ХТТПС и ССЛ сертификати: Направите своју веб локацију безбедном (и зашто би требало)

пријавите се сигурносном функцијом

Без обзира на врсту интернетског пословања или услуге коју покрећете, морате осигурати да су приватни подаци заштићени ХТТПС и ССЛ цертификатима. Ево нашег комплетног водича.

Када је у питању слање личних податакапутем интернета - било да се ради о контактним подацима, акредитивима за пријаву, подацима о рачуну, подацима о локацији или било чему другом што би се могло злоупотребити - јавност је у великој мери параноична у погледу хакера и лопова идентитета. И с правом је тако. Страх да би ваше информације могле да буду украдене, неовлаштено украдене или им се присвоји, далеко је од ирационалног. Наслови о пропуштањима и кршењима сигурности током посљедњих неколико деценија то и доказују. Али упркос овом страху, људи се и даље пријављују да би вршили своје банкарство, куповину, часописе, изласке, дружења и друге личне и професионалне послове на вебу. И постоји једна ситница која им даје самопоуздање да то ураде. Показаћу вам то:

слика

Иако не разумеју како то функционише,тај мали катанац у адресној траци сигнализира веб корисницима да имају поуздану везу са легитимном веб страницом. Ако посетиоци то не виде у адресној траци када повуку вашу веб локацију, нећете - и не бисте требали - да се баве њиховим послом.

Да бисте добили мало закључавање адресне траке за своју веб локацију, потребан вам је ССЛ сертификат. Како је набавите? Прочитајте да бисте сазнали.

Преглед чланка:

  • Шта је ССЛ / ТЛС?
  • Како се користи ХТТПС?
  • Шта је ССЛ сертификат и како да је добијем?
  • Водич за куповину ССЛ сертификата
    • Дипломирани орган
    • Валидација домена у односу на продужену валидацију
    • Дељени ССЛ вс приватни ССЛ
    • Труст Сеалс
    • Вилдцард ССЛ сертификати
    • Гаранције
    • Бесплатни ССЛ цертификати и самопотписани ССЛ цертификати
  • Инсталирање ССЛ цертификата
  • За и против ХТТПС-а

Шта је ССЛ / ТЛС?

На Интернету се подаци преносе помоћу протокола за пренос хипертекста. Зато сви УРЛ-ови веб страница имају „хттп: //” или „хттпс://" испред њих.

Која је разлика између хттп и хттпс? Тај мали мали С има велике импликације: Сигурност.

Дозволи да објасним.

ХТТП је "језик" на коме је рачунар исервер користи за разговор једни са другима. Овај језик је универзално разумљив, што је прикладно, али има и својих недостатака. Када се подаци између вас и сервера пренесу путем Интернета, направиће неколико заустављања на путу пре него што стигну до крајњег одредишта. Ово представља три велика ризика:

  • То би неко могао прислушкивање у вашем разговору (попут дигиталног прислушкивања).
  • То би неко могао лажно представљати једна (или обе) стране на оба краја.
  • То би неко могао варалица с тим да се поруке преносе.

Хакери и кретени користе комбинацију наведеногза бројне преваре и пљачке, укључујући лажне лажне борбе, нападе човека у средини и добро старомодно рекламирање. Злонамјерни напади могу бити једноставни као и њушкање Фацебоокових вјеродајница пресретањем некодираних колачића (прислушкивање), или би могли бити софистициранији. На пример, могли бисте помислити да говорите својој банци: „Молим вас, пренесите 100 долара на мој давалац интернетских услуга“, али неко у средини може да промени поруку тако да гласи: „Молим вас пренесите 100 УСД сав мој новац до мој ИСП Пегги у Сибиру”(Превара података и лажно представљање).

То су проблеми са ХТТП-ом. Да би се решили ови проблеми, ХТТП може бити слојевит сигурносним протоколом, што резултира ХТТП Сецуре (ХТТПС). Најчешћи је С у ХТТПС-у обезбеђен протоколом Сецуре Соцкетс Лаиер (ССЛ) или новијим ТЛС протоколом за сигурност транспортног слоја. Када се користи, ХТТПС нуди двосмерну употребу енкрипција (да спречите прислушкивање), сервер Аутентикација (да би се спречило лажно представљање) и потврда идентитета поруке (да се спречи варање података).

Како се користи ХТТПС

Као и говорни језик, ХТТПС функционише само ако су обастранке одлучују да то говоре. На страни клијента, избор ХТТПС-а може се извршити уносом „хттпс“ у адресну траку прегледача пре УРЛ-а (нпр. Уместо да унесете хттп://ввв.фацебоок.цом, откуцајте хттпс: // ввв. фацебоок.цом) или инсталирањем додатка који аутоматски форсира ХТТПС, попут ХТТПС Еверивхере за Фирефок и Цхроме. Када ваш веб прегледач користи ХТТПС, видећете икону катанца, зелену траку прегледача, палчеве или неки други уверљиви знак да је ваша веза са сервером сигурна.

хромирани ХТТПС катанац

сафари ХТТПС катанац

Интернет претраживач ХТТПС катанац

хттпс падлоцк фирефок

Међутим, да бисте користили ХТТПС, веб сервер мораподржати. Ако сте вебмастер и желите да понудите ХТТПС својим посетиоцима, тада ће вам требати ССЛ сертификат или ТЛС сертификат. Како добијате ССЛ или ТЛС сертификат? Настави да читаш.

Даљње читање: Неке популарне веб апликације омогућавају вам да одаберете ХТТПС у својим корисничким подешавањима. Прочитајте наше записе на Фацебооку, Гмаилу и Твиттеру.

Шта је ССЛ сертификат и како да је добијем?

Да бисте користили ХТТПС, ваш веб сервер мора да имаинсталиран ССЛ цертификат или ТЛС цертификат. ССЛ / ТЛС сертификат је као ИД фотографије за вашу веб локацију. Када прегледач који користи ХТТПС приступи вашој веб страници, извршиће „руковање“, током кога клијентски рачунар тражи ССЛ сертификат. ССЛ сертификат затим потврђује ауторитет поузданог сертификата (ЦА), који проверава да је сервер онај за кога каже да јесте. Ако се све одјави, ваш веб посетилац добија сигурну зелену квачицу или икону закључавања. Ако нешто пође по злу, добиће упозорење од веб прегледача, наводећи да идентитет сервера не може да се потврди.

Грешка ХТТПС сертификата

Куповина ССЛ сертификата

Када је у питању инсталирање ССЛ сертификата на вашу веб локацију, постоји мноштво параметара о којима треба одлучити. Хајде да пређемо на најважније:

Дипломирани орган

Ауторитет за сертификате (ЦА) је компанијакоји издаје ваш ССЛ сертификат и он ће онај који потврђује ваш сертификат сваки пут када посетилац дође на вашу веб локацију. Иако ће се сваки добављач ССЛ цертификата такмичити у цени и карактеристикама, ствар која је прво узети у обзир приликом провјере ауторитета цертификата је да ли имају цертификате који су унапријед инсталирани у најпопуларнијим веб претраживачима. Ако ауторитет сертификата који издаје ваш ССЛ сертификат није на тој листи, корисник ће бити затражен са упозорењем да се безбедносном сертификату веб локације не верује. Наравно, то не значи да ваша веб локација није нелегитимна - то само значи да ваш ЦА још није на листи (још). Ово је проблем јер се већина корисника неће мучити да читају упозорење или истражују непризнати ЦА. Вероватно ће само кликнути.

Срећом, листа унапријед инсталираних ЦА наглавни претраживачи су прилично велики. Укључује неке велике робне марке, као и мање познате и повољније ЦА. Имена домаћинстава укључују Верисигн, Го Дадди, Цомодо, Тхавте, Геотруст и Ентруст.

Такође можете да погледате подешавања сопственог прегледача да видите која су овлаштења сертификата прединсталирана.

  • За Цхроме идите на Подешавања -> Прикажи напредна подешавања ... -> Управљање сертификатима.
  • За Фирефок урадите Опције -> Напредно -> Прикажи сертификате.
  • За ИЕ, Интернет опције -> Садржај -> Потврде.
  • За Сафари, идите у Финдер и изаберите Го -> Утилитиес -> КеиЦхаин Аццесс и кликните Систем.

За брзу употребу погледајте ову нит која садржи прихватљиве ССЛ сертификате за Гоогле Цхецкоут.

Валидација домена у односу на продужену валидацију

Типично време издавањаТрошакТрака адреса
Валидација домена
Скоро тренутноНискаНормална ХТТПС (икона катанца)
Валидација организацијеНеколико данаСрединаНормална ХТТПС (икона катанца)
Проширена валидацијаСедмицу или вишеВисокоЗелена адресна трака, подаци о верификацији ИД-а компаније

</стронг></п>

ССЛ сертификат има за циљ да докаже идентитетвеб странице на коју шаљете информације. Да би осигурали да људи не узимају лажне ССЛ цертификате за домене које они не контролишу исправно, ауторитет за сертификацију ће потврдити да је особа која захтева цертификат заиста власник имена домене. Обично се то обавља путем брзог потврђивања е-поште или телефонског позива, слично као када вам веб локација пошаље е-пошту са везом за потврду налога. То се назива а домен проверен ССЛ сертификат. Предност овог је што омогућава издавање ССЛ сертификата готово одмах. Вероватно бисте могли да одете и добијете ССЛ сертификат о домену за мање времена него што вам је требало да прочитате овај пост на блогу. Помоћу верификованог ССЛ сертификата за домен добијате катанац и могућност да шифрујете саобраћај на веб локацији.

Предности ССЛ-а који је потврдио доменпотврда је да их је брзо, лако и јефтино набавити. То је и њихов недостатак. Као што можете замислити, лакше је повезати аутоматизовани систем од живог људског бића. То је некако као кад би неки средњошколац ушао у ДМВ рекавши да је он Барацк Обама и да жели да добије личну карту коју је издала влада. особа за столом погледала би га и позвала Федјере (или канту за смеће). Али да је робот радио киоск са фото ИД-ом, можда би имао среће. На сличан начин, пхисхер-и могу добити „лажне ИД-ове“ за веб локације попут Паипал, Амазон или Фацебоок, закуцавањем система за проверу домена. Дан Камински је 2009. године објавио пример начина на који се превара ЦА-е како би добили цертификате који би пхисхинг веб локацију изгледали као да је сигурна и законита веза. За људе, ова превара би била лако уочити. Али у време аутоматске провере домена недостајале су неопходне провере да се спречи нешто слично.

Као одговор на рањивости ССЛ и ССЛ сертификованих домена, индустрија је увела Проширена валидација потврда. Да би стекао ЕВ ССЛ сертификат, ваше предузеће или организација морају се подвргнути ригорозном проверавању како би се уверили да је у добром стању са вашом владом и исправно контролише домен за који се пријављујете. Ови прегледи, између осталог, захтевају и људски елемент и на тај начин трају дуже и скупљи су.

У неким индустријама је потребан ЕВ сертификат. Али за друге, корист иде само онолико колико ће препознати ваши посетиоци. Код свакодневних веб посетилаца разлика је суптилна. Поред иконе локота, адресна трака постаје зелена и приказује назив ваше компаније. Ако кликнете за више информација, видећете да је идентитет компаније верификован, а не само веб локација.

Ево примера нормалне ХТТПС веб локације:

нормалан ХТТПС (валидација организације за проверу домена)

А ево примера ХТТПС веб локације са ЕВ сертификатом:

продужена валидација ХТТПС

Зависно од ваше индустрије, ЕВ сертификатможда не би вредело. Поред тога, морате бити компанија или организација да бисте је добили. Иако се велике компаније залажу за ЕВ сертификацију, приметићете да већина ХТТПС сајтова и даље поседује укус не-ЕВ. Ако је довољно добро за Гоогле, Фацебоок и Дропбок, можда је то довољно и за вас.

провјера домена у односу на провјеру организације у односу на продужену валидацију

Још једна ствар: постоји опција пута на средини пута која се зове ан организација потврђена или пословање потврђено сертификација. Ово је темељније испитивање од аутоматизоване провере домена, али не иде тако далеко до испуњавања индустријских прописа за сертификат за продужену валидацију (приметите како је проширена валидација употребљена великим словима и да ли „организациона провера“ није?). Потврђивање цертификата за ОВ или компаније кошта више и траје дуже, али неће вам дати зелену адресну траку и информације о идентитету компаније овјерене. Искрено, не могу смислити разлог да платим ОВ сертификат. Ако можете да смислите једно, просветлите ме у коментарима.

Дељени ССЛ вс приватни ССЛ

Неки домаћини нуде заједничку ССЛ услугу, којаје често приступачнији од приватног ССЛ-а. Осим цене, предност дељеног ССЛ-а је та што вам није потребно да добијате приватну ИП адресу или наменски домаћин. Лоша страна је та што не морате да користите сопствено име домена. Уместо тога, сигуран део ваше веб локације биће нешто попут:

https://www.hostgator.com/~yourdomain/secure.php

Упоредите то са приватном ССЛ адресом:

https://www.yourdomain.com/secure.php

За веб локације са јавношћу, као што су веб локације за е-трговинуи друштвене мреже то очигледно представљају потешкоће, јер изгледа као да сте преусмерени са главне веб локације. Али за подручја која јавност уопште не гледа, попут унутрашњости поштанског система или административног подручја, тада би заједнички ССЛ могао бити добар посао.

Труст Сеалс

Много органа за сертификате вам дозвољава да поставите рачунверујте на печат својој веб страници након што сте се пријавили за један од њихових сертификата. То даје отприлике исте информације као што би кликнуло на катанац у прозору прегледача, али уз већу видљивост. Укључивање печата поверења није потребно, нити вам појачава сигурност, али ако посетиоцима даје топле фуззие који знају ко је издао ССЛ сертификат, на било који начин га баци тамо.

верисигн труст печат

Вилдцард ССЛ сертификати

ССЛ сертификат потврђује идентитет истогдомен. Дакле, ако желите да имате ХТТПС на више поддомена, нпр. Гроовипост.цом, маил.гроовипост.цом и ансвер.гроовипост.цом, требало би да купите три различита ССЛ сертификата. У одређеном тренутку, вилдцард ССЛ сертификат постаје економичнији. То јест, један цертификат за покривање једног домена и свих поддомена, тј. * .Гроовипост.цом.

Гаранције

Без обзира колико дугогодишње добро било предузећерепутација је, постоје рањивости. Чак и поуздани ЦА-и могу бити на мети хакера, о чему сведочи кршење на ВериСигн-у које је непријављено 2010. године. Штавише, статус ЦА-а на листи поверења брзо се може опозвати, као што смо видели са ДигиНотар снафу-ем 2011. године. Ствари се дешавају .

Да се ​​ублажи свака нелагодност због могућности заовакве насумичне радње развратности ССЛ-а, многи ЦА сада нуде гаранције. Покривање се креће од неколико хиљада до преко милион долара и укључује губитке који су последица злоупотребе вашег сертификата или других пропуста. Немам појма да ли ти гаранције заиста додају вредност или не, или је ли неко икада успешно освојио захтев. Али они су ту због вашег разматрања.

Бесплатни ССЛ цертификати и самопотписани ССЛ цертификати

Постоје две врсте бесплатних ССЛ сертификатана располагању. Самоподписан, који се првенствено користи за приватно тестирање и пуну публику која се суочава са ССЛ сертификатима, а издата од стране ваљаног сертификатног органа. Добра вест је да ће у 2018. години постојати неколико опција за добијање 100% бесплатних, валидних 90 дневних ССЛ цертова из ССЛ-а бесплатно или Лет’с Енцрипт. ССЛ фор Фрее је првенствено ГУИ за Лет’с Енцрипт АПИ. Предност локације ССЛ фор Фрее је у томе што је једноставан за употребу јер има леп ГУИ. Шифрирајмо, међутим, лепо јер можете потпуно аутоматизовати тражење ССЛ цертс-а од њих. Идеално ако вам требају ССЛ цертс за више веб локација / сервера.

Потписан ССЛ сертификат је заувек бесплатан. Уз потврду да је ваш властити потписник. Међутим, с обзиром да нисте међу поузданим службеницима који су уграђени у веб прегледаче, посетиоци ће добити упозорење да ауторитет не препознаје оперативни систем. Као такво, заиста не постоји сигурност да сте ви такав за кога кажете да јесте (то је некако као издавање себи личне фотографије и покушавање слања у продавници алкохолних пића). Предност ССЛ сертификата који је сам потписао је да омогућава шифровање за веб саобраћај. То би могло бити добро за интерну употребу, где можете да особље дода вашу организацију као поуздан ЦА да бисте се ослободили поруке упозорења и радили на безбедној вези преко Интернета.

За упутства о подешавању самоподписаног ССЛ сертификата, погледајте документацију за ОпенССЛ. (Или, ако постоји довољно потражње, написаћу туториал.)

Инсталирање ССЛ цертификата

Једном када купите свој ССЛ сертификат, и витреба да га инсталирате на вашу веб локацију. Добар веб домаћин ће вам понудити да то уради за вас. Неки би могли чак и отићи до купње за вас. Често је то најбољи начин, јер поједностављује наплату и осигурава да је правилно подешена за ваш веб сервер.

Ипак, увек имате могућност инсталирањаССЛ сертификат који сте сами купили. Ако то учините, можда бисте желели да започнете са консултацијама са базом знања вашег веб домаћина или отварањем улазнице службе за помоћ. Усмераваће вас ка најбољим упутствима за инсталирање вашег ССЛ сертификата. Такође би требало да се обратите упутствима ЦА-а. Они ће вам дати боље смернице од било којег општег савета који вам овде могу дати.

Такође бисте желели да проверите следећа упутства за инсталирање ССЛ сертификата:

  • Инсталирајте ССЛ цертификат и подесите домен у цПанел
  • Како имплементирати ССЛ у ИИС (Виндовс Сервер)
  • Апацхе ССЛ / ТЛС енкрипција

Сва ова упутства укључују икреирање захтева за потписивање ССЛ сертификата (ЦСР). Заправо ће вам требати ЦСР само да бисте издали ССЛ сертификат. Опет, ваш веб домаћин вам може помоћи у томе. Да бисте сазнали више о ДИИ информацијама о креирању ЦСР-а, погледајте ово писање од ДигиЦерт-а.

За и против ХТТПС-а

Већ смо чврсто утврдили предностиХТТПС: сигурност, сигурност, сигурност. То не само да умањује ризик од кршења података, већ вам улива поверење и додаје репутацију вашој веб локацији. Симпатични купци се можда чак и не труде да се пријаве ако на „страници за пријаву“ виде „хттп: //“.

Постоје, међутим, неке контра ХТТПС-а. С обзиром на потребу ХТТПС-а за одређене типове веб локација, има смисла размишљати о њима као о „контраидеје “, а не негатив.

  • ХТТПС кошта новац. За почетак, постоје трошкови куповине иобнављање вашег ССЛ сертификата како би се осигурала ваљаност из године у годину. Али постоје и одређени „системски захтеви“ за ХТТПС, као што је наменска ИП адреса или наменски план хостинга, који могу бити скупљи од заједничког хостинг пакета.
  • ХТТПС може успорити одговор сервера. Постоје два питања која се односе на ССЛ / ТЛСможе успорити брзину учитавања странице. Прво, да би први пут почео да комуницира са вашом веб страницом, прегледач корисника мора да прође кроз процес руковања, који се враћа на веб локацију сертификата да верификује сертификат. Ако је веб сервер ЦА спор, онда ће доћи до кашњења у учитавању ваше странице. Ово је углавном ван ваше контроле. Друго, ХТТПС користи шифровање, за шта је потребна већа моћ обраде. Ово се може решити оптимизацијом вашег садржаја за пропусност и надоградњом хардвера на вашем серверу. ЦлоудФаре има добар блог о томе како и зашто ССЛ може успорити вашу веб страницу.
  • ХТТПС може утицати на СЕО напоре Када прелазите са ХТТП-а на ХТТПС; ти сипрелазак на нову веб локацију. На пример, хттпс://ввв.гроовипост.цом не би био исти као хттп://ввв.гроовипост.цом. Важно је осигурати да сте преусмерили старе везе и написали одговарајућа правила под капом вашег сервера да не бисте изгубили драгоцени сок за везу.
  • Мешовити садржај може бацити жуту заставу. За неке прегледаче, ако имате главни деоВеб страница учитана са ХТТПС-а, али слике и други елементи (као што су таблице стилова или скрипте) учитани са ХТТП УРЛ-а, тада се може појавити скочна опомена која упозорава да страница укључује не-безбедан садржај. Наравно, имати неки сигуран садржај је бољи од тога да га нема, иако овај не доводи до скочног прозора. Али ипак, можда би било корисно осигурати да на вашим страницама немате ниједан „мешовити садржај“.
  • Понекад је лакше набавити процесор плаћања другог произвођача. Нема срамоте ако пустите Гоогле Цхецкоут,Паипал или Цхецкоут од стране Амазона управљају вашим плаћањима. Ако се све горе наведено чини да се превише свађа, можете дозволити клијентима да размењују податке о плаћању на сигурној веб локацији Паипала или Гоогле-овој безбедној локацији и тако да себи сачувају проблеме.

Имате ли још питања или коментара о ХТТПС и ССЛ / ТЛС сертификатима? Дајте ми да то чујем у коментарима.

0

Слични чланци

Цибер Стреет вам помаже да заштитите свој кућни или пословни рачунар
Коментара

Цибер Стреет вам помаже да задржите дом или посао ..

Гмаил креће потпуни приступ ХТТПС-у [гроовиНевс]
Вести

Гмаил креће потпуни приступ ХТТПС-у [гроовиНевс] ..

Како да креирате безбедан ПИН продавнице Року канала
Како да

Како да креирате безбедан ПИН продавнице Року канала ..

Како креирати јаку лозинку коју се можете сјетити
Како да

Како креирати јаку лозинку коју се можете сјетити ..

Сигурносно упозорење: ДигиНотар издаје лажни Гоогле.цом сертификат - упутства како се заштитити
Како да

Сигурносно упозорење: ДигиНотар Иссуес Лажни Гоогле.цом ..

Како шифрирати појединачне датотеке и мапе у оперативном систему Виндовс 10
Како да

Како шифровати појединачне датотеке и мапе у Виндовс-у ..

Како управљати лозинкама помоћу Едге Бровсер-а у оперативном систему Виндовс 10
Како да

Како управљати лозинкама помоћу Едге Бровсер-а у оперативном систему Виндовс 10 ..

Учините ваш веб сајт да се протресе Харлем
Како да

Учините ваш веб сајт да се тресе Харлем ..

Немојте бити Веинер - Осигурајте свој Твиттер налог!
Како да

Немојте бити Веинер - Осигурајте свој Твиттер ..

Како израдити сигурносну копију цертификата о приватном кључу ЕФС-а
Како да

Како направити сигурносну копију цертификата о приватном кључу ЕФС-а ..

Оставите коментар