Sijil HTTPS dan SSL: Jadikan Laman Web Anda Selamat (dan Mengapa Anda Perlu)

Apabila datang untuk menghantar maklumat peribadi melalui Internet—sama ada maklumat hubungan, bukti kelayakan log masuk, maklumat akaun, maklumat lokasi atau apa-apa lagi yang mungkin disalahgunakan—orang awam, secara umumnya, paranoid benar-benar mengenai penggodam dan pencuri identiti. Dan memang betul. Ketakutan bahawa maklumat anda mungkin dicuri, diusik atau disalahgunakan adalah jauh dari tidak rasional. Tajuk berita tentang kebocoran dan pelanggaran keselamatan sejak beberapa dekad lalu membuktikannya. Tetapi di sebalik ketakutan ini, orang ramai terus log masuk untuk melakukan perbankan, membeli-belah, membuat jurnal, dating, bersosial dan perniagaan peribadi dan profesional lain di web. Dan ada satu perkara kecil yang memberi mereka keyakinan untuk melakukan ini. Saya akan tunjukkan kepada anda:

Walaupun tidak semua daripada mereka memahami cara ia berfungsi, gembok kecil dalam bar alamat memberi isyarat kepada pengguna web bahawa mereka mempunyai sambungan yang dipercayai ke tapak web yang sah. Jika pelawat tidak melihatnya dalam bar alamat apabila mereka membuka tapak web anda, anda tidak akan—dan tidak seharusnya—mendapatkan perniagaan mereka.

Untuk mendapatkan padlock bar alamat kecil untuk tapak web anda, anda memerlukan sijil SSL. Bagaimana anda mendapatkan satu? Baca terus untuk mengetahui.

Rangka Artikel:

• Apakah SSL / TLS?
• Bagaimana untuk Menggunakan HTTPS?
• Apakah Sijil SSL dan Bagaimana Saya Mendapatkannya?
• Panduan Beli-belah Sijil SSL
  • Pihak Berkuasa Sijil
  • Pengesahan Domain lwn. Pengesahan Lanjutan
  • SSL Dikongsi lwn. SSL Peribadi
  • Meterai Amanah
  • Sijil SSL Wildcard
  • Waranti
  • Sijil SSL Percuma dan Sijil SSL Ditandatangani Sendiri
• Memasang Sijil SSL
• Kebaikan dan Keburukan HTTPS

Apakah SSL / TLS?

Di web, data dipindahkan menggunakan Protokol Pemindahan Hiperteks. Itulah sebabnya semua URL halaman web mempunyai “http://” atau “http s ://” di hadapannya.

Apakah perbezaan antara http dan https? S kecil tambahan itu mempunyai implikasi besar: Keselamatan.

Biar saya jelaskan.

HTTP ialah "bahasa" yang komputer anda dan pelayan gunakan untuk bercakap antara satu sama lain. Bahasa ini difahami secara universal, yang mudah, tetapi ia juga mempunyai kelemahannya. Apabila data dihantar antara anda dan pelayan melalui Internet, data itu akan berhenti di sepanjang jalan sebelum sampai ke destinasi terakhirnya. Ini menimbulkan tiga risiko besar:

• Bahawa seseorang mungkin mencuri dengar perbualan anda (serupa dengan wayar digital).

• Bahawa seseorang mungkin menyamar sebagai salah satu (atau kedua-duanya) daripada kedua-dua pihak.

• Bahawa seseorang mungkin mengganggu mesej yang dipindahkan.

Penggodam dan jerkah menggunakan gabungan perkara di atas untuk beberapa penipuan dan rompakan, termasuk muslihat pancingan data, serangan orang tengah dan pengiklanan kuno yang baik. Serangan berniat jahat boleh semudah menghidu bukti kelayakan Facebook dengan memintas kuki yang tidak disulitkan (mendengar curi dengar), atau ia mungkin lebih canggih. Sebagai contoh, anda boleh fikir anda memberitahu bank anda: "Sila pindahkan $100 ke ISP saya," tetapi seseorang di tengah-tengah boleh mengubah mesej untuk membaca: "Sila pindahkan $100 semua wang saya ke ISP saya Peggy di Siberia" (gangguan data dan penyamaran).

Jadi, itu adalah masalah dengan HTTP. Untuk menyelesaikan masalah tersebut, HTTP boleh dilapisi dengan protokol keselamatan, menghasilkan HTTP Secure (HTTPS). Lazimnya, S dalam HTTPS disediakan oleh protokol Secure Sockets Layer (SSL) atau protokol Transport Layer Security (TLS) yang lebih baharu. Apabila digunakan, HTTPS menawarkan penyulitan dwiarah (untuk mengelakkan mencuri dengar), pengesahan pelayan (untuk mengelakkan penyamaran) dan pengesahan mesej (untuk mengelakkan gangguan data).

Cara Menggunakan HTTPS

Seperti bahasa pertuturan, HTTPS hanya berfungsi jika kedua-dua pihak memilih untuk menuturkannya. Di sisi klien, pilihan untuk menggunakan HTTPS boleh dibuat dengan menaip "https" ke dalam bar alamat penyemak imbas sebelum URL (cth, daripada menaip http://www.facebook.com, taip https://www.facebook. .com) atau dengan memasang sambungan yang memaksa HTTPS secara automatik, seperti HTTPS Everywhere untuk Firefox dan Chrome . Apabila penyemak imbas web anda menggunakan HTTPS, anda akan melihat ikon gembok, bar penyemak imbas hijau, ibu jari ke atas atau tanda lain yang meyakinkan bahawa sambungan anda dengan pelayan selamat.

Walau bagaimanapun, untuk menggunakan HTTPS, pelayan web mesti menyokongnya. Jika anda seorang juruweb dan anda ingin menawarkan HTTPS kepada pelawat web anda, maka anda memerlukan Sijil SSL atau Sijil TLS. Bagaimanakah anda mendapat Sijil SSL atau TLS? Teruskan membaca.

Bacaan lanjut: Beberapa apl web popular membenarkan anda memilih HTTPS dalam tetapan pengguna anda. Baca tulisan kami di Facebook , Gmail dan Twitter .

Apakah Sijil SSL, dan Bagaimana Saya Mendapatkannya?

Untuk menggunakan HTTPS, pelayan web anda mesti memasang sijil SSL atau sijil TLS. Sijil SSL / TLS adalah seperti ID foto untuk tapak web anda. Apabila penyemak imbas menggunakan HTTPS mengakses halaman web anda, ia akan melakukan "jabat tangan", semasa komputer pelanggan meminta sijil SSL. Sijil SSL kemudiannya disahkan oleh pihak berkuasa sijil yang dipercayai (CA), yang mengesahkan bahawa pelayan adalah siapa yang dikatakannya. Jika semuanya selesai, pelawat web anda mendapat tanda semak hijau yang meyakinkan atau ikon kunci. Jika berlaku masalah, mereka akan mendapat amaran daripada penyemak imbas web yang menyatakan bahawa identiti pelayan tidak dapat disahkan.

Beli-belah untuk Sijil SSL

Apabila ia datang untuk memasang sijil SSL di tapak web anda, terdapat banyak parameter untuk diputuskan. Mari kita pergi ke yang paling penting:

Pihak Berkuasa Sijil

Pihak berkuasa sijil (CA) ialah syarikat yang mengeluarkan sijil SSL anda dan merupakan syarikat yang akan mengesahkan sijil anda setiap kali pelawat datang ke tapak web anda. Walaupun setiap pembekal sijil SSL akan bersaing dalam harga dan ciri, perkara nombor satu yang perlu dipertimbangkan semasa menapis pihak berkuasa sijil ialah sama ada mereka mempunyai sijil yang diprapasang pada penyemak imbas web yang paling popular atau tidak. Jika pihak berkuasa sijil yang mengeluarkan sijil SSL anda tiada dalam senarai itu, maka pengguna akan digesa dengan amaran bahawa sijil keselamatan tapak tersebut tidak dipercayai. Sudah tentu, ini tidak bermakna tapak web anda adalah tidak sah—ia hanya bermakna CA anda tiada dalam senarai (belum lagi). Ini adalah masalah kerana kebanyakan pengguna tidak akan bersusah payah membaca amaran atau menyelidik CA yang tidak diiktiraf. Mereka mungkin hanya akan klik sahaja.

Nasib baik, senarai CA prapasang pada pelayar utama agak besar. Ia termasuk beberapa nama jenama besar serta CA yang kurang dikenali dan lebih berpatutan. Nama isi rumah termasuk Verisign , Go Daddy , Comodo, Thawte, Geotrust dan Entrust.

Anda juga boleh melihat dalam tetapan penyemak imbas anda sendiri untuk melihat pihak berkuasa sijil yang diprapasang.

• Untuk Chrome, pergi ke Tetapan -> Tunjukkan tetapan lanjutan… -> Urus Sijil.
• Untuk Firefox, lakukan Pilihan -> Lanjutan -> Lihat Sijil.
• Untuk IE, Pilihan Internet -> Kandungan -> Sijil.
• Untuk Safari, pergi ke Finder dan pilih Pergi -> Utiliti -> Akses Rantai Kunci dan klik Sistem.

Pengesahan Domain lwn. Pengesahan Lanjutan

Sijil SSL bertujuan untuk membuktikan identiti tapak web yang anda hantar maklumat. Untuk memastikan orang ramai tidak mengeluarkan sijil SSL palsu untuk domain yang mereka tidak kawal dengan betul, pihak berkuasa sijil akan mengesahkan bahawa orang yang meminta sijil itu sememangnya pemilik nama domain itu. Biasanya, ini dilakukan melalui e-mel pantas atau pengesahan panggilan telefon, sama seperti apabila tapak web menghantar e-mel kepada anda dengan pautan pengesahan akaun. Ini dipanggil sijil SSL yang disahkan domain . Faedahnya ialah ia membolehkan sijil SSL dikeluarkan hampir serta-merta. Anda mungkin boleh pergi dan mendapatkan sijil SSL yang disahkan domain dalam masa yang lebih singkat daripada yang anda perlukan untuk membaca catatan blog ini. Dengan sijil SSL yang disahkan domain, anda mendapat gembok dan keupayaan untuk menyulitkan trafik tapak web anda.

Kelebihan sijil SSL yang disahkan domain ialah ia cepat, mudah dan murah untuk diperolehi. Ini juga kelemahan mereka. Seperti yang anda boleh bayangkan, lebih mudah untuk menipu sistem automatik daripada yang dikendalikan oleh manusia hidup. Ia adalah seperti jika beberapa kanak-kanak sekolah menengah masuk ke DMV mengatakan dia adalah Barack Obama dan ingin mendapatkan ID yang dikeluarkan kerajaan. Orang di meja akan melihatnya sekali dan memanggil Feds (atau tong sampah). Tetapi jika ia adalah robot yang bekerja di kios ID foto, dia mungkin bertuah. Dengan cara yang sama, pancing data boleh mendapatkan "ID palsu" untuk tapak web seperti Paypal, Amazon atau Facebook dengan menipu sistem pengesahan domain. Pada tahun 2009, Dan Kaminsky menerbitkan contoh cara untuk menipu CA untuk mendapatkan sijil yang akan menjadikan tapak web pancingan data kelihatan seperti sambungan yang selamat dan sah. Bagi manusia, penipuan ini mudah dikesan. Walau bagaimanapun, pengesahan domain automatik pada masa itu tidak mempunyai pemeriksaan yang diperlukan untuk mengelakkan perkara seperti ini.

Sebagai tindak balas kepada kelemahan SSL dan sijil SSL yang disahkan domain, industri telah memperkenalkan sijil Pengesahan Lanjutan . Untuk mendapatkan sijil SSL EV, syarikat atau organisasi anda perlu menjalani tapisan yang rapi untuk memastikan ia berada dalam kedudukan yang baik dengan kerajaan anda dan mengawal domain yang anda mohon dengan betul. Pemeriksaan ini, antara lain, memerlukan elemen manusia dan dengan itu mengambil masa yang lebih lama dan lebih mahal.

Dalam sesetengah industri, sijil EV diperlukan. Tetapi bagi yang lain, faedahnya hanya setakat yang akan dikenali oleh pelawat anda. Bagi pelawat web setiap hari, perbezaannya adalah halus. Selain ikon gembok, bar alamat bertukar hijau dan memaparkan nama syarikat anda. Jika anda mengklik untuk mendapatkan maklumat lanjut, anda melihat bahawa identiti syarikat telah disahkan, bukan hanya tapak web.

Berikut ialah contoh tapak HTTPS biasa:

Dan berikut ialah contoh tapak HTTPS sijil EV:

Bergantung pada industri anda, sijil EV mungkin tidak berbaloi. Selain itu, anda mesti menjadi perniagaan atau organisasi untuk mendapatkannya. Walaupun syarikat besar sedang menuju ke arah pensijilan EV, anda akan dapati bahawa kebanyakan tapak HTTPS masih menggunakan perisa bukan EV. Jika ia cukup bagus untuk Google, Facebook dan Dropbox, mungkin ia cukup bagus untuk anda.

Satu perkara lagi: terdapat pilihan pertengahan jalan yang dipanggil pensijilan yang disahkan organisasi atau perniagaan yang disahkan . Ini adalah tapisan yang lebih teliti daripada pengesahan domain automatik, tetapi ia tidak setakat memenuhi peraturan industri untuk sijil Pengesahan Lanjutan (perhatikan cara Pengesahan Lanjutan diperbesarkan dan "pengesahan organisasi" bukan?). OV atau pensijilan yang disahkan perniagaan lebih mahal dan mengambil masa yang lebih lama, tetapi ia tidak akan memberikan anda bar alamat hijau dan maklumat yang disahkan identiti syarikat. Terus terang, saya tidak dapat memikirkan sebab untuk membayar sijil OV. Jika anda boleh memikirkan satu, sila pencerahan saya dalam komen.

SSL Dikongsi lwn. SSL Peribadi

Sesetengah hos web menawarkan perkhidmatan SSL kongsi, yang selalunya lebih berpatutan daripada SSL peribadi. Selain daripada harga, faedah SSL dikongsi ialah anda tidak perlu mendapatkan alamat IP peribadi atau hos khusus. Kelemahannya ialah anda tidak boleh menggunakan nama domain anda sendiri. Sebaliknya, bahagian selamat tapak anda adalah seperti:

https://www.hostgator.com/~yourdomain/secure.php

Bezakan dengan alamat SSL peribadi:

https://www.yourdomain.com/secure.php

Untuk tapak yang dihadapi oleh orang ramai, seperti tapak e-dagang dan tapak rangkaian sosial, ini jelas sekali seret kerana nampaknya anda telah diubah hala dari tapak utama. Tetapi untuk kawasan yang biasanya tidak dilihat oleh orang awam, seperti bahagian dalam sistem mel atau kawasan pentadbir, maka SSL yang dikongsi mungkin merupakan tawaran yang bagus.

Meterai Amanah

Banyak pihak berkuasa sijil membenarkan anda meletakkan meterai amanah pada halaman web anda selepas anda mendaftar untuk salah satu sijil mereka. Ini memberikan maklumat yang hampir sama seperti mengklik gembok dalam tetingkap penyemak imbas, tetapi dengan keterlihatan yang lebih tinggi. Memasukkan meterai amanah tidak diperlukan, dan ia juga tidak menguatkan keselamatan anda, tetapi jika ia memberikan pelawat anda rasa hangat mengetahui siapa yang mengeluarkan sijil SSL, dengan segala cara, buangkannya di sana.

Sijil SSL Wildcard

Sijil SSL mengesahkan identiti satu domain. Jadi, jika anda ingin mempunyai HTTPS pada berbilang subdomain—cth, groovypost.com, mail.groovypost.com dan forum.groovypost.com —anda perlu membeli tiga sijil SSL yang berbeza. Pada satu ketika, sijil SSL kad bebas menjadi lebih menjimatkan. Iaitu, satu sijil untuk meliputi satu domain dan semua subdomain, iaitu, *.groovypost.com.

Waranti

Tidak kira berapa lama reputasi baik syarikat, terdapat kelemahan. Malah CA yang dipercayai boleh disasarkan oleh penggodam, seperti yang dibuktikan oleh pelanggaran di VeriSign yang tidak dilaporkan pada tahun 2010. Tambahan pula, status CA dalam senarai dipercayai boleh dibatalkan dengan cepat, seperti yang kita lihat dengan snafu DigiNotar pada tahun 2011. Perkara berlaku .

Untuk meredakan sebarang kegelisahan mengenai potensi tindakan rawak SSL seperti itu, banyak CA kini menawarkan waranti. Perlindungan terdiri daripada beberapa ribu dolar hingga lebih satu juta dolar dan termasuk kerugian akibat penyalahgunaan sijil anda atau kemalangan lain. Saya tidak tahu sama ada waranti ini benar-benar menambah nilai atau tidak atau jika sesiapa pernah berjaya memenangi tuntutan. Tetapi mereka ada untuk pertimbangan anda.

Sijil SSL Percuma dan Sijil SSL Ditandatangani Sendiri

Terdapat dua jenis sijil SSL percuma yang tersedia. Sijil yang ditandatangani sendiri, digunakan terutamanya untuk ujian persendirian dan Sijil SSL yang dihadapi orang ramai sepenuhnya yang dikeluarkan oleh Pihak Berkuasa Sijil yang sah. Berita baiknya ialah, pada tahun 2018, terdapat beberapa pilihan untuk mendapatkan sijil SSL 90 hari 100% percuma dan sah daripada kedua-dua SSL secara Percuma atau Let's Encrypt . SSL for Free ialah GUI untuk Let's Encrypt API. Kelebihan laman web SSL untuk Percuma ialah ia mudah digunakan kerana ia mempunyai GUI yang bagus. Let's Encrypt, bagaimanapun, bagus kerana anda boleh mengautomasikan sepenuhnya permintaan sijil SSL daripada mereka. Ia sesuai jika anda memerlukan sijil SSL untuk berbilang tapak web/pelayan.

Sijil SSL yang ditandatangani sendiri adalah percuma selama-lamanya. Dengan sijil yang ditandatangani sendiri, anda adalah CA anda sendiri. Walau bagaimanapun, kerana anda bukan antara CA yang dipercayai terbina dalam pelayar web, pelawat akan mendapat amaran bahawa pihak berkuasa tidak diiktiraf oleh sistem pengendalian. Oleh itu, tiada jaminan bahawa anda adalah siapa yang anda katakan (ia seperti mengeluarkan ID foto untuk diri sendiri dan cuba menyebarkannya di kedai arak). Manfaat sijil SSL yang ditandatangani sendiri, bagaimanapun, ialah ia membolehkan penyulitan untuk trafik web. Ia mungkin bagus untuk kegunaan dalaman, di mana anda boleh meminta kakitangan anda menambah organisasi anda sebagai CA yang dipercayai untuk menyingkirkan mesej amaran dan mengusahakan sambungan selamat melalui Internet.

Untuk arahan tentang menyediakan sijil SSL yang ditandatangani sendiri, lihat dokumentasi untuk OpenSSL. (Atau, jika terdapat permintaan yang mencukupi, saya akan menulis tutorial.)

Memasang Sijil SSL

Sebaik sahaja anda telah membeli sijil SSL anda, anda perlu memasangnya di tapak web anda. Hos web yang baik akan menawarkan untuk melakukan ini untuk anda. Malah ada yang boleh membelinya untuk anda. Selalunya, ini adalah cara terbaik untuk dilakukan kerana ia memudahkan pengebilan dan memastikan ia disediakan dengan betul untuk pelayan web anda.

Namun, anda sentiasa mempunyai pilihan untuk memasang sijil SSL yang anda beli sendiri. Jika anda berbuat demikian, anda mungkin mahu bermula dengan merujuk pangkalan pengetahuan hos web anda atau dengan membuka tiket meja bantuan. Mereka akan mengarahkan anda kepada arahan terbaik untuk memasang sijil SSL anda. Anda juga harus merujuk kepada arahan yang disediakan oleh CA. Ini akan memberi anda panduan yang lebih baik daripada nasihat generik yang boleh saya berikan kepada anda di sini.

Anda juga mungkin ingin menyemak arahan berikut untuk memasang sijil SSL:

• Bagaimana untuk melaksanakan SSL dalam IIS (Windows Server)
• Penyulitan Apache SSL/TLS

Semua arahan ini akan melibatkan penciptaan Permintaan Tandatangan Sijil SSL (CSR). Malah, anda memerlukan CSR hanya untuk mendapatkan sijil SSL yang dikeluarkan. Sekali lagi, hos web anda boleh membantu anda dengan ini. Untuk mendapatkan maklumat DIY yang lebih khusus tentang mencipta CSR, lihat penulisan ini daripada DigiCert .

Kebaikan dan Keburukan HTTPS

Kami telah menetapkan dengan tegas kebaikan HTTPS: keselamatan, keselamatan, keselamatan. Ini bukan sahaja mengurangkan risiko pelanggaran data, tetapi ia juga menanam kepercayaan dan menambah reputasi pada tapak web anda. Pelanggan Savvy mungkin tidak peduli untuk mendaftar jika mereka melihat "http://" pada halaman log masuk.

Walau bagaimanapun, terdapat beberapa keburukan kepada HTTPS. Memandangkan keperluan HTTPS untuk jenis tapak web tertentu, lebih masuk akal untuk menganggap ini sebagai " pertimbangan " dan bukannya negatif.

• HTTPS memerlukan wang . Sebagai permulaan, terdapat kos untuk membeli dan memperbaharui sijil SSL anda untuk memastikan kesahihan tahun ke tahun. Tetapi terdapat juga "keperluan sistem" tertentu untuk HTTPS, seperti alamat IP khusus atau pelan pengehosan khusus, yang boleh lebih mahal daripada pakej pengehosan kongsi.
• HTTPS mungkin memperlahankan respons pelayan. Terdapat dua isu berkaitan SSL / TLS yang mungkin memperlahankan kelajuan pemuatan halaman anda. Pertama, untuk mula berkomunikasi dengan tapak web anda buat kali pertama, penyemak imbas pengguna mesti melalui proses jabat tangan, yang melantun kembali ke tapak web pihak berkuasa sijil untuk mengesahkan sijil. Jika pelayan web CA lembap, maka akan berlaku kelewatan dalam memuatkan halaman anda. Ini sebahagian besarnya di luar kawalan anda. Kedua, HTTPS menggunakan penyulitan, yang memerlukan lebih banyak kuasa pemprosesan. Ini boleh ditangani dengan mengoptimumkan kandungan anda untuk lebar jalur dan menaik taraf perkakasan pada pelayan anda. CloudFare mempunyai catatan blog yang baik tentang cara dan sebab SSL mungkin memperlahankan tapak web anda.
• HTTPS boleh memberi kesan kepada usaha SEO. Apabila anda beralih daripada HTTP ke HTTPS; anda berpindah ke tapak web baharu. Contohnya, http://www.groovypost.com tidak akan sama dengan https://www.groovypost.com . Adalah penting untuk memastikan bahawa anda telah mengubah hala pautan lama anda dan menulis peraturan yang betul di bawah hud pelayan anda untuk mengelakkan kehilangan sebarang jus pautan berharga.
• Kandungan campuran boleh melemparkan bendera kuning . Untuk sesetengah penyemak imbas, jika anda mempunyai bahagian utama halaman web dimuatkan daripada HTTPS, tetapi imej dan elemen lain (seperti helaian gaya atau skrip) dimuatkan daripada URL HTTP, maka pop timbul mungkin muncul, memberi amaran bahawa halaman itu termasuk kandungan tidak selamat . Sudah tentu, mempunyai beberapa kandungan selamat adalah lebih baik daripada tidak mempunyai kandungan, walaupun yang kedua tidak menghasilkan pop timbul. Namun begitu, mungkin berbaloi untuk memastikan anda tidak mempunyai sebarang "kandungan bercampur" pada halaman anda.
• Kadangkala, lebih mudah untuk mendapatkan pemproses pembayaran pihak ketiga . Tidak malu untuk membiarkan Google Checkout, Paypal atau Checkout oleh Amazon mengendalikan pembayaran anda. Jika semua perkara di atas kelihatan seperti terlalu banyak untuk dipertikaikan, anda boleh membenarkan pelanggan anda bertukar maklumat pembayaran di tapak selamat Paypal atau tapak selamat Google dan menyelamatkan diri anda daripada masalah tersebut.

Adakah anda mempunyai sebarang soalan atau ulasan lain tentang sijil HTTPS dan SSL / TLS? Biar saya mendengarnya dalam komen.