je EV certifikat. Ali za druge, korist ide samo onoliko koliko će prepoznati vaši posjetitelji. Kod svakodnevnih web posjetitelja razlika je suptilna. Pored ikone lokota, adresna traka postaje zelena i prikazuje naziv vaše tvrtke. Ako kliknete za više informacija, vidjet ćete da je provjeren identitet tvrtke, a ne samo web mjesto.

Evo primjera normalne HTTPS web lokacije:

uobičajeni HTTPS (potvrda organizacije za provjeru domena)

A evo primjera HTTPS web mjesta sa certifikatom o EV:

proširena validacija HTTPS

Ovisno o vašoj branši, EV certifikatmožda ne vrijedi. Uz to morate biti tvrtka ili organizacija da biste ga dobili. Iako se velike tvrtke zalažu za certificiranje EV-a, primijetit ćete da većina HTTPS web-lokacija još uvijek ima ukus ne-EV. Ako je dovoljno dobro za Google, Facebook i Dropbox, možda je to dovoljno i za vas.

provjera domene u odnosu na provjeru organizacije u odnosu na produženu validaciju

Još jedna stvar: postoji sredina opcije ceste koja se zove an organizacija potvrđena ili poslovanje potvrđeno certifikat. Ovo je temeljitija provjera od automatizirane provjere domene, ali ne ide tako daleko do ispunjavanja industrijskih propisa za certifikat o proširenom validaciji (primjetite kako je produljena validacija velikim slovom i "organizacijska provjera" nije?). Potvrđivanje certifikata o OV ili tvrtki košta više i traje duže, ali neće vam dati zelenu adresnu traku i podatke o identitetu tvrtke ovjerene. Iskreno, ne mogu smisliti razlog da platim OV certifikat. Ako možete smisliti jedno, prosvijetlite me u komentarima.

Dijeljeni SSL vs privatni SSL

Neki domaćini nude zajedničku SSL uslugu kojačesto je pristupačniji od privatnog SSL-a. Osim cijene, prednost zajedničkog SSL-a je u tome što vam ne treba dobiti privatnu IP adresu ili namjenski domaćin. Loša strana je ta što ne morate koristiti vlastito ime domene. Umjesto toga, siguran dio vaše web stranice bit će nešto poput:

https://www.hostgator.com/~yourdomain/secure.php

Uporedite to s privatnom SSL adresom:

https://www.yourdomain.com/secure.php

Za web stranice s kojima se suočavaju javni ljudi, kao što su web lokacije za e-trgovinui web mjesta društvenih mreža očito predstavljaju poteškoće, jer izgleda kao da ste preusmjereni s glavne web lokacije. Ali za područja koja javnost ne pregledava, poput unutrašnjosti poštanskog sustava ili administrativnog područja, tada bi zajednički SSL mogao biti dobar posao.

Povjerite pečate

Mnoga tijela za certifikate omogućuju vam postavljanje avjerujte pečat na svojoj web stranici nakon što ste se prijavili za jedan od njihovih certifikata. To daje otprilike iste podatke kao što bi kliknulo na katanac u prozoru preglednika, ali uz veću vidljivost. Uključivanje zaštitnog pečata nije potrebno, niti vam povećava sigurnost, ali ako posjetiteljima daje tople fuzzie znati tko je izdao SSL certifikat, na sve načine bacajte ga tamo.

verisign trust pečat

Wildcard SSL certifikati

SSL certifikat potvrđuje identitet istogdomena. Dakle, ako želite imati HTTPS na više poddomena (npr. Groovypost.com, mail.groovypost.com i answer.groovypost.com), trebali biste kupiti tri različita SSL certifikata. U određenom trenutku, wildcard SSL certifikat postaje ekonomičniji. Odnosno, jedan certifikat za jednu domenu i sve poddomene, tj. * .Groovypost.com.

jamstva

Bez obzira koliko dugo tvrtka dobro izgledalareputacija je, postoje ranjivosti. Čak i pouzdani CA-i mogu biti na meti hakera, o čemu svjedoči i kršenje na VeriSign-u koje je neprijavljeno 2010. godine. Nadalje, status CA-a na popisu pouzdanih osoba može se brzo opozvati, kao što smo vidjeli s DigiNotar snafu još 2011. godine. Stvari se događaju ,

Da se ublaži svaka nelagoda zbog mogućnosti zaovakve nasumične radnje SSL razbojstva, mnogi CA-i sada nude jamstva. Pokrivanje se kreće od nekoliko tisuća dolara do preko milijun dolara i uključuje gubitke koji proizlaze iz zlouporabe vašeg certifikata ili drugih nesporazuma. Nemam pojma da li ta jamstva zaista dodaju vrijednost ili ne, ili je li itko ikad uspješno osvojio potraživanje. Ali oni su tu zbog vašeg razmatranja.

Besplatni SSL certifikati i samopotpisani SSL certifikati

Postoje dvije vrste besplatnih SSL certifikatadostupno. Samopotpis, koji se prvenstveno koristi za privatno testiranje i cjelokupnu publiku koja je okrenuta SSL certifikatima, a izdala ih je valjana Certificat Authority. Dobra vijest je da u 2018. godini postoji nekoliko opcija za dobivanje 100% besplatnih, važećih 90-dnevnih SSL certova iz SSL-a besplatno ili Let’s Encrypt. SSL for Free prvenstveno je GUI za Let’s Encrypt API. Prednost web lokacije SSL for Free u tome je što je jednostavan za upotrebu jer ima ugodan GUI. Šifrirajmo, međutim, lijepo je što možete u potpunosti automatizirati traženje SSL certsa od njih. Idealno ako vam trebaju SSL certs za više web stranica / poslužitelja.

Potpisan SSL certifikat zauvijek je besplatan. Uz potvrdu da sam potpisao svoj vlastiti CA. Međutim, s obzirom da niste među pouzdanim CA-ovima ugrađenim u web-preglednike, posjetitelji će dobiti upozorenje da operativni sustav ne prepoznaje ovlasti. Kao takvo, zaista ne postoji sigurnost da ste vi osoba za koju kažete da jeste (to je na neki način kao izdavanje osobne iskaznice fotografije i pokušavanje slanja u prodavaonici alkoholnih pića). Prednost SSL certifikata koji je sam potpisao je ta što omogućava šifriranje za web promet. To bi moglo biti dobro za internu upotrebu gdje zaposlenici mogu dodati organizaciju kao pouzdan službenik kako bi se riješili poruke upozorenja i radili na sigurnoj vezi putem Interneta.

Za upute o postavljanju samopodpisanog SSL certifikata, pogledajte dokumentaciju za OpenSSL. (Ili, ako postoji dovoljno potražnje, napisat ću udžbenik.)

Instaliranje SSL certifikata

Nakon što ste kupili svoj SSL certifikat,trebate ga instalirati na svoju web stranicu. Dobar web domaćin ponudit će to učiniti za vas. Neki bi mogli čak i otići toliko daleko da je kupe za vas. Često je to najbolji način jer pojednostavljuje naplatu i osigurava da je pravilno postavljena za vaš web poslužitelj.

Ipak, uvijek imate mogućnost instaliranjaSSL certifikat koji ste kupili sami. Ako to učinite, možda biste htjeli započeti savjetovati sa bazom znanja svog web-domaćina ili otvaranjem ulaznice službe za pomoć. Oni će vas uputiti prema najboljim uputama za instaliranje vašeg SSL certifikata. Također biste trebali konzultirati upute dobivene od CA. Oni će vam dati bolje upute od bilo kojeg općenitog savjeta koji vam mogu dati ovdje.

Možda ćete htjeti provjeriti i sljedeće upute za instaliranje SSL certifikata:

  • Instalirajte SSL certifikat i postavite domenu u cPanel
  • Kako implementirati SSL u IIS (Windows Server)
  • Šifriranje Apache SSL / TLS

Sve ove upute uključuju i uputestvaranje zahtjeva za potpisivanje SSL potvrde (CSR). Zapravo će vam trebati CSR samo za izdavanje SSL certifikata. Opet, vaš web domaćin vam može pomoći u tome. Za detaljnije podatke o DIY-u o stvaranju CSR-a, pogledajte ovo pisanje usluge DigiCert.

Za i protiv HTTPS-a

Već smo čvrsto utvrdili prednostiHTTPS: sigurnost, sigurnost, sigurnost. To ne samo da umanjuje rizik od kršenja podataka, već također potiče povjerenje i dodaje reputaciju vašoj web stranici. Simpatični kupci se možda čak i ne trude prijaviti se ako na stranici za prijavu vide "http: //".

Postoje, međutim, neke kontra HTTPS-a. S obzirom na potrebu HTTPS-a za određene vrste web stranica, ima smisla razmišljati o njima kao o "kontraideje “, a ne negativ.

  • HTTPS košta novac, Za početak, postoje troškovi kupnje iobnavljanje vašeg SSL certifikata kako bi se osigurala valjanost iz godine u godinu. Ali postoje i određeni "sistemski zahtjevi" za HTTPS, poput namjenske IP adrese ili namjenskog hosting hosting plana koji mogu biti skuplji od zajedničkog hosting paketa.
  • HTTPS može usporiti odgovor poslužitelja. Postoje dva pitanja koja se odnose na SSL / TLSmože usporiti brzinu učitavanja stranice. Prvo, da bi se započela komunikacija s vašom web stranicom, korisnički preglednik mora proći postupak rukovanja, koji se vraća na web mjesto tijela certifikata da provjeri certifikat. Ako je web-poslužitelj CA u tijeku, doći će do kašnjenja u učitavanju vaše stranice. To je uglavnom izvan vaše kontrole. Drugo, HTTPS koristi šifriranje, za što je potrebna veća moć obrade. To se može riješiti optimizacijom vašeg sadržaja za širinu pojasa i nadogradnjom hardvera na vašem poslužitelju. CloudFare ima dobar blog post o tome kako i zašto SSL može usporiti vašu web stranicu.
  • HTTPS može utjecati na SEO napore Pri prelasku s HTTP-a na HTTPS; ti siprelazak na novu web stranicu. Na primjer, https://www.groovypost.com ne bi bio isti kao http://www.groovypost.com. Važno je osigurati da ste preusmjerili svoje stare veze i napisali odgovarajuća pravila ispod haube vašeg poslužitelja da ne biste izgubili dragocjeni sok za vezu.
  • Mješoviti sadržaj može baciti žutu zastavu, Za neke preglednike, ako imate glavni dioweb stranica učitana s HTTPS-a, ali slike i drugi elementi (kao što su tablice stilova ili skripte) učitani s HTTP URL-a, tada se može pojaviti skočni prozor s upozorenjem da stranica uključuje ne sigurni sadržaj. Naravno, imati neki siguran sadržaj je bolji od nepostojanja nijednog, iako taj posljednji ne rezultira skočnim prozorom. No ipak, moglo bi se isplatiti osigurati da na svojim stranicama nemate "miješani sadržaj".
  • Ponekad je lakše nabaviti procesor plaćanja drugog proizvođača, Nema sramote ako posudite Google Checkout,Paypal ili Checkout by Amazon upravljaju vašim plaćanjima. Ako se sve gore navedeno čini previše zavaravanjem, možete prepustiti klijentima da razmjene podatke o plaćanju na sigurnoj web lokaciji Paypala ili Googleovoj sigurnoj web-lokaciji i spasiti si problema.

Imate li još kakvih pitanja ili komentara o HTTPS i SSL / TLS certifikatima? Dajte mi to čuti u komentarima.

0

Slični članci

Cyber ​​Street pomaže vam da zaštitite svoje kućno ili poslovno računalo
Recenzije

Cyber ​​Street vam pomaže da zadržite svoj dom ili posao ..

Gmail kreće potpuni pristup HTTPS-u [groovyNews]
Vijesti

Premještanje potpunog pristupa za Gmail na HTTPS [groovyNews] ..

Kako stvoriti sigurni PIN Roku kanala trgovine
Kako da

Kako stvoriti siguran PIN trgovine Roku Channel ..

Kako stvoriti jaku lozinku koju se možete sjetiti
Kako da

Kako stvoriti jaku lozinku koju se možete sjetiti ..

Sigurnosno upozorenje: DigiNotar izdaje lažne certifikate Google.com - upute za zaštitu sebe
Kako da

Upozorenje o sigurnosti: DigiNotar izdaje lažne Google.com ..

Kako šifrirati pojedinačne datoteke i mape u sustavu Windows 10
Kako da

Kako šifrirati pojedinačne datoteke i mape u sustavu Windows ..

Kako upravljati lozinkama pomoću Edge Browser-a u sustavu Windows 10
Kako da

Kako upravljati lozinkama pomoću Edge Browser-a u sustavu Windows 10 ..

Učinite svoju web stranicu da se trese Harlem
Kako da

Učinite svoju web stranicu da se trese Harlem ..

Nemojte biti Weiner - osigurajte svoj Twitter račun!
Kako da

Nemojte biti Weiner - osigurajte svoj Twitter ..

Kako izraditi sigurnosnu kopiju certifikata o privatnom ključu EFS-a
Kako da

Kako sigurnosno kopirati svoj EFS certifikat sa privatnim ključem ..

Ostavite komentar