אישורי HTTPS ו- SSL: הפוך את אתרך לאבטח (ולמה אתה צריך)

אישור SSL נועד להוכיח את הזהותשל האתר אליו אתה שולח מידע. כדי להבטיח שאנשים לא מוציאים אישורי SSL מזויפים לדומיינים שהם אינם שולטים בצדק, רשות אישורים תאמת כי האדם שמבקש את האישור הוא אכן הבעלים של שם הדומיין. בדרך כלל הדבר נעשה באמצעות אימייל מהיר או אימות שיחות טלפון, בדומה למצב בו אתר אינטרנט שולח לך דוא"ל עם קישור לאישור חשבון. זה נקרא א תוקף של הדומיין תעודת SSL. היתרון בכך הוא שהוא מאפשר להנפיק תעודות SSL כמעט מיידית. סביר להניח שתוכלו לקבל תעודת SSL מאומתת תחום בפחות זמן מכפי שלקח לכם לקרוא את פוסט הבלוג הזה. עם תעודת SSL מאומתת תחום, אתה מקבל את המנעול ואת היכולת להצפין את התעבורה באתר שלך.

היתרונות של תחום מאומת SSLהאישור הוא שהם מהירים, קלים וזולים להשגה. זה גם החיסרון שלהם. כפי שאתה יכול לדמיין, קל יותר להקציף מערכת אוטומטית יותר מאשר אחת שמנוהלת על ידי בני אדם חיים. זה כמו כאילו איזה ילד מבית הספר התיכון נכנס ל DMV ואומר שהוא ברק אובמה ורצה להשיג תעודת זהות שהונפקה על ידי הממשלה. האדם שבשולחן היה מסתכל עליו מבט אחד ומתקשר לפדסים (או לפח האשפה). אבל אם זה היה רובוט שעובד קיוסק מזהה לצילום, יתכן שיהיה לו קצת מזל. באופן דומה, phishers יכולים לקבל "תעודות זהות מזויפות" עבור אתרים כמו Paypal, Amazon או Facebook על ידי הונאה של מערכות אימות תחום. בשנת 2009 פרסם דן קמינסקי דוגמה לדרך בהונאת רשות תעודות להשיג אישורים שיגרמו לאתר דיוג להיראות כאילו מדובר בחיבור מאובטח ולגיטימי. לאדם, קל להבחין בהונאה זו. אולם לאימות הדומיינים האוטומטי באותה העת היה חסר את הבדיקות הדרושות כדי למנוע דבר כזה.

בתגובה לפגיעויות של SSL ותעודות SSL מאומתות בתחום, הציגה התעשייה את התעשייה אימות מורחב תעודה. כדי לקבל תעודת SSL EV, על החברה או הארגון שלך לעבור בדיקות קפדניות כדי להבטיח שהוא יהיה במצב טוב עם הממשלה שלך ושולט בצדק על התחום אליו אתה מגיש בקשה. בדיקות אלה, בין השאר, דורשות מרכיב אנושי, וכך לוקחות זמן רב יותר ויקרות יותר.

בחלק מהענפים יש צורך בתעודת EV. אך עבור אחרים, התועלת רק מסתכמת במה שהמבקרים שלך יכירו. למבקרים באינטרנט היומיומיים ההבדל עדין. בנוסף לסמל המנעול, סרגל הכתובות הופך לירוק ומציג את שם החברה שלך. אם תלחץ למידע נוסף, אתה רואה שאומתה זהות החברה ולא רק האתר.

להלן דוגמא לאתר HTTPS רגיל:

והנה דוגמה לאתר תעודת HTTPS של EV:

תלוי בענף שלך, תעודת EVאולי לא יהיה שווה את זה. בנוסף, עליך להיות עסק או ארגון כדי להשיג עסק כזה. למרות שחברות גדולות מתכוונות להסמכת EV, תבחין שרוב אתרי HTTPS עדיין אוהבים את הטעם שאינו EV. אם זה מספיק טוב לגוגל, לפייסבוק ולדרופבוקס, אולי זה מספיק טוב בשבילך.

עוד דבר אחד: יש אמצע אפשרות לכביש שנקרא an ארגון תוקף או תוקף של עסק תעודה. זוהי בחינה יסודית יותר מאימות הדומיינים האוטומטי, אך זה לא מסתכם בעמידה בתקנות הענף לקבלת תעודת אימות מורחבת (שימו לב כיצד מאומת מורחבת מורחבת ו"איכות ארגונית "איננה?). הסמכת OV או עסק מאומתים עולים יותר ונמשכים זמן רב יותר, אך זה לא ייתן לך את סרגל הכתובות הירוק ואת המידע המאומת על זהות החברה. האמת, אני לא יכולה לחשוב על סיבה לשלם עבור תעודת OV. אם אתה יכול לחשוב על אחד, אנא נא להאיר אותי בתגובות.

SSL משותף מול SSL פרטי

חלק ממארחי האינטרנט מציעים שירות SSL משותף, אשרלעיתים קרובות הוא זול יותר מאשר SSL פרטי. מלבד המחיר, היתרון של SSL משותף הוא שאינך צריך לקבל כתובת IP פרטית או מארח ייעודי. החיסרון הוא שלא תשתמש בשם הדומיין שלך. במקום זאת, החלק המאובטח של האתר שלך יהיה כמו:

https://www.hostgator.com/~yourdomain/secure.php

לעומת זאת לכתובת SSL פרטית:

https://www.yourdomain.com/secure.php

לאתרים הפונים לציבור, כמו אתרי מסחר אלקטרוניואתרי רשתות חברתיות, ברור שמדובר בגרירה, מכיוון שנראה שהפנית מהאתר הראשי. אבל עבור אזורים שלא נראים בדרך כלל על ידי הציבור הרחב, כגון הפנימיות של מערכת דואר או אזור מנהל, אז SSL משותף עשוי להיות עניין טוב.

חותמות אמון

רשויות אישורים רבות מאפשרות לך למקםסמוך על חותם בדף האינטרנט שלך לאחר שנרשמת לאחת מהתעודות שלהם. זה נותן כמעט את אותו מידע כמו לחיצה על המנעול בחלון הדפדפן, אך עם ראות גבוהה יותר. כלול חותם אמון אינו נדרש, ואף אינו מגביר את ביטחונך, אך אם הוא מעניק למבקרים שלך את המהומות החמות בידיעה מי הוציא את אישור ה- SSL, בכל דרך, זרוק אותה לשם.

תעודות SSL של Wildcard

תעודת SSL מאמתת את זהותהתחום. לכן, אם ברצונך להשתמש ב- HTTPS בתת-דומיינים מרובים - למשל, groovypost.com, mail.groovypost.com, ותשובות.groovypost.com - תצטרך לקנות שלוש תעודות SSL שונות. בנקודה מסוימת, תעודת SSL עם תווים כלליים הופכת חסכונית יותר. כלומר, אישור אחד לכיסוי תחום אחד וכל תת-הדומיינים, כלומר * .groovypost.com.

אחריות

לא משנה כמה טובת החברה היא ארוכת שניםהמוניטין הוא שישנן נקודות תורפה. אפילו על ידי האקרים ניתן לכוון אפילו רשימות CA מהימנות, מה שמעיד על הפרה ב- VeriSign שלא הוצגה חזרה בשנת 2010. בנוסף, ניתן לבטל במהירות את סטטוס CA ברשימה המהימנה, כפי שראינו עם הסנאפו של DigiNotar עוד בשנת 2011. דברים קורים .

להרגיע כל אי נוחות מהפוטנציאל שלמעשים אקראיים כאלה של הוללות SSL, חברות CA רבות להציע כעת אחריות. הכיסוי נע בין כמה אלפי דולרים למעל מיליון דולר וכולל הפסדים הנובעים משימוש לרעה בתעודה שלך או מתקלות אחרות. אין לי מושג אם ההתחייבויות הללו אכן מוסיפות ערך או לא, או אם מישהו אי פעם זכה בהצלחה בתביעה. אבל הם שם לשיקולכם.

תעודות SSL בחינם ותעודות SSL בחתימה עצמית

ישנם שני סוגים של תעודות SSL בחינםזמין. חתימה עצמית, המשמשת בעיקר לבדיקה פרטית ולציבור מפוצץ מלא מול SSL Certs שהונפק על ידי רשות אישורים תקפה. החדשות הטובות הן שבשנת 2018 יש כמה אפשרויות להשיג 100% בחינם, תוקפי SSL של 90 יום, משני SSL בחינם או מאת Let's Encrypt. SSL בחינם הוא בעיקר ממשק משתמש (GUI) עבור ממשק ה- API של ה- Encrypt. היתרון של האתר SSL for Free הוא פשוט לשימוש מכיוון שיש לו ממשק משתמש ממשק נחמד. עם זאת, בואו להצפין נחמד מכיוון שתוכל לבצע אוטומציה מלאה של בקשת תוספי SSL מהם. אידיאלי אם אתה זקוק לתוספי SSL עבור אתרים / שרתים מרובים.

תעודת SSL בחתימה עצמית היא בחינם לנצח. עם תעודה חתימה עצמית, אתה CA שלך. עם זאת, מכיוון שאינך נמנה עם רשימות ה- CA המהימנות המובנות בדפדפני האינטרנט, המבקרים יקבלו אזהרה כי הרשות אינה מוכרת על ידי מערכת ההפעלה. ככאלה, אין באמת שום הבטחה שאתה מי שאתה אומר שאתה (זה כמו להנפיק לעצמך תעודת זהות ולנסות להעביר אותו בחנות המשקאות). אולם היתרון של תעודת SSL בחתימה עצמית הוא בכך שהיא מאפשרת קידוד לתעבורת רשת. זה יכול להיות טוב לשימוש פנימי, שם תוכל לאנשי הצוות שלך להוסיף את הארגון שלך כקבוצת מידע מהימנה כדי להיפטר מהודעת האזהרה ולעבוד על חיבור מאובטח דרך האינטרנט.

לקבלת הוראות להגדרת תעודת SSL בחתימה עצמית, עיין בתיעוד של OpenSSL. (או אם יש מספיק ביקוש, אכתוב הדרכה.)

התקנת אישור SSL

לאחר שרכשת את תעודת ה- SSL שלךצריך להתקין אותו באתר שלך. מארח אינטרנט טוב יציע לעשות זאת בשבילך. חלקם עשויים אפילו להגיע לביצוע הקנייה עבורכם. לעתים קרובות, זו הדרך הטובה ביותר ללכת, מכיוון שהיא מפשטת חיוב ומבטיחה שההתקנה מתאימה לשרת האינטרנט שלך.

עם זאת, תמיד יש לך אפשרות להתקיןתעודת SSL שקנית בעצמך. אם תעשה זאת, אולי כדאי שתתייעץ בבסיס הידע של מארח האינטרנט שלך או על ידי פתיחת כרטיס דסק עזרה. הם יפנו אותך להוראות הטובות ביותר להתקנת אישור ה- SSL שלך. עליכם להתייעץ עם ההוראות המופיעות על ידי ה- CA. אלה יעניקו לך הדרכה טובה יותר מכל עצה גנרית שאוכל לתת לך כאן.

יתכן שתרצה לבדוק את ההוראות הבאות להתקנת אישור SSL:

• התקן תעודת SSL והגדר את הדומיין ב- cPanel
• כיצד ליישם SSL ב- IIS (Windows Server)
• קידוד SSL ​​/ TLS של אפאצ'י

כל ההוראות הללו יכללו את ה-יצירת בקשת חתימה על אישור SSL (CSR). למעשה, תצטרך CSR רק כדי שתונפק תעודת SSL. שוב, מארח האינטרנט שלך יכול לעזור לך בכך. לקבלת מידע ספציפי יותר בנושא עשה זאת בעצמך אודות יצירת CSR, עיין בפירוט זה מ- DigiCert.

היתרונות והחסרונות של HTTPS

הקמנו היטב את היתרונות שלHTTPS: אבטחה, אבטחה, אבטחה. זה לא רק שמפחית את הסיכון להפרת נתונים, זה גם מעניק אמון ומוסיף מוניטין לאתר האינטרנט שלך. לקוחות מנוסים עשויים אפילו לא לטרוח להירשם אם הם רואים "http: //" בדף הכניסה.

עם זאת, ישנם כמה חסרונות ל- HTTPS. בהתחשב בצורך של HTTPS בסוגים מסוימים של אתרים, הגיוני יותר לחשוב על אלה כאל "חסרונותאידיציות "ולא שליליות.

• HTTPS עולה כסף. בתור התחלה, יש עלות הקנייה ו-חידוש תעודת ה- SSL שלך בכדי להבטיח תוקף משנה לשנה. אבל יש גם "דרישות מערכת" מסוימות עבור HTTPS, כמו למשל כתובת IP ייעודית או תוכנית אירוח ייעודית, שיכולות להיות יקרות יותר מחבילת אירוח משותפת.
• HTTPS עשוי להאט את תגובת השרת. ישנם שני בעיות הקשורות ל- SSL / TLSעשוי להאט את מהירות טעינת הדף שלך. ראשית, על מנת להתחיל לתקשר עם אתר האינטרנט שלך בפעם הראשונה, על דפדפן המשתמש לעבור את תהליך לחיצת היד החוזר לאתר רשות האישורים כדי לאמת את האישור. אם שרת האינטרנט של CA נותן איטיות, יהיה עיכוב בטעינת העמוד שלך. זה בעיקר בשליטתך. שנית, HTTPS משתמש בהצפנה הדורשת כוח עיבוד רב יותר. ניתן לטפל בכך על ידי אופטימיזציה של התוכן שלך לרוחב הפס ושדרוג החומרה בשרת שלך. ל- CloudFare פוסט טוב בבלוג כיצד ומדוע SSL עשוי להאט את האתר שלך.
• HTTPS עשוי להשפיע על מאמצי SEO כאשר אתה מעבר מ- HTTP ל- HTTPS; אתהעוברים לאתר חדש. לדוגמה, https://www.groovypost.com לא יהיה זהה ל- http://www.groovypost.com. חשוב להבטיח כיניתם את הקישורים הישנים שלכם וכתבתם את הכללים הנכונים תחת מכסה המנוע של השרת שלכם, כדי לא לאבד כל מיץ קישורים יקר.
• תוכן מעורב יכול לזרוק דגל צהוב. עבור דפדפנים מסוימים, אם יש לך את החלק העיקרי שלדף אינטרנט טעון מ- HTTPS, אך תמונות ואלמנטים אחרים (כגון גיליונות סגנונות או סקריפטים) שנטענו מכתובת אתר HTTP, ייתכן שמופיעה קופץ שמזהירה כי הדף כולל תוכן לא מאובטח. כמובן שיש כמה תוכן מאובטח עדיף על כך שאין לו אף אחד, אף על פי שהאחרון אינו מוביל לקופץ. עם זאת, אולי כדאי להבטיח שלא יהיה לך "תוכן מעורב" בדפים שלך.
• לפעמים יותר קל להשיג מעבד תשלום מצד שלישי. אין בושה לאפשר ל- Google Checkout,Paypal או Checkout של אמזון מטפלים בתשלומים שלך. אם נראה כי כל האמור לעיל יתר על המידה, אתה יכול לאפשר ללקוחות שלך להחליף מידע על התשלום באתר המאובטח של Paypal או באתר המאובטח של גוגל ולחסוך לעצמך את הבעיה.

יש לך שאלות או הערות אחרות בנוגע לתעודות HTTPS ו- SSL / TLS? תן לי לשמוע את זה בתגובות.