Certificări HTTPS și SSL: asigurați-vă site-ul dvs. în siguranță (și de ce ar trebui)

conectați-vă la funcția de securitate

Indiferent de tipul de afacere sau serviciu online pe care îl derulați, trebuie să vă asigurați că datele private sunt sigure cu certificate HTTPS și SSL. Iată ghidul nostru complet.

Când vine vorba de trimiterea de informații personalepe Internet - fie că este vorba despre informații de contact, date de autentificare, informații despre cont, informații despre locație sau orice altceva care ar putea fi abuzat - publicul este, în mare măsură, absolut paranoic despre hackerii și hoții de identitate. Și pe bună dreptate. Teama că informațiile dvs. ar putea fi furate, manipulate sau deturnate sunt departe de a fi iraționale. Titlurile despre scurgerile și încălcările de securitate din ultimele decenii o dovedesc. În ciuda acestei frici, oamenii continuă să se conecteze pentru a-și face serviciile bancare, cumpărăturile, jurnalele, datările, socializarea și alte activități personale și profesionale pe web. Și există un mic lucru care le oferă încrederea să facă acest lucru. Îți voi arăta:

Imagine

Deși nu toți înțeleg cum funcționează,acel mic lacăt din bara de adrese semnalează utilizatorilor web că au o conexiune de încredere la un site web legitim. Dacă vizitatorii nu văd asta în bara de adrese atunci când îți ridică site-ul, nu vei primi - și nu ar trebui - să-și facă afacerea.

Pentru a obține acel mic lacat de bare de adrese pentru site-ul dvs. web, aveți nevoie de un certificat SSL. Cum obții unul? Citiți mai departe pentru a afla.

Schița articolului:

  • Ce este SSL / TLS?
  • Cum se utilizează HTTPS?
  • Ce este un certificat SSL și cum obțin unul?
  • Ghid de cumpărare certificat SSL
    • Autoritate certificată
    • Validare domeniu vs. Validare extinsă
    • SSL partajat vs. SSL privat
    • Sigilii de încredere
    • Certificative SSL Wildcard
    • Garanții
    • Certificate SSL gratuite și certificate SSL autofirmate
  • Instalarea unui certificat SSL
  • Pro și contra HTTPS

Ce este SSL / TLS?

Pe web, datele sunt transferate folosind Protocolul de transfer de hipertext. Acesta este motivul pentru care toate adresele URL ale paginii web au „http: //” sau „https://" in fata lor.

Care este diferența dintre http și https? Acest mic S în plus are implicații mari: securitate.

Lasă-mă să explic.

HTTP este „limba” pe care computerul și computerulfolosirea serverului pentru a vorbi între ei. Acest limbaj este înțeles universal, ceea ce este convenabil, dar are și dezavantajele sale. Când datele sunt transmise între dvs. și un server prin Internet, acestea vor face unele opriri pe parcurs înainte de a ajunge la destinația finală. Aceasta prezintă trei riscuri mari:

  • Că cineva ar putea trage cu urechea în conversația dvs. (un fel de fișă digitală).
  • Că cineva ar putea juca rolul una (sau ambele) părți de pe ambele capete.
  • Că cineva ar putea tamper cu mesajele transferate.

Hackerii și jerfele folosesc o combinație dintre cele de mai suspentru o serie de escrocherii și escrocherii, inclusiv trucurile de tip phishing, atacurile om-in-the-middle și publicitate bună de modă veche. Atacurile rău intenționate ar putea fi la fel de simple ca înlăturarea acredităților de pe Facebook prin interceptarea cookie-urilor necriptate (eavesdropping) sau ar putea fi mai sofisticate. De exemplu, ai putea crede că spui băncii tale: „Vă rugăm să transferați 100 USD pe ISP-ul meu”, dar cineva din mijloc ar putea modifica mesajul pentru a citi: „Vă rugăm să transferați $ de 100 toți banii mei la ISP-ul meu Peggy în Siberia”(Modificarea și înlocuirea datelor).

Deci, acestea sunt problemele cu HTTP. Pentru a rezolva aceste probleme, HTTP poate fi stratificat cu un protocol de securitate, rezultând HTTP Secure (HTTPS). Cel mai frecvent, S-ul în HTTPS este furnizat de protocolul SSL (Secure Sockets Layer) sau de noul protocol TLS (Transport Layer Security). Când este implementat, HTTPS oferă bidirecțional criptare (pentru a preveni extrasul), Server autentificare (pentru a preveni impersonarea) și autentificarea mesajului (pentru a preveni modificarea datelor).

Cum se utilizează HTTPS

Ca o limbă vorbită, HTTPS funcționează numai dacă ambelepartidele aleg să o rostească. Din partea clientului, alegerea de a utiliza HTTPS poate fi făcută tastând „https” în bara de adrese a browserului înainte de adresa URL (de exemplu, în loc de a tasta http://www.facebook.com, tastați https: // www. facebook.com) sau prin instalarea unei extensii care forțează automat HTTPS, cum ar fi HTTPS Everywhere pentru Firefox și Chrome. Când browserul dvs. web folosește HTTPS, veți vedea o pictogramă cu lacăt, o bară verde a browserului, degetele mari sau un alt semn liniștitor că conexiunea dvs. cu serverul este sigură.

lacat HTTPS chrome

safari HTTPS lacat

Internet explorer lacatul HTTPS

firefox https lacat

Cu toate acestea, pentru a utiliza HTTPS, serverul web trebuiesusține-l. Dacă sunteți webmaster și doriți să oferiți HTTPS vizitatorilor dvs. Web, atunci veți avea nevoie de un certificat SSL sau un certificat TLS. Cum obțineți un certificat SSL sau TLS? Continua să citești.

Citire ulterioară: Unele aplicații web populare vă permit să alegeți HTTPS în setările utilizatorului. Citiți scrierile noastre pe Facebook, Gmail și Twitter.

Ce este un certificat SSL și cum obțin unul?

Pentru a utiliza HTTPS, trebuie să aveți serverul dvs. weba fost instalat un certificat SSL sau certificat TLS. Un certificat SSL / TLS seamănă cu un ID foto pentru site-ul dvs. web. Când un browser care utilizează HTTPS accesează pagina dvs. web, va efectua o „strângere de mână”, în timpul căreia computerul client solicită certificatul SSL. Certificatul SSL este apoi validat de o autoritate de certificare de încredere (CA), care verifică dacă serverul este cine spune. Dacă totul se verifică, vizitatorul dvs. web primește marcajul verde de siguranță sau pictograma de blocare. În cazul în care se întâmplă ceva, acestea vor primi un avertisment din browserul web, în ​​care se precizează că identitatea serverului nu a putut fi confirmată.

Eroare certificat HTTPS

Cumpărați pentru un certificat SSL

Când vine vorba de instalarea unui certificat SSL pe site-ul dvs. web, există o multitudine de parametri pentru a decide. Să trecem peste cel mai important:

Autoritate certificată

Autoritatea de certificare (CA) este companiacare emite certificatul SSL și este cel care îți va confirma certificatul de fiecare dată când un vizitator vine pe site-ul tău. În timp ce fiecare furnizor de certificate SSL va concura pe preț și funcții, primul lucru care trebuie luat în considerare la verificarea autorităților de certificare este dacă au sau nu certificate care sunt preinstalate pe cele mai populare browsere web. Dacă autoritatea de certificare care eliberează certificatul dvs. SSL nu se află în acea listă, utilizatorul va fi solicitat cu un avertisment că certificatul de securitate al site-ului nu este de încredere. Desigur, acest lucru nu înseamnă că site-ul dvs. web este nelegitim, ci înseamnă că CA nu este încă pe listă (încă). Aceasta este o problemă, deoarece majoritatea utilizatorilor nu se deranjează să citească avertismentul sau să cerceteze CA-ul nerecunoscut. Probabil vor face doar clic.

Din fericire, lista de CA-uri preinstalate pebrowserele majore sunt destul de importante. Acesta include câteva nume de marcă, precum și alte CA mai puțin cunoscute și mai accesibile. Numele caselor includ Verisign, Go Daddy, Comodo, Thawte, Geotrust și Entrust.

De asemenea, puteți căuta în setările browserului propriu pentru a vedea ce autorități de certificare sunt preinstalate.

  • Pentru Chrome, accesați Setări -> Afișați setări avansate ... -> Gestionare certificate.
  • Pentru Firefox, faceți Opțiuni -> Advanced -> Vizualizați certificatele.
  • Pentru IE, Opțiuni Internet -> Conținut -> Certificate.
  • Pentru Safari, accesați Finder și alegeți Go -> Utilities -> KeyChain Access și faceți clic pe System.

Pentru referință rapidă, consultați acest thread, care listează certificatele SSL acceptabile pentru Google Checkout.

Validare domeniu vs. Validare extinsă

Timpul tipic de emitereCostBara de adresa
Validarea domeniului
Aproape instantaneuScăzutHTTPS normal (pictograma lacătului)
Validarea organizațieiCateva zilela mijloculHTTPS normal (pictograma lacătului)
Validare extinsăO săptămână sau mai multÎnaltBara de adrese ecologice, informații de verificare a ID-ului companiei

</ Strong></ P>

Un certificat SSL este menit să dovedească identitateaa site-ului web la care trimiteți informații. Pentru a se asigura că oamenii nu preiau certificate SSL fals pentru domeniile pe care nu le controlează corect, o autoritate de certificare va valida faptul că persoana care solicită certificatul este de fapt proprietarul numelui de domeniu. În mod obișnuit, acest lucru se realizează printr-o validare rapidă a unui e-mail sau apel telefonic, similar cu momentul în care un site web vă trimite un e-mail cu un link de confirmare a contului. Aceasta se numește a domeniu validat Certificat SSL. Avantajul acestui lucru este că permite eliberarea certificatelor SSL aproape imediat. Puteți merge probabil să obțineți un certificat SSL validat de domeniu în mai puțin timp decât v-a luat să citiți această postare pe blog. Cu un certificat SSL validat de domeniu, obțineți lacătul și posibilitatea de a cripta traficul site-ului.

Avantajele unui SSL validat de domeniucertificatul este că sunt rapide, ușor și ieftine de obținut. Acesta este și dezavantajul lor. După cum vă puteți imagina, este mai ușor să acoperiți un sistem automat decât unul condus de ființe umane vii. Ar fi un fel de fel dacă un copil de liceu ar intra în DMV spunând că este Barack Obama și ar vrea să obțină un act de identitate emis de guvern. persoana de la birou ar fi aruncat o privire la el și ar suna Fed-urile (sau coșul de băut). Dar dacă ar fi un robot care lucrează la un chioșc de identitate foto, s-ar putea să aibă noroc. Într-un mod similar, fișierele pot obține „ID-uri false” pentru site-uri web precum Paypal, Amazon sau Facebook prin trucarea sistemelor de validare a domeniilor. În 2009, Dan Kaminsky a publicat un exemplu de modalitate de a înșela CA-urile pentru a obține certificate care ar face ca un site web de phishing să pară că ar fi o conexiune sigură și legitimă. Pentru un om, această înșelătorie ar fi ușor de observat. Dar validarea automată a domeniului la acea vreme nu a avut verificările necesare pentru a preveni ceva de genul acesta.

Ca răspuns la vulnerabilitățile certificatelor SSL validate de SSL și domeniu, industria a introdus Validare extinsă certificat. Pentru a obține un certificat EV SSL, compania sau organizația dvs. trebuie să se supună verificării riguroase pentru a vă asigura că este în stare bună cu guvernul dvs. și controlează corect domeniul pentru care solicitați. Aceste verificări, printre altele, necesită un element uman și, astfel, durează mai mult și sunt mai scumpe.

În unele industrii, este necesar un certificat EV. Însă, pentru alții, beneficiul se îndreaptă doar către ceea ce vor recunoaște vizitatorii tăi. Pentru vizitatorii de zi cu zi, diferența este subtilă. Pe lângă pictograma lacatului, bara de adrese devine verde și afișează numele companiei tale. Dacă faceți clic pentru mai multe informații, vedeți că identitatea companiei a fost verificată, nu doar site-ul web.

Iată un exemplu de site HTTPS normal:

HTTPS normal (validare organizare validare domeniu)

Și iată un exemplu de site-ul HTTPS cu certificat EV:

validare extinsă HTTPS

În funcție de industria dvs., un certificat EVs-ar putea să nu merite. În plus, trebuie să fii o companie sau o organizație pentru a obține una. Deși companiile mari sunt în tendință către certificarea EV, veți observa că majoritatea site-urilor HTTPS încă au gustul non-EV. Dacă este suficient de bun pentru Google, Facebook și Dropbox, poate este suficient de bun pentru tine.

validare domeniu vs. validare organizație vs. validare extinsă

Încă un lucru: există o opțiune din mijlocul drumului numită an organizație validată sau afaceri validate certificare. Aceasta este o verificare mai amănunțită decât validarea automată a domeniului, dar nu merge până la îndeplinirea reglementărilor din domeniul industriei pentru un certificat de validare extinsă (observați cum se valorifică extins Validarea și „validarea organizațională” nu?). O OV sau o certificare validată pentru afaceri costă mai mult și durează mai mult, dar nu vă va oferi bara de adrese ecologice și informațiile de identitate ale companiei. Sincer, nu pot să mă gândesc la un motiv pentru care să plătesc un certificat OV. Dacă vă puteți gândi la unul, vă rugăm să mă luminați în comentarii.

SSL partajat vs. SSL privat

Unele gazde web oferă un serviciu SSL partajat, careeste adesea mai accesibil decât un SSL privat. În afară de preț, avantajul unui SSL partajat este că nu este necesar să obțineți o adresă IP privată sau o gazdă dedicată. Dezavantajul este că nu trebuie să folosiți propriul nume de domeniu. În schimb, partea sigură a site-ului dvs. va fi ceva de genul:

https://www.hostgator.com/~yourdomain/secure.php

Contrastați-o cu o adresă SSL privată:

https://www.yourdomain.com/secure.php

Pentru site-urile cu public, cum ar fi site-urile de comerț electronicși rețelele de socializare, aceasta este, evident, un drag, deoarece se pare că ați fost redirecționat de pe site-ul principal. Dar pentru zonele care nu sunt vizionate de obicei de publicul larg, cum ar fi cele interioare ale unui sistem de poștă sau ale unei zone de administrator, atunci un SSL comun ar putea fi o afacere bună.

Sigilii de încredere

Multe autorități de certificare vă permit să plasați unsigiliu de încredere pe pagina dvs. web după ce v-ați înscris pentru unul dintre certificatele lor. Acest lucru oferă cam aceleași informații cum ar face clic pe lacăt în fereastra browserului, dar cu o vizibilitate mai mare. Includerea unui sigiliu de încredere nu este necesară și nici nu vă amplifică securitatea, dar dacă vă oferă vizitatorilor năvalnici calzi știind cine a eliberat certificatul SSL, aruncați-l acolo.

verisign sigiliu de încredere

Certificative SSL Wildcard

Un certificat SSL verifică identitatea unuiadomeniu. Deci, dacă doriți să aveți HTTPS pe mai multe subdomenii - de exemplu, groovypost.com, mail.groovypost.com și answer.groovypost.com - ar trebui să cumpărați trei certificate SSL diferite. La un moment dat, un certificat SSL cu wildcard devine mai economic. Adică, un singur certificat pentru a acoperi un singur domeniu și toate subdomeniile, adică * .groovypost.com.

Garanții

Oricât ar fi de bine o companiereputația este că există vulnerabilități. Chiar și CA-urile de încredere pot fi vizate de hackeri, așa cum a demonstrat încălcarea de la VeriSign, care nu a fost raportată în 2010. În plus, statutul unui CA de pe lista de încredere poate fi revocat repede, așa cum am văzut cu snifu DigiNotar din 2011. .

Pentru a atenua orice neliniște asupra potențialuluiastfel de acte aleatorii de debaucherie SSL, multe CA oferă acum garanții. Acoperirea variază de la câteva mii de dolari la peste un milion de dolari și include pierderi rezultate din utilizarea necorespunzătoare a certificatului sau alte greșeli. Nu am idee dacă aceste garanții adaugă sau nu valoare sau dacă cineva a câștigat vreodată o cerere. Dar sunt acolo pentru considerarea ta.

Certificate SSL gratuite și certificate SSL autofirmate

Există două tipuri de certificate SSL gratuitedisponibil. Un auto-semnat, utilizat în principal pentru testarea privată și publicul plin care se confruntă cu certificate SSL emise de o autoritate de certificare valabilă. Vestea bună este că, în 2018, există câteva opțiuni pentru a obține 100% certificate gratuite, valabile în 90 de zile SSL de la SSL pentru Free sau Let’s Encrypt. SSL for Free este în primul rând o GUI pentru API-ul Let’s Encrypt. Avantajul site-ului SSL pentru Free este că este simplu de utilizat, deoarece are o GUI frumoasă. Să ne criptăm, însă, este drăguț, deoarece puteți automatiza complet solicitarea certificatelor SSL de la ele. Ideal dacă aveți nevoie de certificate SSL pentru mai multe site-uri web / servere.

Un certificat SSL auto-semnat este gratuit pentru totdeauna. Cu un certificat auto-semnat, sunteți propriul CA. Cu toate acestea, deoarece nu sunteți printre CA-urile de încredere încorporate în browserele web, vizitatorii vor primi un avertisment că autoritatea nu este recunoscută de sistemul de operare. Ca atare, nu există niciun fel de siguranță că sunteți cine spuneți că sunteți (este ca și cum ar fi să vă eliberați o identitate foto și să încercați să o transmiteți la magazinul de băuturi alcoolice). Avantajul unui certificat SSL auto-semnat este însă că permite criptarea traficului web. S-ar putea să fie bun pentru utilizare internă, unde puteți să vă solicitați personalului să vă adauge organizația ca CA de încredere pentru a scăpa de mesajul de avertizare și pentru a lucra la o conexiune sigură pe internet.

Pentru instrucțiuni privind configurarea unui certificat SSL autofirmat, consultați documentația pentru OpenSSL. (Sau, dacă există o cerere suficientă, voi scrie un tutorial.)

Instalarea unui certificat SSL

După ce ați achiziționat certificatul SSL, dumneavoastrătrebuie să-l instalați pe site-ul dvs. web. O gazdă web bună se va oferi să facă acest lucru pentru tine. Unii ar putea chiar să ajungă până la cumpărarea dvs. pentru dvs. De multe ori, acesta este cel mai bun mod de urmat, deoarece simplifică facturarea și se asigură că este configurat corespunzător pentru serverul dvs. web.

Totuși, aveți întotdeauna opțiunea de a instala unCertificat SSL pe care l-ai cumpărat de unul singur. Dacă faceți acest lucru, poate doriți să începeți să consultați baza de cunoștințe a gazdelor dvs. web sau să deschideți un bilet de asistență. Te vor indruma către cele mai bune instrucțiuni pentru instalarea certificatului SSL. De asemenea, trebuie să consultați instrucțiunile furnizate de CA. Acestea vă vor oferi îndrumări mai bune decât orice sfaturi generice pe care vi le pot oferi aici.

De asemenea, poate doriți să consultați următoarele instrucțiuni pentru instalarea unui certificat SSL:

  • Instalați un certificat SSL și configurați domeniul în cPanel
  • Cum se implementează SSL în IIS (Windows Server)
  • Criptare SSL / TLS Apache

Toate aceste instrucțiuni vor implicacrearea unei cereri de semnare a certificatului SSL (CSR). De fapt, veți avea nevoie de un CSR doar pentru a obține un certificat SSL. Din nou, gazda dvs. web vă poate ajuta în acest sens. Pentru mai multe informații specifice despre bricolaj despre crearea unui CSR, consultați această scriere de la DigiCert.

Pro și contra HTTPS

Am stabilit deja ferm avantajeleHTTPS: securitate, securitate, securitate. Acest lucru nu numai că atenuează riscul unei încălcări a datelor, dar de asemenea încurajează încredere și adaugă reputație site-ului dvs. web. Clienții experimentali s-ar putea să nu se deranjeze nici măcar să se înscrie dacă văd un „http: //” pe pagina de conectare.

Cu toate acestea, există unele contrare pentru HTTPS. Având în vedere necesitatea HTTPS pentru anumite tipuri de site-uri web, este mai logic să ne gândim la acestea drept „contraidei ”mai degrabă decât negative.

  • HTTPS costă bani. Pentru început, există costurile de cumpărare șireînnoirea certificatului SSL pentru a asigura valabilitatea de la an la an. Dar există și anumite „cerințe de sistem” pentru HTTPS, cum ar fi o adresă IP dedicată sau un plan dedicat de găzduire, care poate fi mai costisitor decât un pachet de hosting comun.
  • HTTPS poate încetini răspunsul serverului. Există două probleme legate de SSL / TLS carear putea încetini viteza de încărcare a paginii. În primul rând, pentru a începe să comunici cu site-ul dvs. web pentru prima dată, browserul utilizatorului trebuie să parcurgă procesul de strângere de mână, care revine la site-ul web al autorității de certificare pentru a verifica certificatul. Dacă serverul web al CA este lent, atunci va apărea o întârziere la încărcarea paginii. Acest lucru este în mare parte dincolo de controlul tău. În al doilea rând, HTTPS utilizează criptarea, care necesită mai multă putere de procesare. Acest lucru poate fi rezolvat prin optimizarea conținutului pentru lățimea de bandă și modernizarea hardware-ului pe serverul dvs. CloudFare are o postare bună pe blog despre cum și de ce SSL ar putea încetini site-ul.
  • HTTPS poate afecta eforturile SEO Când treceți de la HTTP la HTTPS; tu estimutarea pe un nou site web. De exemplu, https://www.groovypost.com nu ar fi la fel ca http://www.groovypost.com. Este important să vă asigurați că ați redirecționat linkurile vechi și ați scris regulile corespunzătoare sub capota serverului pentru a evita pierderea sucului de linkuri prețioase.
  • Conținutul mixt poate arunca un steag galben. Pentru unele browsere, dacă aveți partea principală dino pagină web încărcată de la HTTPS, dar imagini și alte elemente (cum ar fi fișe de stil sau scripturi) încărcate de la o adresă URL HTTP, atunci poate apărea un pop-up care avertizează că pagina include conținut nesigur. Desigur, având niste conținutul sigur este mai bun decât să nu existe, chiar dacă acesta din urmă nu are ca rezultat un pop-up. Dar totuși, ar putea merita să vă asigurați că nu aveți „conținut mixt” în paginile dvs.
  • Uneori este mai ușor să obțineți un procesator de plăți terță parte. Nu este nicio rușine în a permite Google Checkout,Paypal sau Checkout de Amazon se ocupă de plăți. Dacă toate aspectele de mai sus par a fi prea multe de reglat, puteți lăsa clienții să schimbe informațiile de plată pe site-ul securizat Paypal sau pe site-ul securizat Google și să vă salvați problema.

Aveți alte întrebări sau comentarii despre certificatele HTTPS și SSL / TLS? Lasă-mă să aud în comentarii.

0

Articole similare

Cyber ​​Street vă ajută să vă păstrați casa securizată sau computerul de afaceri
opinii

Cyber ​​Street vă ajută să vă păstrați casa sau afacerea ..

Gmail mutând tot accesul la HTTPS [groovyNews]
Știri

Gmail mutând tot accesul la HTTPS [groovyNews] ..

Cum să creezi un PIN securizat pentru magazinul Roku Channel
Howto

Cum să creezi un cod PIN sigur pentru Roku Channel Store ..

Cum să creați o parolă puternică pe care să o rețineți
Howto

Cum să creezi o parolă puternică pe care să o ții minte ..

Alertă de securitate: DigiNotar emite un certificat Google.com fraudulos - Instrucțiuni despre cum să vă protejați
Howto

Alertă de securitate: DigiNotar Probleme frauduloase Google.com ..

Cum să criptați fișiere și foldere individuale în Windows 10
Howto

Cum să criptați fișiere și foldere individuale în Windows ..

Cum să gestionați parolele cu browserul Edge în Windows 10
Howto

Cum să gestionați parolele cu browserul Edge în Windows 10.

Faceți-vă site-ul dvs. Faceți Harlem Shake
Howto

Faceți site-ul dvs. Faceți Harlem Shake ..

Nu fiți un Weiner - securizați-vă contul de Twitter!
Howto

Nu fiți un Weiner - asigurați-vă Twitter-ul ..

Cum să faceți backup pentru certificatul dvs. cheie privată EFS
Howto

Cum să faceți backup pentru certificatul dvs. de cheie privată EFS ..

Lasa un comentariu