Certificate HTTPS și SSL: Asigurați-vă site-ul în siguranță (și de ce ar trebui)

Când vine vorba de trimiterea de informații personale pe Internet – fie că este vorba de informații de contact, acreditări de conectare, informații despre cont, informații despre locație sau orice altceva care ar putea fi abuzat – publicul este, în general, de-a dreptul paranoic în legătură cu hackeri și hoții de identitate. Și pe bună dreptate. Teama că informațiile dvs. ar putea fi furate, manipulate sau însușite în mod nedrept este departe de a fi irațională. Titlurile despre scurgeri și breșe de securitate din ultimele decenii o demonstrează. Dar, în ciuda acestei frici, oamenii continuă să se conecteze pentru a-și face activități bancare, cumpărături, jurnal, întâlniri, socializare și alte afaceri personale și profesionale pe web. Și există un lucru mic care le dă încredere să facă asta. ți-o arăt:

Deși nu toți înțeleg cum funcționează, acel mic lacăt din bara de adrese semnalează utilizatorilor web că au o conexiune de încredere la un site web legitim. Dacă vizitatorii nu văd acest lucru în bara de adrese atunci când afișează site-ul dvs., nu veți-și nu ar trebui să obțineți afacerea lor.

Pentru a obține acel mic lacăt din bara de adrese pentru site-ul dvs., aveți nevoie de un certificat SSL. Cum obții unul? Citiți mai departe pentru a afla.

Schița articolului:

• Ce este SSL/TLS?
• Cum se utilizează HTTPS?
• Ce este un certificat SSL și cum obțin unul?
• Ghid de cumpărături certificat SSL
  • Autoritate certificată
  • Validarea domeniului vs. Validarea extinsă
  • SSL partajat vs. SSL privat
  • Sigilii de încredere
  • Certificate SSL wildcard
  • garanții
  • Certificate SSL gratuite și certificate SSL autosemnate
• Instalarea unui certificat SSL
• Avantaje și dezavantaje HTTPS

Ce este SSL/TLS?

Pe web, datele sunt transferate folosind protocolul de transfer hipertext. De aceea, toate adresele URL ale paginilor web au „http://” sau „http s ://” în fața lor.

Care este diferența dintre http și https? Acel mic S în plus are implicații mari: securitate.

Lasă-mă să explic.

HTTP este „limbajul” pe care computerul și serverul o folosesc pentru a vorbi unul cu celălalt. Acest limbaj este înțeles universal, ceea ce este convenabil, dar are și dezavantajele sale. Când datele sunt transmise între dvs. și un server prin Internet, acesta va face câteva opriri pe parcurs înainte de a ajunge la destinația finală. Acest lucru prezintă trei mari riscuri:

• Că cineva ar putea să-ți asculte conversația (un fel ca o interceptare digitală).

• Că cineva ar putea uzurpa identitatea uneia (sau a ambelor) părți la fiecare capăt.

• Că cineva ar putea modifica mesajele transferate.

Hackerii și idioții folosesc o combinație a celor de mai sus pentru o serie de escrocherii și furturi, inclusiv trucuri de phishing, atacuri de tip man-in-the-middle și publicitate bună de modă veche. Atacurile rău intenționate ar putea fi la fel de simple ca adulmecarea acreditărilor Facebook prin interceptarea cookie-urilor necriptate (interceptarea cu urechea) sau ar putea fi mai sofisticate. De exemplu, ați putea crede că ați spus băncii dvs.: „Vă rugăm să transferați 100 USD către ISP-ul meu”, dar cineva din mijloc ar putea modifica mesajul astfel încât să scrie: „Vă rugăm să transferați 100 USD toți banii mei către ISP-ul meu Peggy în Siberia” (modificarea datelor și uzurparea identității).

Deci, acestea sunt problemele cu HTTP. Pentru a rezolva aceste probleme, HTTP poate fi stratificat cu un protocol de securitate, rezultând HTTP Secure (HTTPS). Cel mai frecvent, S în HTTPS este furnizat de protocolul Secure Sockets Layer (SSL) sau de protocolul mai nou Transport Layer Security (TLS). Când este implementat, HTTPS oferă criptare bidirecțională (pentru a preveni interceptarea cu urechea), autentificare pe server (pentru a preveni uzurparea identității) și autentificare a mesajelor (pentru a preveni manipularea datelor).

Cum se utilizează HTTPS

La fel ca o limbă vorbită, HTTPS funcționează numai dacă ambele părți aleg să o vorbească. Pe partea clientului, alegerea de a utiliza HTTPS poate fi făcută tastând „https” în bara de adrese a browserului înainte de URL (de exemplu, în loc să tastați http://www.facebook.com, tastați https://www.facebook. .com) sau prin instalarea unei extensii care forțează automat HTTPS, cum ar fi HTTPS Everywhere pentru Firefox și Chrome . Când browserul dvs. web utilizează HTTPS, veți vedea o pictogramă de lacăt, o bară verde a browserului, degetul mare în sus sau un alt semn liniștitor că conexiunea dvs. cu serverul este sigură.

Cu toate acestea, pentru a utiliza HTTPS, serverul web trebuie să îl accepte. Dacă sunteți webmaster și doriți să oferiți HTTPS vizitatorilor dvs. web, atunci veți avea nevoie de un certificat SSL sau un certificat TLS. Cum obțineți un certificat SSL sau TLS? Continua să citești.

Citiri suplimentare: Unele aplicații web populare vă permit să alegeți HTTPS în setările dvs. de utilizator. Citiți scrierile noastre pe Facebook , Gmail și Twitter .

Ce este un certificat SSL și cum obțin unul?

Pentru a utiliza HTTPS, serverul dvs. web trebuie să aibă instalat un certificat SSL sau un certificat TLS. Un certificat SSL / TLS este un fel ca un act de identitate cu fotografie pentru site-ul dvs. Când un browser care utilizează HTTPS accesează pagina dvs. web, va efectua o „strângere de mână”, în timpul căreia computerul client solicită certificatul SSL. Certificatul SSL este apoi validat de o autoritate de certificare (CA) de încredere, care verifică dacă serverul este cine spune că este. Dacă totul se verifică, vizitatorul dvs. web primește bifa verde liniștitoare sau o pictogramă de lacăt. Dacă ceva nu merge bine, vor primi un avertisment din browser-ul web care indică faptul că identitatea serverului nu poate fi confirmată.

Cumpărați un certificat SSL

Când vine vorba de instalarea unui certificat SSL pe site-ul dvs., există o mulțime de parametri pe care trebuie să vă decideți. Să trecem peste cele mai importante:

Autoritate certificată

Autoritatea de certificare (CA) este compania care vă emite certificatul SSL și este cea care vă va valida certificatul de fiecare dată când un vizitator vine pe site-ul dvs. În timp ce fiecare furnizor de certificate SSL va concura în ceea ce privește prețul și funcțiile, primul lucru de luat în considerare atunci când verificăm autoritățile de certificare este dacă au sau nu certificate care vin preinstalate pe cele mai populare browsere web. Dacă autoritatea de certificare care emite certificatul dvs. SSL nu se află în acea listă, atunci utilizatorului i se va solicita un avertisment că certificatul de securitate al site-ului nu este de încredere. Desigur, acest lucru nu înseamnă că site-ul dvs. este ilegitim - înseamnă doar că CA dvs. nu este pe listă (încă). Aceasta este o problemă deoarece majoritatea utilizatorilor nu se vor deranja să citească avertismentul sau să cerceteze CA nerecunoscută. Probabil că vor face clic.

Din fericire, lista CA-urilor preinstalate pe principalele browsere este destul de mare. Include câteva nume de mărci mari, precum și CA mai puțin cunoscute și mai accesibile. Numele de uz casnic includ Verisign , Go Daddy , Comodo, Thawte, Geotrust și Entrust.

De asemenea, puteți căuta în setările browserului dvs. pentru a vedea care autorități de certificare sunt preinstalate.

• Pentru Chrome, accesați Setări –> Afișați setările avansate… –> Gestionați certificatele.
• Pentru Firefox, faceți Opțiuni –> Avansat –> Vizualizare certificate.
• Pentru IE, Opțiuni Internet –> Conținut –> Certificate.
• Pentru Safari, accesați Finder și alegeți Go -> Utilities -> Keychain Access și faceți clic pe System.

Validarea domeniului vs. Validarea extinsă

Un certificat SSL este menit să dovedească identitatea site-ului web către care trimiteți informații. Pentru a se asigura că oamenii nu iau certificate SSL false pentru domenii pe care nu le controlează în mod corect, o autoritate de certificare va valida că persoana care solicită certificatul este într-adevăr proprietarul numelui de domeniu. De obicei, acest lucru se face printr-o validare rapidă a unui e-mail sau a unui apel telefonic, similar cu când un site web vă trimite un e-mail cu un link de confirmare a contului. Acesta se numește certificat SSL validat de domeniu . Avantajul acestui lucru este că permite eliberarea certificatelor SSL aproape imediat. Probabil că ai putea să obții un certificat SSL validat de domeniu în mai puțin timp decât ți-a luat să citești această postare de blog. Cu un certificat SSL validat de domeniu, obțineți lacătul și capacitatea de a cripta traficul site-ului dvs.

Avantajele unui certificat SSL validat pe domeniu sunt că sunt rapid, ușor și ieftin de obținut. Acesta este și dezavantajul lor. După cum vă puteți imagina, este mai ușor să înșelați un sistem automatizat decât unul condus de ființe umane vii. Este ca și cum un copil de liceu a intrat în DMV spunând că este Barack Obama și ar vrea să obțină un act de identitate eliberat de guvern. Persoana de la birou ar fi aruncat o privire la el și ar suna federalii (sau coșul de gunoi). Dar dacă ar fi un robot care lucrează la un chioșc de identitate cu fotografie, ar putea avea puțin noroc. Într-un mod similar, phisherii pot obține „identități false” pentru site-uri web precum Paypal, Amazon sau Facebook, păcălind sistemele de validare a domeniilor. În 2009, Dan Kaminsky a publicat un exemplu de modalitate de a înșela CA-urile pentru a obține certificate care ar face ca un site web de phishing să pară o conexiune sigură și legitimă. Pentru un om, această înșelătorie ar fi ușor de depistat. Cu toate acestea, validarea automată a domeniului la acea vreme nu avea verificările necesare pentru a preveni așa ceva.

Ca răspuns la vulnerabilitățile SSL și ale certificatelor SSL validate de domeniu, industria a introdus certificatul de validare extinsă . Pentru a obține un certificat EV SSL, compania sau organizația dvs. trebuie să fie supusă unei verificări riguroase pentru a se asigura că este în stare bună cu guvernul dvs. și controlează în mod corect domeniul pentru care solicitați. Aceste verificări, printre altele, necesită un element uman și astfel durează mai mult și sunt mai scumpe.

În unele industrii, este necesar un certificat EV. Dar pentru alții, beneficiul merge doar în măsura în care vizitatorii tăi vor recunoaște. Pentru vizitatorii web de zi cu zi, diferența este subtilă. Pe lângă pictograma lacăt, bara de adrese devine verde și afișează numele companiei dvs. Dacă dai clic pentru mai multe informații, vezi că identitatea companiei a fost verificată, nu doar site-ul web.

Iată un exemplu de site HTTPS normal:

Și iată un exemplu de site HTTPS cu certificat EV:

În funcție de industria dvs., un certificat EV ar putea să nu merite. În plus, trebuie să fii o afacere sau o organizație pentru a obține una. Deși marile companii au tendința de a certifica EV, veți observa că majoritatea site-urilor HTTPS au în continuare aroma non-EV. Dacă este suficient de bun pentru Google, Facebook și Dropbox, poate că este suficient de bun pentru tine.

Încă un lucru: există o opțiune de mijloc numită certificare validată de organizație sau de companie . Aceasta este o verificare mai amănunțită decât validarea automată a domeniului, dar nu ajunge atât de departe până la îndeplinirea reglementărilor din industrie pentru un certificat de validare extinsă (observați cum validarea extinsă este scrisă cu majuscule și „validarea organizațională” nu?). O certificare OV sau validată de companie costă mai mult și durează mai mult, dar nu vă va oferi bara de adrese verde și informațiile verificate de identitatea companiei. Sincer, nu mă gândesc la un motiv să plătesc pentru un certificat OV. Dacă vă gândiți la unul, vă rog să mă luminați în comentarii.

SSL partajat vs. SSL privat

Unele gazde web oferă un serviciu SSL partajat, care este adesea mai accesibil decât un SSL privat. În afară de preț, avantajul unui SSL partajat este că nu trebuie să obțineți o adresă IP privată sau o gazdă dedicată. Dezavantajul este că nu poți să-ți folosești propriul nume de domeniu. În schimb, partea securizată a site-ului dvs. va fi ceva de genul:

https://www.hostgator.com/~yourdomain/secure.php

Comparați asta cu o adresă SSL privată:

https://www.yourdomain.com/secure.php

Pentru site-urile destinate publicului, cum ar fi site-urile de comerț electronic și site-urile de rețele sociale, acest lucru este, evident, un obstacol, deoarece se pare că ați fost redirecționat de pe site-ul principal. Dar pentru zonele care nu sunt de obicei vizualizate de publicul larg, cum ar fi interiorul unui sistem de e-mail sau o zonă de administrator, atunci un SSL partajat ar putea fi o afacere bună.

Sigilii de încredere

Multe autorități de certificare vă permit să plasați un sigiliu de încredere pe pagina dvs. web după ce v-ați înscris pentru unul dintre certificatele lor. Acest lucru oferă aproape aceleași informații ca și când ar face clic pe lacăt din fereastra browserului, dar cu o vizibilitate mai mare. Includerea unui sigiliu de încredere nu este necesară și nici nu vă amplifică securitatea, dar dacă le dă vizitatorilor tăi neclarii care știe cine a emis certificatul SSL, cu toate mijloacele, aruncați-l acolo.

Certificate SSL wildcard

Un certificat SSL verifică identitatea unui domeniu. Deci, dacă doriți să aveți HTTPS pe mai multe subdomenii - de exemplu, groovypost.com, mail.groovypost.com și forum.groovypost.com - ar trebui să cumpărați trei certificate SSL diferite. La un moment dat, un certificat SSL wildcard devine mai economic. Adică, un certificat pentru a acoperi un domeniu și toate subdomeniile, adică *.groovypost.com.

garanții

Indiferent cât de veche este buna reputație a unei companii, există vulnerabilități. Chiar și CA de încredere pot fi vizate de hackeri, așa cum demonstrează încălcarea la VeriSign, care nu a fost raportată încă din 2010. În plus, statutul unui CA de pe lista de încredere poate fi revocat rapid, așa cum am văzut cu DigiNotar snafu încă din 2011. Lucruri se întâmplă .

Pentru a calma orice neliniște privind potențialul unor astfel de acte aleatorii de desfrânare SSL, multe CA oferă acum garanții. Acoperirea variază de la câteva mii de dolari până la peste un milion de dolari și include pierderi rezultate din utilizarea greșită a certificatului dumneavoastră sau alte accidente. Habar n-am dacă aceste garanții adaugă de fapt valoare sau nu sau dacă cineva a câștigat vreodată cu succes o revendicare. Dar sunt acolo pentru a vă considera.

Certificate SSL gratuite și certificate SSL autosemnate

Există două tipuri de certificate SSL gratuite disponibile. Un certificat SSL autosemnat, utilizat în principal pentru testare privată și certificate SSL publice în întregime emise de o autoritate de certificare valabilă. Vestea bună este că, în 2018, există câteva opțiuni pentru a obține certificate SSL 100% gratuite, valabile pentru 90 de zile, atât de la SSL gratuit , cât și de la Let's Encrypt . SSL gratuit este în primul rând o interfață grafică pentru API-ul Let's Encrypt. Avantajul site-ului SSL for Free este că este simplu de utilizat, deoarece are o interfață grafică frumoasă. Let's Encrypt, totuși, este frumos, deoarece puteți automatiza complet solicitarea de certificate SSL de la ei. Este ideal dacă aveți nevoie de certificate SSL pentru mai multe site-uri web/servere.

Un certificat SSL autosemnat este gratuit pentru totdeauna. Cu un certificat autosemnat, sunteți propria CA. Cu toate acestea, deoarece nu sunteți printre CA de încredere încorporate în browserele web, vizitatorii vor primi un avertisment că autoritatea nu este recunoscută de sistemul de operare. Ca atare, nu există nicio asigurare că ești cine spui că ești (este ca și cum ți-ai elibera un act de identitate cu fotografie și ai încerca să-l dai la magazinul de băuturi alcoolice). Avantajul unui certificat SSL autosemnat este însă că permite criptarea traficului web. Ar putea fi bun pentru uz intern, unde puteți solicita personalului dvs. să vă adauge organizația ca CA de încredere pentru a scăpa de mesajul de avertizare și pentru a lucra la o conexiune sigură prin Internet.

Pentru instrucțiuni despre configurarea unui certificat SSL autosemnat, consultați documentația pentru OpenSSL. (Sau, dacă există suficientă cerere, voi scrie un tutorial.)

Instalarea unui certificat SSL

Odată ce ați achiziționat certificatul SSL, trebuie să îl instalați pe site-ul dvs. web. O gazdă web bună se va oferi să facă acest lucru pentru tine. Unii s-ar putea chiar să o cumpere pentru tine. De multe ori, aceasta este cea mai bună cale de a merge, deoarece simplifică facturarea și asigură configurarea corectă a serverului dvs. web.

Totuși, aveți întotdeauna opțiunea de a instala un certificat SSL pe care l-ați cumpărat pe cont propriu. Dacă faceți acest lucru, este posibil să doriți să începeți prin a consulta baza de cunoștințe a gazdei dvs. web sau prin a deschide un bilet de serviciu de asistență. Vă vor direcționa către cele mai bune instrucțiuni pentru instalarea certificatului dvs. SSL. De asemenea, ar trebui să consultați instrucțiunile furnizate de CA. Acestea vă vor oferi îndrumări mai bune decât orice sfat generic pe care vi le pot da aici.

De asemenea, poate doriți să consultați următoarele instrucțiuni pentru instalarea unui certificat SSL:

• Cum se implementează SSL în IIS (Windows Server)
• Criptare Apache SSL/TLS

Toate aceste instrucțiuni vor implica crearea unei cereri de semnare a unui certificat SSL (CSR). De fapt, veți avea nevoie de un CSR doar pentru a obține un certificat SSL emis. Din nou, gazda dvs. web vă poate ajuta în acest sens. Pentru informații mai precise despre crearea unui CSR, consultați acest articol de la DigiCert .

Avantaje și dezavantaje ale HTTPS

Am stabilit deja ferm avantajele HTTPS: securitate, securitate, securitate. Acest lucru nu numai că atenuează riscul unei încălcări a datelor, dar, de asemenea, insuflă încredere și adaugă reputație site-ului dvs. Clienții pricepuți s-ar putea să nu se deranjeze să se înscrie dacă văd un „http://” pe pagina de conectare.

Există, totuși, unele dezavantaje pentru HTTPS. Având în vedere necesitatea HTTPS pentru anumite tipuri de site-uri web, este mai logic să ne gândim la acestea ca „ considerații ” mai degrabă decât negative.

• HTTPS costă bani . Pentru început, există costul de cumpărare și reînnoire a certificatului SSL pentru a asigura valabilitatea de la an la an. Dar există și anumite „cerințe de sistem” pentru HTTPS, cum ar fi o adresă IP dedicată sau un plan de găzduire dedicat, care pot fi mai costisitoare decât un pachet de găzduire partajată.
• HTTPS poate încetini răspunsul serverului. Există două probleme legate de SSL/TLS care ar putea încetini viteza de încărcare a paginii. În primul rând, pentru a începe să comunice cu site-ul dvs. web pentru prima dată, browserul utilizatorului trebuie să treacă prin procesul de strângere de mână, care revine la site-ul web al autorității de certificare pentru a verifica certificatul. Dacă serverul web al CA este lent, atunci va exista o întârziere la încărcarea paginii dvs. Acest lucru este în mare parte dincolo de controlul tău. În al doilea rând, HTTPS utilizează criptarea, care necesită mai multă putere de procesare. Acest lucru poate fi rezolvat prin optimizarea conținutului pentru lățimea de bandă și actualizarea hardware-ului de pe serverul dvs. CloudFare are o postare bună pe blog despre cum și de ce SSL ar putea încetini site-ul dvs.
• HTTPS poate afecta eforturile SEO. Când treceți de la HTTP la HTTPS; te muți pe un site web nou. De exemplu, http://www.groovypost.com nu ar fi același cu https://www.groovypost.com . Este important să vă asigurați că ați redirecționat vechile link-uri și ați scris regulile adecvate sub capota serverului dvs. pentru a evita pierderea oricărui suc de link prețios.
• Conținutul mixt poate arunca un steag galben . Pentru unele browsere, dacă aveți partea principală a unei pagini web încărcate din HTTPS, dar imagini și alte elemente (cum ar fi foi de stil sau scripturi) încărcate dintr-o adresă URL HTTP, atunci poate apărea o fereastră pop-up, care avertizează că pagina include conținut nesecurizat. . Desigur, este mai bine să ai un conținut securizat decât să nu ai niciunul, chiar dacă acesta din urmă nu are ca rezultat o fereastră pop-up. Dar totuși, ar putea fi util să vă asigurați că nu aveți niciun „conținut mixt” în paginile dvs.
• Uneori, este mai ușor să obțineți un procesator de plăți terță parte . Nu e nicio rușine să lași Google Checkout, Paypal sau Checkout by Amazon să gestioneze plățile tale. Dacă toate cele de mai sus par a fi prea multe de discutat, puteți lăsa clienții să facă schimb de informații de plată pe site-ul securizat Paypal sau pe site-ul securizat Google și să vă economisiți problemele.

Mai aveți întrebări sau comentarii despre certificatele HTTPS și SSL/TLS? Lasă-mă să-l aud în comentarii.