HTTPS และใบรับรอง SSL: ทำให้เว็บไซต์ของคุณปลอดภัย (และทำไมคุณควร)

ไม่ว่าธุรกิจหรือบริการออนไลน์ของคุณจะเป็นประเภทใดคุณต้องมั่นใจว่าข้อมูลส่วนตัวปลอดภัยด้วย HTTPS และใบรับรอง SSL นี่คือคู่มือฉบับสมบูรณ์ของเรา

เมื่อมันมาถึงการส่งข้อมูลส่วนบุคคลผ่านทางอินเทอร์เน็ตไม่ว่าจะเป็นข้อมูลการติดต่อข้อมูลการเข้าสู่ระบบข้อมูลบัญชีข้อมูลสถานที่หรือสิ่งอื่นใดที่อาจถูกใช้ในทางที่ผิดสาธารณะเป็นที่หวาดระแวงและแฮกเกอร์และขโมยข้อมูลประจำตัวที่มีขนาดใหญ่ และถูกต้องดังนั้น ความกลัวว่าข้อมูลของคุณอาจถูกขโมยดัดแปลงหรือยักยอกอยู่ห่างจากเหตุผล หัวข้อเกี่ยวกับการรั่วไหลและการละเมิดความปลอดภัยในช่วงไม่กี่ทศวรรษที่ผ่านมาพิสูจน์ให้เห็น แต่ถึงแม้จะมีความกลัวนี้ผู้คนยังคงเข้าสู่ระบบเพื่อทำธุรกรรมทางธนาคารช็อปปิ้งจดบันทึกการออกเดทการเข้าสังคมและธุรกิจส่วนตัวและอาชีพอื่น ๆ บนเว็บ และมีสิ่งหนึ่งที่ทำให้พวกเขามีความมั่นใจในการทำสิ่งนี้ ฉันจะแสดงให้คุณ:

แม้ว่าจะไม่ใช่ทุกคนที่เข้าใจวิธีการทำงานกุญแจเล็ก ๆ ในแถบที่อยู่ส่งสัญญาณไปยังผู้ใช้เว็บว่าพวกเขามีการเชื่อมต่อที่เชื่อถือได้กับเว็บไซต์ที่ถูกกฎหมาย หากผู้เข้าชมไม่เห็นสิ่งนั้นในแถบที่อยู่เมื่อพวกเขาดึงเว็บไซต์ของคุณขึ้นมาคุณจะไม่ได้รับธุรกิจของพวกเขา

เพื่อให้ได้กุญแจเล็ก ๆ ของแถบที่อยู่สำหรับเว็บไซต์ของคุณคุณต้องมีใบรับรอง SSL คุณจะได้รับได้อย่างไร อ่านต่อไปเพื่อหาข้อมูล.

หัวข้อบทความ:

SSL / TLS คืออะไร
วิธีใช้ HTTPS
ใบรับรอง SSL คืออะไรและฉันจะรับได้อย่างไร
คู่มือการซื้อใบรับรอง SSL
- ผู้ออกใบรับรอง
- การตรวจสอบความถูกต้องของโดเมนกับการตรวจสอบเพิ่มเติม
- SSL ที่ใช้ร่วมกันกับ SSL ส่วนตัว
- เชื่อถือผนึก
- ใบรับรอง SSL แบบ Wildcard
- การรับประกัน
- ฟรีใบรับรอง SSL และใบรับรอง SSL ที่ลงชื่อด้วยตนเอง
ติดตั้งใบรับรอง SSL
HTTPS ข้อดีและข้อเสีย

SSL / TLS คืออะไร

บนเว็บข้อมูลจะถูกถ่ายโอนโดยใช้ Hypertext Transfer Protocol นั่นเป็นสาเหตุที่ URL ของหน้าเว็บทั้งหมดมี“ http: //” หรือ“ https: //” ต่อหน้าพวกเขา

http และ https ต่างกันอย่างไร S น้อยพิเศษนั้นมีความหมายใหญ่: ความปลอดภัย

ให้ฉันอธิบาย

HTTP คือ "ภาษา" ที่คอมพิวเตอร์ของคุณและเซิร์ฟเวอร์ใช้เพื่อพูดคุยกัน ภาษานี้เข้าใจในระดับสากลซึ่งสะดวก แต่ก็มีข้อเสียเช่นกัน เมื่อข้อมูลถูกส่งระหว่างคุณและเซิร์ฟเวอร์ผ่านทางอินเทอร์เน็ตมันจะหยุดพักระหว่างทางก่อนถึงปลายทางสุดท้าย สิ่งนี้ทำให้เกิดความเสี่ยงใหญ่สามประการ:

ใครบางคนอาจ ดักฟัง ในการสนทนาของคุณ (คล้ายกับดักฟังโทรศัพท์แบบดิจิทัล)
ใครบางคนอาจ impersonate ฝ่ายหนึ่งฝ่ายใดฝ่ายหนึ่งหรือทั้งสองฝ่าย
ใครบางคนอาจ การงัดแงะ กับข้อความที่ถูกถ่ายโอน

แฮกเกอร์และกระตุกใช้การรวมกันของด้านบนสำหรับการหลอกลวงและขโมยจำนวนมากรวมถึงเพลตฟิชชิ่งการโจมตีแบบคนกลางและการโฆษณาแบบเก่าที่ดี การโจมตีที่เป็นอันตรายอาจทำได้ง่ายเพียงแค่ดมกลิ่นข้อมูลรับรอง Facebook โดยการดักคุกกี้ที่ไม่ได้เข้ารหัส (กำลังดักข้อมูล) หรืออาจซับซ้อนกว่านี้ ตัวอย่างเช่นคุณอาจคิดว่าคุณกำลังบอกธนาคารของคุณ:“ กรุณาโอนเงิน $ 100 ให้กับ ISP ของฉัน” แต่บางคนที่อยู่ตรงกลางสามารถแก้ไขข้อความให้อ่านได้:“ กรุณาโอนเงิน $ 100 เงินทั้งหมดของฉัน ไปยัง ISP ของฉัน เพ็กกี้ในไซบีเรีย” (การดัดแปลงข้อมูลและการแอบอ้างบุคคลอื่น)

นั่นคือปัญหาของ HTTP เพื่อแก้ปัญหาเหล่านี้ HTTP สามารถแบ่งเป็นชั้น ๆ ได้ด้วยโปรโตคอลความปลอดภัยส่งผลให้ HTTP Secure (HTTPS) โดยทั่วไปแล้ว S ใน HTTPS นั้นจัดทำโดยโปรโตคอล Secure Sockets Layer (SSL) หรือโปรโตคอล Transport Layer Security (TLS) ที่ใหม่กว่า เมื่อปรับใช้แล้ว HTTPS จะเสนอแบบสองทิศทาง การเข้ารหัส (เพื่อป้องกันการแอบฟัง) เซิร์ฟเวอร์ การรับรอง (เพื่อป้องกันการแอบอ้างบุคคลอื่น) และ การตรวจสอบข้อความ (เพื่อป้องกันการแก้ไขข้อมูล)

วิธีใช้ HTTPS

เช่นเดียวกับภาษาพูด HTTPS ใช้งานได้เฉพาะเมื่อทั้งสองฝ่ายเลือกที่จะพูด ในฝั่งไคลเอ็นต์ตัวเลือกในการใช้ HTTPS สามารถทำได้โดยพิมพ์“ https” ลงในแถบที่อยู่ของเบราว์เซอร์หน้า URL (เช่นแทนที่จะพิมพ์ http://www.facebook.com ให้พิมพ์ https: // www facebook.com) หรือโดยการติดตั้งส่วนขยายที่บังคับ HTTPS โดยอัตโนมัติเช่น HTTPS Everywhere สำหรับ Firefox และ Chrome เมื่อเว็บเบราว์เซอร์ของคุณใช้ HTTPS คุณจะเห็นไอคอนรูปแม่กุญแจแถบสีเขียวของเบราว์เซอร์ยกนิ้วให้หรือแสดงความมั่นใจอื่น ๆ ว่าการเชื่อมต่อของคุณกับเซิร์ฟเวอร์นั้นปลอดภัย

อย่างไรก็ตามหากต้องการใช้ HTTPS เว็บเซิร์ฟเวอร์ต้องสนับสนุนมัน หากคุณเป็นเว็บมาสเตอร์และคุณต้องการเสนอ HTTPS ให้กับผู้เข้าชมเว็บไซต์ของคุณคุณจะต้องใช้ใบรับรอง SSL หรือใบรับรอง TLS คุณจะรับใบรับรอง SSL หรือ TLS ได้อย่างไร อ่านต่อไป

อ่านเพิ่มเติม: แอปพลิเคชันเว็บยอดนิยมบางรายการให้คุณเลือก HTTPS ในการตั้งค่าผู้ใช้ของคุณ อ่านบทความของเราบน Facebook, Gmail และ Twitter

ใบรับรอง SSL คืออะไรและฉันจะรับได้อย่างไร

ในการใช้ HTTPS เว็บเซิร์ฟเวอร์ของคุณต้องมีติดตั้งใบรับรอง SSL หรือใบรับรอง TLS ใบรับรอง SSL / TLS นั้นเหมือนกับรหัสรูปถ่ายสำหรับเว็บไซต์ของคุณ เมื่อเบราว์เซอร์ที่ใช้ HTTPS เข้าถึงหน้าเว็บของคุณจะทำการ "จับมือกัน" ซึ่งคอมพิวเตอร์ไคลเอนต์จะขอใบรับรอง SSL ใบรับรอง SSL นั้นได้รับการตรวจสอบความถูกต้องโดยผู้ออกใบรับรองที่เชื่อถือได้ (CA) ซึ่งตรวจสอบว่าเซิร์ฟเวอร์นั้นเป็นใคร หากทุกอย่างเช็คเอาท์ผู้เข้าชมเว็บของคุณจะได้รับเครื่องหมายถูกสีเขียวหรือไอคอนล็อค หากมีสิ่งผิดปกติเกิดขึ้นพวกเขาจะได้รับคำเตือนจากเว็บเบราว์เซอร์โดยระบุว่าไม่สามารถยืนยันตัวตนของเซิร์ฟเวอร์ได้

เลือกซื้อใบรับรอง SSL

เมื่อพูดถึงการติดตั้งใบรับรอง SSL บนเว็บไซต์ของคุณมีพารามิเตอร์มากมายให้เลือก มาดูสิ่งสำคัญที่สุด:

ผู้ออกใบรับรอง

ผู้ออกใบรับรอง (CA) เป็น บริษัทที่ออกใบรับรอง SSL ของคุณและเป็นหนึ่งที่จะตรวจสอบใบรับรองของคุณทุกครั้งที่ผู้เข้าชมมาถึงเว็บไซต์ของคุณ ในขณะที่ผู้ให้บริการใบรับรอง SSL แต่ละรายจะแข่งขันด้านราคาและฟีเจอร์สิ่งสำคัญอันดับหนึ่งที่ควรพิจารณาเมื่อตรวจสอบหน่วยงานออกใบรับรองว่าพวกเขามีใบรับรองที่ติดตั้งมาล่วงหน้าบนเว็บเบราว์เซอร์ยอดนิยมหรือไม่ หากหน่วยงานออกใบรับรองที่ออกใบรับรอง SSL ของคุณไม่อยู่ในรายชื่อนั้นผู้ใช้จะได้รับแจ้งพร้อมคำเตือนว่าใบรับรองความปลอดภัยของเว็บไซต์ไม่น่าเชื่อถือ แน่นอนนี่ไม่ได้หมายความว่าเว็บไซต์ของคุณไม่ถูกกฎหมาย แต่หมายถึง CA ของคุณไม่อยู่ในรายการ (ยัง) ปัญหานี้เป็นปัญหาเนื่องจากผู้ใช้ส่วนใหญ่จะไม่อ่านคำเตือนหรือค้นคว้า CA ที่ไม่รู้จัก พวกเขาอาจจะคลิกไป

โชคดีที่รายการ CA ที่ติดตั้งไว้ล่วงหน้าในเบราว์เซอร์ที่สำคัญมีขนาดค่อนข้างใหญ่ มันมีชื่อแบรนด์ใหญ่ ๆ รวมถึง CA ที่รู้จักน้อยกว่าและราคาไม่แพงมาก ชื่อครัวเรือน ได้แก่ Verisign, Go Daddy, Comodo, Thawte, Geotrust และ Entrust

นอกจากนี้คุณยังสามารถดูการตั้งค่าเบราว์เซอร์ของคุณเองเพื่อดูว่าผู้ให้บริการออกใบรับรองใดติดตั้งมาล่วงหน้า

สำหรับ Chrome ไปที่การตั้งค่า -> แสดงการตั้งค่าขั้นสูง ... -> จัดการใบรับรอง
สำหรับ Firefox ให้ทำตัวเลือก -> ขั้นสูง -> ดูใบรับรอง
สำหรับ IE ตัวเลือกอินเทอร์เน็ต -> เนื้อหา -> ใบรับรอง
สำหรับ Safari ไปที่ Finder และเลือก Go -> Utilities -> KeyChain Access และคลิก System

สำหรับการอ้างอิงอย่างรวดเร็วให้ตรวจสอบกระทู้นี้ซึ่งแสดงรายการใบรับรอง SSL ที่ยอมรับได้สำหรับ Google Checkout

การตรวจสอบความถูกต้องของโดเมนกับการตรวจสอบเพิ่มเติม

	เวลาออกโดยทั่วไป	ราคา	แถบที่อยู่
การตรวจสอบโดเมน	เกือบจะทันที	ต่ำ	HTTPS ปกติ (ไอคอนรูปกุญแจ)
การตรวจสอบองค์กร	ไม่กี่วัน	ปานกลาง	HTTPS ปกติ (ไอคอนรูปกุญแจ)
การตรวจสอบเพิ่มเติม	หนึ่งสัปดาห์ขึ้นไป	สูง	แถบที่อยู่สีเขียวข้อมูลการตรวจสอบ ID บริษัท

</ strong></ p>
ใบรับรอง SSL มีไว้เพื่อพิสูจน์ตัวตนของเว็บไซต์ที่คุณส่งข้อมูลไป เพื่อให้แน่ใจว่าผู้คนจะไม่ใช้ใบรับรอง SSL ปลอมสำหรับโดเมนที่พวกเขาไม่สามารถควบคุมได้อย่างถูกต้องหน่วยงานผู้ออกใบรับรองจะตรวจสอบว่าบุคคลที่ขอใบรับรองนั้นเป็นเจ้าของชื่อโดเมนจริง ๆ โดยทั่วไปสิ่งนี้จะกระทำผ่านการตรวจสอบอีเมลอย่างรวดเร็วหรือการโทรศัพท์เช่นเดียวกับเมื่อเว็บไซต์ส่งอีเมลพร้อมลิงก์ยืนยันบัญชี สิ่งนี้เรียกว่า ตรวจสอบความถูกต้องของโดเมน ใบรับรอง SSL ประโยชน์ของสิ่งนี้คืออนุญาตให้ออกใบรับรอง SSL เกือบจะในทันที คุณอาจจะสามารถไปรับโดเมน SSL ที่ผ่านการตรวจสอบความถูกต้องในเวลาที่น้อยกว่าที่คุณอ่านโพสต์บล็อกนี้ ด้วยใบรับรอง SSL ที่ตรวจสอบความถูกต้องของโดเมนคุณจะได้รับกุญแจและความสามารถในการเข้ารหัสปริมาณการใช้งานเว็บไซต์ของคุณ
ข้อดีของการตรวจสอบความถูกต้องของโดเมน SSLใบรับรองคือพวกเขารวดเร็วง่ายและถูกรับ นี่คือข้อเสียของพวกเขา อย่างที่คุณสามารถจินตนาการได้มันง่ายกว่าที่จะประคองระบบอัตโนมัติมากกว่าการดำเนินการโดยมนุษย์คนหนึ่ง มันเหมือนกับว่าเด็กมัธยมปลายบางคนเดินเข้ามาใน DMV โดยบอกว่าเขาเป็นบารักโอบามาและต้องการรับบัตรประจำตัวที่ออกโดยรัฐบาล คนที่อยู่บนโต๊ะจะมองดูเขาแล้วโทรหา Feds (หรือถังขยะ) แต่ถ้ามันเป็นหุ่นยนต์ที่ทำงานตู้ถ่ายรูป ID เขาอาจมีโชค ในทำนองเดียวกันฟิชเชอร์สามารถรับ“ รหัสปลอม” สำหรับเว็บไซต์เช่น Paypal, Amazon หรือ Facebook โดยหลอกระบบตรวจสอบโดเมน ในปี 2009 Dan Kaminsky เผยแพร่ตัวอย่างของวิธีการหลอกลวง CA เพื่อรับใบรับรองที่จะทำให้เว็บไซต์ฟิชชิ่งดูเหมือนว่าเป็นการเชื่อมต่อที่ปลอดภัยและถูกกฎหมาย สำหรับมนุษย์การหลอกลวงนี้จะง่ายต่อการตรวจจับ แต่การตรวจสอบโดเมนอัตโนมัติในเวลานั้นขาดการตรวจสอบที่จำเป็นเพื่อป้องกันบางสิ่งเช่นนี้
เพื่อตอบสนองต่อช่องโหว่ของ SSL และใบรับรอง SSL ที่ตรวจสอบความถูกต้องของโดเมนอุตสาหกรรมจึงได้เปิดตัว การตรวจสอบเพิ่มเติม ใบรับรอง ในการรับใบรับรอง EV SSL บริษัท หรือองค์กรของคุณต้องผ่านการตรวจสอบอย่างเข้มงวดเพื่อให้แน่ใจว่าอยู่ในสถานะที่ดีกับรัฐบาลของคุณและควบคุมโดเมนที่คุณสมัครอย่างถูกต้อง การตรวจสอบเหล่านี้ต้องการองค์ประกอบของมนุษย์และใช้เวลานานกว่าและมีราคาแพงกว่า
ในบางอุตสาหกรรมจำเป็นต้องใช้ใบรับรอง EV แต่สำหรับคนอื่น ๆ ผลประโยชน์จะไปเท่าที่ผู้เข้าชมของคุณจะรับรู้ สำหรับผู้เข้าชมเว็บทุกวันความแตกต่างนั้นลึกซึ้ง นอกจากไอคอนรูปแม่กุญแจแถบที่อยู่จะเปลี่ยนเป็นสีเขียวและแสดงชื่อ บริษัท ของคุณ หากคุณคลิกเพื่อดูข้อมูลเพิ่มเติมคุณจะเห็นว่าตัวตนของ บริษัท ได้รับการยืนยันแล้วไม่ใช่เฉพาะเว็บไซต์
นี่คือตัวอย่างของไซต์ HTTPS ปกติ:
และนี่คือตัวอย่างของไซต์ HTTPS ใบรับรอง EV:
ใบรับรอง EV ขึ้นอยู่กับอุตสาหกรรมของคุณอาจไม่คุ้มค่า นอกจากนี้คุณต้องเป็นธุรกิจหรือองค์กรเพื่อรับสิทธิ์ แม้ว่า บริษัท ใหญ่ ๆ จะมีแนวโน้มที่จะได้รับการรับรอง EV แต่คุณจะสังเกตได้ว่าไซต์ HTTPS ส่วนใหญ่ยังคงมีรสชาติที่ไม่ใช่ EV อยู่ หากดีพอสำหรับ Google, Facebook และ Dropbox อาจเป็นการดีสำหรับคุณ
อีกสิ่งหนึ่ง: มีตัวเลือกกลางถนนที่เรียกว่า ตรวจสอบองค์กรแล้ว หรือ ตรวจสอบธุรกิจแล้ว ได้รับการรับรอง นี่เป็นการตรวจที่ละเอียดกว่าการตรวจสอบความถูกต้องของโดเมนโดยอัตโนมัติ แต่จะไม่ดำเนินการเท่าที่เป็นไปตามข้อบังคับของอุตสาหกรรมสำหรับใบรับรองการตรวจสอบความถูกต้องเพิ่มเติม (สังเกตว่าการตรวจสอบความถูกต้องแบบขยายนั้น การรับรอง OV หรือธุรกิจที่ตรวจสอบแล้วมีค่าใช้จ่ายมากขึ้นและใช้เวลานานขึ้น แต่จะไม่ให้แถบที่อยู่สีเขียวและข้อมูลยืนยันตัวตนของ บริษัท ตรงไปตรงมาฉันไม่สามารถคิดเหตุผลที่จะจ่ายค่าใบรับรอง OV หากคุณคิดได้โปรดบอกฉันด้วยความเห็น
SSL ที่ใช้ร่วมกันกับ SSL ส่วนตัว
โฮสต์เว็บบางแห่งเสนอบริการ SSL ที่ใช้ร่วมกันซึ่งมักจะแพงกว่า SSL ส่วนตัว นอกจากราคาแล้วข้อดีของ SSL ที่ใช้ร่วมกันก็คือคุณไม่จำเป็นต้องได้รับที่อยู่ IP ส่วนตัวหรือโฮสต์เฉพาะ ข้อเสียคือคุณจะไม่ใช้ชื่อโดเมนของคุณเอง ส่วนที่ปลอดภัยของเว็บไซต์ของคุณจะเป็นดังนี้:
https://www.hostgator.com/~yourdomain/secure.php
ตรงกันข้ามกับที่อยู่ SSL ส่วนตัว:
https://www.yourdomain.com/secure.php
สำหรับไซต์สาธารณะเช่นไซต์อีคอมเมิร์ซและไซต์เครือข่ายสังคมนี้เห็นได้ชัดว่าเป็นการลากเนื่องจากดูเหมือนว่าคุณถูกเปลี่ยนเส้นทางจากไซต์หลัก แต่สำหรับพื้นที่ที่ไม่ได้รับการเปิดเผยโดยบุคคลทั่วไปเช่นอวัยวะภายในของระบบจดหมายหรือพื้นที่ผู้ดูแลระบบดังนั้น SSL ที่ใช้ร่วมกันอาจเป็นข้อตกลงที่ดี
เชื่อถือผนึก
ผู้ออกใบรับรองหลายแห่งให้คุณประทับตราความน่าเชื่อถือบนหน้าเว็บของคุณหลังจากที่คุณลงทะเบียนสำหรับหนึ่งในใบรับรองของพวกเขา นี่จะให้ข้อมูลแบบเดียวกับการคลิกปุ่มล็อคในหน้าต่างเบราว์เซอร์ แต่จะมองเห็นได้ชัดเจนขึ้น ไม่จำเป็นต้องรวมถึงการประทับตราความน่าเชื่อถือและไม่ขยายความปลอดภัยของคุณ แต่ถ้ามันทำให้ผู้เยี่ยมชมของคุณรู้ว่าใครเป็นคนออกใบรับรอง SSL โดยไม่รู้ตัวให้ทิ้งมันไว้ที่นั่น
ใบรับรอง SSL แบบ Wildcard
ใบรับรอง SSL ตรวจสอบตัวตนของหนึ่งโดเมน. ดังนั้นหากคุณต้องการมี HTTPS ในหลาย subdomaings เช่น groovypost.com, mail.groovypost.com และ answer.groovypost.com คุณจะต้องซื้อใบรับรอง SSL ที่ต่างกันสามใบ เมื่อถึงจุดหนึ่งใบรับรองไวด์การ์ด SSL จะประหยัดมากขึ้น นั่นคือใบรับรองหนึ่งใบจะครอบคลุมหนึ่งโดเมนและโดเมนย่อยทั้งหมดเช่น * .groovypost.com
การรับประกัน
ไม่ว่า บริษัท จะดีแค่ไหนชื่อเสียงคือมีช่องโหว่ แม้แต่ CA ที่ไว้ใจได้ก็สามารถถูกแฮ็คเป้าหมายได้จากหลักฐานการละเมิดที่ VeriSign ที่ไม่ได้รับการรายงานกลับในปี 2010 นอกจากนี้สถานะของ CA ในรายการที่เชื่อถือได้สามารถถูกเพิกถอนได้อย่างรวดเร็วดังที่เราเห็นด้วย DigiNotar snafu .
เพื่อระงับความไม่สบายใจใด ๆ ที่มีต่อศักยภาพการกระทำที่สุ่มของ SSL debauchery ขณะนี้ CA หลายแห่งเสนอการรับประกัน ความคุ้มครองครอบคลุมตั้งแต่สองสามพันดอลลาร์ไปจนถึงกว่าหนึ่งล้านดอลลาร์และรวมถึงการสูญเสียที่เกิดจากการใช้ใบรับรองของคุณในทางที่ผิดหรืออุบัติเหตุอื่น ๆ ฉันไม่รู้ว่าการรับประกันเหล่านี้เพิ่มมูลค่าจริงหรือไม่หรือถ้าใครเคยชนะการเรียกร้องได้สำเร็จ แต่พวกเขาอยู่ที่นั่นเพื่อการพิจารณาของคุณ
ฟรีใบรับรอง SSL และใบรับรอง SSL ที่ลงชื่อด้วยตนเอง
มีใบรับรอง SSL ฟรีสองชนิดใช้ได้ ลงนามด้วยตนเองใช้เป็นหลักสำหรับการทดสอบส่วนตัวและสาธารณะเต็มเป่าออกใบรับรอง SSL ที่ออกโดยหน่วยงานรับรองที่ถูกต้อง ข่าวดีก็คือในปี 2018 มีตัวเลือกน้อยเพื่อรับฟรี 100% SSL 90 วันที่ถูกต้องใบรับรองจากทั้ง SSL สำหรับฟรีหรือเข้ารหัสของ Let 's SSL for Free นั้นเป็น GUI สำหรับ Let’s Encrypt API เป็นหลัก ข้อได้เปรียบของเว็บไซต์ SSL for Free นั้นใช้ง่ายเพราะมี GUI ที่ดี อย่างไรก็ตาม Let 's Encrypt นั้นดีเพราะคุณสามารถร้องขอ SSL certs จากพวกเขาโดยอัตโนมัติได้ เหมาะอย่างยิ่งหากคุณต้องการใบรับรอง SSL สำหรับเว็บไซต์ / เซิร์ฟเวอร์หลายแห่ง
ใบรับรอง SSL ที่ลงชื่อด้วยตนเองนั้นฟรีตลอดไป ด้วยใบรับรองที่ลงนามเองคุณคือ CA ของคุณเอง อย่างไรก็ตามเนื่องจากคุณไม่ได้อยู่ในกลุ่ม CA ที่เชื่อถือได้ซึ่งมีอยู่ในเว็บเบราว์เซอร์ผู้เยี่ยมชมจะได้รับคำเตือนว่าระบบปฏิบัติการไม่ได้รับอนุญาต ดังนั้นจึงไม่มีความมั่นใจว่าคุณคือคนที่คุณพูดว่าคุณ (มันคล้ายกับการออกบัตรประจำตัวรูปถ่ายและพยายามส่งต่อที่ร้านขายเหล้า) อย่างไรก็ตามประโยชน์ของใบรับรอง SSL ที่ลงชื่อด้วยตนเองคือสามารถเปิดใช้งานการเข้ารหัสสำหรับปริมาณการใช้งานเว็บ อาจเป็นการดีสำหรับการใช้งานภายในซึ่งคุณสามารถให้พนักงานของคุณเพิ่มองค์กรของคุณเป็น CA ที่เชื่อถือได้เพื่อกำจัดข้อความเตือนและทำงานบนการเชื่อมต่อที่ปลอดภัยผ่านอินเทอร์เน็ต
สำหรับคำแนะนำในการตั้งค่าใบรับรอง SSL ที่ลงชื่อด้วยตนเองตรวจสอบเอกสารประกอบสำหรับ OpenSSL (หรือหากมีความต้องการเพียงพอฉันจะเขียนบทแนะนำ)
ติดตั้งใบรับรอง SSL
เมื่อคุณซื้อใบรับรอง SSL แล้วจำเป็นต้องติดตั้งบนเว็บไซต์ของคุณ เว็บโฮสต์ที่ดีจะเสนอให้คุณทำเช่นนี้ บางคนอาจไปไกลถึงซื้อให้คุณ บ่อยครั้งนี่เป็นวิธีที่ดีที่สุดในการไปเพราะมันทำให้การเรียกเก็บเงินง่ายขึ้นและทำให้แน่ใจได้ว่ามีการตั้งค่าอย่างถูกต้องสำหรับเว็บเซิร์ฟเวอร์ของคุณ
ยังคุณมีตัวเลือกในการติดตั้งใบรับรอง SSL ที่คุณซื้อด้วยตัวคุณเอง หากคุณทำเช่นนั้นคุณอาจต้องการเริ่มปรึกษาฐานความรู้ของโฮสต์เว็บของคุณหรือเปิดตั๋วฝ่ายช่วยเหลือ พวกเขาจะแนะนำคุณไปยังคำแนะนำที่ดีที่สุดสำหรับการติดตั้งใบรับรอง SSL ของคุณ คุณควรศึกษาคำแนะนำจาก CA สิ่งเหล่านี้จะให้คำแนะนำที่ดีกว่าคำแนะนำทั่วไปที่ฉันสามารถให้คุณได้ที่นี่
คุณอาจต้องการตรวจสอบคำแนะนำต่อไปนี้สำหรับการติดตั้งใบรับรอง SSL:
ติดตั้งใบรับรอง SSL และตั้งค่าโดเมนใน cPanel
วิธีใช้ SSL ใน IIS (Windows Server)
การเข้ารหัส Apache SSL / TLS
คำแนะนำทั้งหมดเหล่านี้จะเกี่ยวข้องกับการสร้างคำขอลงนามใบรับรอง SSL (CSR) ในความเป็นจริงคุณจะต้องมี CSR เพียงเพื่อออกใบรับรอง SSL อีกครั้งที่เว็บโฮสต์ของคุณสามารถช่วยคุณได้ สำหรับข้อมูล DIY ที่เฉพาะเจาะจงมากขึ้นในการสร้าง CSR ให้ดูบทความนี้จาก DigiCert
ข้อดีข้อเสียของ HTTPS
เราได้สร้างข้อดีของHTTPS: ความปลอดภัยความปลอดภัยความปลอดภัย สิ่งนี้นอกจากจะช่วยลดความเสี่ยงของการละเมิดข้อมูลแล้วยังช่วยเพิ่มความน่าเชื่อถือและเพิ่มความน่าเชื่อถือให้กับเว็บไซต์ของคุณ ลูกค้าที่มีความชำนาญอาจไม่สนใจสมัครใช้งานหากพวกเขาเห็น“ http: //” ในหน้าเข้าสู่ระบบ
อย่างไรก็ตามมีข้อเสียบางอย่างกับ HTTPS เมื่อพิจารณาถึงความจำเป็นของ HTTPS สำหรับเว็บไซต์บางประเภทมันสมเหตุสมผลมากกว่าที่จะคิดว่าเป็น "ข้อเสียปรากฏการณ์” มากกว่าเชิงลบ
HTTPS มีค่าใช้จ่ายเงิน. สำหรับผู้เริ่มมีค่าใช้จ่ายในการซื้อและต่ออายุใบรับรอง SSL ของคุณเพื่อให้แน่ใจว่าถูกต้องทุกปี แต่ยังมี“ ข้อกำหนดของระบบ” บางอย่างสำหรับ HTTPS เช่นที่อยู่ IP เฉพาะหรือแผนการโฮสต์เฉพาะซึ่งอาจมีราคาสูงกว่าแพ็คเกจโฮสติ้งที่ใช้ร่วมกัน
HTTPS อาจทำให้เซิร์ฟเวอร์ตอบสนองช้าลง มีสองประเด็นที่เกี่ยวข้องกับ SSL / TLSอาจทำให้ความเร็วในการโหลดหน้าเว็บของคุณช้าลง ขั้นแรกเพื่อเริ่มการสื่อสารกับเว็บไซต์ของคุณเป็นครั้งแรกเบราว์เซอร์ของผู้ใช้จะต้องผ่านกระบวนการจับมือซึ่งตีกลับไปที่เว็บไซต์ของหน่วยงานผู้ออกใบรับรองเพื่อตรวจสอบใบรับรอง หากเว็บเซิร์ฟเวอร์ของ CA กำลังซบเซาจะมีความล่าช้าในการโหลดหน้าเว็บของคุณ นี่เป็นสิ่งที่อยู่นอกเหนือการควบคุมของคุณ ประการที่สอง HTTPS ใช้การเข้ารหัสซึ่งต้องการพลังการประมวลผลมากขึ้น สิ่งนี้สามารถแก้ไขได้โดยปรับเนื้อหาของคุณให้เหมาะกับแบนด์วิดท์และอัพเกรดฮาร์ดแวร์บนเซิร์ฟเวอร์ของคุณ CloudFare มีบล็อกโพสต์ที่ดีเกี่ยวกับวิธีและเหตุผลที่ SSL อาจทำให้เว็บไซต์ของคุณช้าลง
HTTPS อาจส่งผลต่อความพยายาม SEO เมื่อคุณเปลี่ยนจาก HTTP เป็น HTTPS คุณคือย้ายไปที่เว็บไซต์ใหม่ ตัวอย่างเช่น https://www.groovypost.com จะไม่เหมือนกับ http://www.groovypost.com สิ่งสำคัญคือต้องแน่ใจว่าคุณได้เปลี่ยนเส้นทางลิงก์เก่าของคุณและเขียนกฎที่เหมาะสมภายใต้ฮูดของเซิร์ฟเวอร์ของคุณเพื่อหลีกเลี่ยงการสูญเสียน้ำลิงค์อันมีค่าใด ๆ
เนื้อหาแบบผสมสามารถขว้างธงสีเหลืองได้. สำหรับเบราว์เซอร์บางตัวถ้าคุณมีส่วนหลักหน้าเว็บโหลดจาก HTTPS แต่ภาพและองค์ประกอบอื่น ๆ (เช่นสไตล์ชีตหรือสคริปต์) โหลดจาก URL HTTP จากนั้นป๊อปอัปอาจปรากฏเตือนว่าหน้านั้นมีเนื้อหาที่ไม่ปลอดภัย แน่นอนว่ามี บาง เนื้อหาที่ปลอดภัยดีกว่าการไม่มีเลยแม้ว่าเนื้อหาจะไม่ส่งผลให้ป๊อปอัป แต่ก็อาจคุ้มค่าที่จะตรวจสอบให้แน่ใจว่าคุณไม่มี "เนื้อหาผสม" ในหน้าเว็บของคุณ
บางครั้งการประมวลผลการชำระเงินของบุคคลที่สามง่ายกว่า. ไม่มีความละอายในการปล่อยให้ Google CheckoutPaypal หรือ Checkout โดย Amazon จัดการการชำระเงินของคุณ หากสิ่งที่กล่าวมาข้างต้นดูเหมือนจะทะเลาะกันมากเกินไปคุณสามารถให้ลูกค้าแลกเปลี่ยนข้อมูลการชำระเงินในเว็บไซต์ที่ปลอดภัยของ Paypal หรือเว็บไซต์ที่ปลอดภัยของ Google และช่วยตัวคุณเองให้เดือดร้อน
มีคำถามหรือความคิดเห็นอื่น ๆ เกี่ยวกับใบรับรอง HTTPS และ SSL / TLS หรือไม่ ให้ฉันได้ยินในความคิดเห็น