HTTPS и SSL сертификати: Направете своя уебсайт защитен (и защо трябва)

Как да

отДжак Буш

Последна актуализация на20 април 2018 г.

Когато става въпрос за изпращане на лична информация по интернет - било то информация за контакт, идентификационни данни за вход, информация за акаунта, информация за местоположение или нещо друго, което може да бъде злоупотребено - обществеността като цяло е параноична за хакерите и идентичността крадци. И с право. Страхът, че вашата информация може да бъде открадната, подправена или присвоена, е далеч от ирационален. Заглавията за течове и нарушения на сигурността през последните няколко десетилетия го доказват. Но въпреки този страх, хората продължават да влизат, за да правят своите банки, пазаруване, журналиране, запознанства, социализация и друг личен и професионален бизнес в мрежата. И има едно малко нещо, което им дава увереността да правят това. Ще ви го покажа:

Въпреки че не всички разбират как работи, този малък катинар в адресната лента сигнализира на потребителите в мрежата, че имат надеждна връзка с легитимен уебсайт. Ако посетителите не виждат това в адресната лента, когато изтеглят уебсайта ви, вие няма и не бива да стартирате бизнеса им.

За да получите този малък катинар на адресната лента за вашия уебсайт, трябва SSL сертификат. Как да го вземеш? Прочетете, за да разберете.

Структура на статията:

• Какво е SSL / TLS?
• Как да използвате HTTPS?
• Какво е SSL сертификат и как да го получа?
• Ръководство за пазаруване на SSL сертификати
• • Сертифициращ орган
  • Валидиране на домейн vs. Удължена валидация
  • Споделен SSL vs. Частен SSL
  • Доверете се печатите
  • Wildcard SSL сертификати
  • Гаранции
  • Безплатни SSL сертификати и самоподписани SSL сертификати
• Инсталиране на SSL сертификат
• Плюсове и минуси на HTTPS

Какво е SSL / TLS?

В интернет данните се прехвърлят с помощта на протокол за прехвърляне на хипертекст. Ето защо всички URL адреси на уеб страници имат „ http://” или „httpс://" пред тях.

Каква е разликата между http и https? Този допълнителен малък S има голямо значение: Сигурност.

Нека обясня.

HTTP е „езикът“, който вашият компютър и сървърът използват за разговор помежду си. Този език е универсално разбиран, което е удобно, но има и своите недостатъци. Когато данните се предават между вас и сървър през Интернет, той ще направи някои спирки по пътя, преди да достигне крайната си дестинация. Това крие три големи риска:

• Това може някой подслушване на вашия разговор (нещо като цифрово подслушване).

• Това може някой представяте една (или и двете) от страните от двата края.

• Това може някой подправяне като съобщенията се прехвърлят.

Хакерите и хакерите използват комбинация от горното за редица измами и призраци, включително фишинг шпиони, атаки на човек в средата и добра старомодна реклама. Злоумишлените атаки могат да бъдат толкова прости, колкото да издухате идентификационните данни на Facebook чрез прихващане на нешифровани бисквитки (подслушване) или може да са по-сложни. Например, може да мислите, че казвате на банката си: „Моля, прехвърлете 100 долара на моя интернет доставчик“, но някой в ​​средата може да промени съобщението да гласи: „Моля, прехвърлете $100всичките ми пари да се моя ISPПеги в Сибир”(Подправяне на данни и представянето им).

Това са проблемите с HTTP. За решаването на тези проблеми, HTTP може да бъде слоест с протокол за защита, което води до HTTP Secure (HTTPS). Най-често S в HTTPS се предоставя от протокола на защитен сокет (SSL) или по-новия протокол за сигурност на транспортния слой (TLS). Когато се разгръща, HTTPS предлага двупосочно криптиране (за да се предотврати подслушването), сървързаверка (за да се предотврати самоличност) и удостоверяване на съобщение (за да се предотврати подправяне на данни).

Как да използвате HTTPS

Подобно на говорим език, HTTPS работи само ако и двете страни решат да го говорят. От страна на клиента, изборът за използване на HTTPS може да бъде направен чрез въвеждане на „https“ в адресната лента на браузъра преди URL адреса (например вместо въвеждане http://www.facebook.com, Тип https://www.facebook.com) или чрез инсталиране на разширение, което автоматично принуждава HTTPS, като HTTPS Everywhere за Firefox и Chrome. Когато вашият уеб браузър използва HTTPS, ще видите икона на катинар, зелена лента на браузъра, палец нагоре или друг успокояващ знак, че връзката ви със сървъра е защитена.

Въпреки това, за да използва HTTPS, уеб сървърът трябва да го поддържа. Ако сте уеб администратор и искате да предложите HTTPS на вашите уеб посетители, тогава ще ви трябва SSL сертификат или TLS сертификат. Как да получите SSL или TLS сертификат? Продължавай да четеш.

Допълнително четене: Някои популярни уеб приложения ви позволяват да изберете HTTPS в потребителските си настройки. Прочетете нашите изписвания нататък Facebook, Gmail, и кикотене.

Какво е SSL сертификат и как да го получа?

За да използва HTTPS, вашият уеб сървър трябва да има инсталиран SSL сертификат или TLS сертификат. SSL / TLS сертификат е нещо като ID на снимка за вашия уебсайт. Когато браузър, използващ HTTPS, осъществява достъп до уеб страницата ви, той ще извърши „ръкостискане“, по време на който клиентският компютър иска SSL сертификат. След това SSL сертификатът се валидира от доверен сертификатен орган (CA), който потвърждава, че сървърът е този, който казва, че е. Ако всичко се провери, вашият уеб посетител получава успокояващата зелена отметка или икона на заключване. Ако нещо се обърка, те ще получат предупреждение от уеб браузъра, заявявайки, че самоличността на сървъра не може да бъде потвърдена.

Пазаруване за SSL сертификат

Когато става въпрос за инсталиране на SSL сертификат на вашия уебсайт, има множество параметри, за които да решите. Нека разгледаме най-важното:

Сертифициращ орган

Органът за сертифициране (CA) е компанията, която издава вашия SSL сертификат и е тази, която ще валидира вашия сертификат всеки път, когато посетител дойде на вашия уебсайт. Докато всеки доставчик на SSL сертификати ще се състезава по цена и характеристики, нещо първо трябва да се вземе предвид при проверка органите за сертифициране са дали притежават или не сертификати, които са предварително инсталирани в най-популярната мрежа браузъри. Ако сертифициращият орган, който издава вашия SSL сертификат, не е в този списък, тогава потребителят ще бъде подканен с предупреждение, че сертификатът за сигурност на сайта не е доверен. Разбира се, това не означава, че уебсайтът ви е нелегитимен - това просто означава, че вашият CA не е в списъка (все още). Това е проблем, тъй като повечето потребители няма да си правят труда да четат предупреждението или да изследват неразпознатия CA. Вероятно просто ще кликнат.

За щастие, списъкът на предварително инсталираните CA в основните браузъри е доста голям. Тя включва някои големи търговски марки, както и по-малко известни и по-достъпни CA. Имената на домакинствата включват Verisign, Върви татко, Comodo, Thawte, GeoTrust, и възлагам.

Можете също да погледнете в настройките на собствения си браузър, за да видите кои органи за сертифициране са предварително инсталирани.

• За Chrome отворете Настройки -> Покажи разширени настройки... -> Управление на сертификати.
• За Firefox направете Опции -> Разширени -> Преглед на сертификати.
• За IE, Интернет опции -> Съдържание -> Сертификати.
• За Safari влезте в Finder и изберете Go -> Utilities -> KeyChain Access и щракнете върху System.

За бърза справка, вижте тази тема, в която са изброени приемливи SSL сертификати за Google Checkout.

Валидиране на домейн vs. Удължена валидация

SSL сертификатът има за цел да докаже самоличността на уебсайта, до който изпращате информация. За да се гарантира, че хората не изваждат фалшиви SSL сертификати за домейни, които те не контролират правилно, a сертифициращият орган ще потвърди, че лицето, което иска сертификата, наистина е собственик на домейна име. Обикновено това става чрез бързо потвърждаване на имейл или телефонно обаждане, подобно на това, когато уебсайт ви изпраща имейл с връзка за потвърждение на акаунта. Това се нарича a домейн валидиран SSL сертификат. Ползата от това е, че позволява издаването на SSL сертификати почти веднага. Вероятно бихте могли да отидете и да получите валидиран SSL сертификат за домейн за по-малко време, отколкото ви отне да прочетете тази публикация в блога. С валидиран домейн SSL сертификат получавате катинара и възможността да криптирате трафика на уебсайта си.

Предимствата на валидиран SSL сертификат на домейн е, че те се получават бързо, лесно и евтино. Това е и техният недостатък. Както можете да си представите, по-лесно е да свържете автоматизирана система, отколкото една, управлявана от живи хора. Това е все едно, ако някое дете от гимназията влезе в DMV, казвайки, че е Барак Обама и иска да получи документ за самоличност, издаден от правителството. човекът на бюрото би го хвърлил един поглед и би се обадил на федералите (или на кофата). Но ако беше робот, работещ с павилион за самоличност със снимка, той може да има късмет. По подобен начин фишерите могат да получат „фалшиви идентификационни номера“ за уебсайтове като Paypal, Amazon или Facebook, като измамят системи за проверка на домейна. През 2009 г. Дан Камински публикува пример за начин измама СА, за да получи сертификати Това би направило фишинг уебсайта да изглежда, че е сигурна, законна връзка. За човек тази измама би била лесна за откриване. Но по това време на автоматизираната проверка на домейна липсваха необходимите проверки, за да се предотврати подобно нещо.

В отговор на уязвимостите на SSL и валидирани SSL сертификати, индустрията представи Удължена валидация сертификат. За да получите сертификат за EV SSL, вашата компания или организация трябва да се подложи на строга проверка, за да се гарантира че е в добро състояние с правителството си и правилно контролира домейна, който прилагате за. Тези проверки, наред с други, изискват човешки елемент и по този начин отнемат повече време и са по-скъпи.

В някои отрасли се изисква сертификат за EV. Но за други ползата стига само до това, което посетителите ви ще разпознаят. За ежедневните уеб посетители разликата е фина. В допълнение към иконата на катинара, адресната лента става зелена и показва името на вашата компания. Ако кликнете за повече информация, ще видите, че самоличността на компанията е потвърдена, а не само на уебсайта.

Ето пример за нормален HTTPS сайт:

Ето пример за HTTPS сайт на сертификат за EV:

В зависимост от вашата индустрия, сертификатът за EV може да не си заслужава. Плюс това, трябва да сте фирма или организация, за да получите такъв. Въпреки че големите компании се стремят към сертифициране на EV, ще забележите, че повечето HTTPS сайтове все още носят аромат, който не е EV. Ако е достатъчно добър за Google, Facebook и Dropbox, може би е достатъчно добър за вас.

И още нещо: има опция в средата на пътя, наречена an организация валидирана или бизнес валидиран сертифициране. Това е по-задълбочено проучване от автоматизираното валидиране на домейн, но не стига до срещата с индустрията регламенти за сертификата за удължена валидация (забележете как разширената валидация е изписана с главни букви и „организационна“ валидиране “не е?). Удостоверението за потвърждение на OV или бизнес струва повече и отнема повече време, но няма да ви даде зелена адресна лента и информация за идентифицирането на фирмата. Честно казано, не мога да измисля причина да платя за OV сертификат. Ако можете да се сетите за едно, моля, просветете ме в коментарите.

Споделен SSL vs. Частен SSL

Някои уеб хостове предлагат споделена SSL услуга, която често е по-достъпна от частна SSL. Освен цената, предимството на споделения SSL е, че не е необходимо да получавате личен IP адрес или специален хост. Недостатъкът е, че не трябва да използвате собственото си име на домейн. Вместо това сигурната част на вашия сайт ще бъде нещо като:

https://www.hostgator.com/~yourdomain/secure.php

Сравнете това с частен SSL адрес:

https://www.yourdomain.com/secure.php

За сайтове, насочени към обществото, като сайтове за електронна търговия и сайтове за социални мрежи, това очевидно е драг, тъй като изглежда, че сте били пренасочени от основния. Но за области, които обикновено не се гледат от широката общественост, като например вътрешността на пощенска система или администраторска област, тогава споделеният SSL може да бъде добра сделка.

Доверете се печатите

Много сертификационни органи ви позволяват да поставите доверие на вашия уеб страница, след като сте се регистрирали за един от техните сертификати. Това дава почти същата информация като щракването на катинара в прозореца на браузъра, но с по-голяма видимост. Включването на доверителен печат не е задължително, нито увеличава сигурността ви, но ако дава на посетителите си топли мъгли, знаещи кой е издал SSL сертификата, по всякакъв начин го хвърлете там.

Wildcard SSL сертификати

SSL сертификат проверява самоличността на един домейн. Така че, ако искате да имате HTTPS на множество поддомейни - например groovypost.com, mail.groovypost.com и answers.groovypost.com- ще трябва да закупите три различни SSL сертификата. В определен момент, SSL сертификат с wildcard става по-икономичен. Тоест един сертификат за покриване на един домейн и всички поддомейни, т.е. * .groovypost.com.

Гаранции

Независимо колко дългогодишна е добрата репутация на една компания, има уязвимости. Дори надеждни CA могат да бъдат насочени от хакери, както се вижда от нарушение при VeriSign, което се отчете още през 2010 г.. Освен това, състоянието на СА в доверения списък може бързо да бъде оттеглено, както видяхме при DigiNotar snafu още през 2011г. Нещата се случват.

За да успокоят евентуалното безпокойство от потенциала за подобни случайни действия на разврат на SSL, много CA сега предлагат гаранции. Покритието варира от няколко хиляди долара до над милион долара и включва загуби в резултат на злоупотреба с вашия сертификат или други злополуки. Нямам идея дали тези гаранции действително добавят стойност или не, или дали някой някога успешно е спечелил рекламация. Но те са там за ваше внимание.

Безплатни SSL сертификати и самоподписани SSL сертификати

Предлагат се два вида безплатни SSL сертификати. Самоподписан, използван предимно за частно тестване и пълна публика пред SSL сертификати, издаден от валиден Certificat Authority. Добрата новина е, че през 2018 г. има няколко варианта да получите 100% безплатни, валидни 90 дневни SSL certs от двете SSL безплатно или Да шифроваме. SSL for Free е преди всичко GUI за API на Let’s Encrypt. Предимството на сайта за SSL за безплатни е, че е лесен за използване, тъй като има приятен графичен интерфейс. Нека да шифроваме обаче е хубаво, тъй като можете напълно да автоматизирате искането на SSL сертификати от тях. Идеален, ако имате нужда от SSL сертификати за множество уебсайтове / сървъри.

Самоподписаният SSL сертификат е безплатен завинаги. Със самоподписан сертификат вие сте собственият си CA. Въпреки това, тъй като не сте сред надеждните CA, вградени в уеб браузъри, посетителите ще получат предупреждение, че авторитетът не е разпознат от операционната система. Като такъв, всъщност няма уверение, че сте такъв, за когото казвате, че сте (това е нещо като да си издадете самоличност на снимка и да се опитате да я предадете в магазина за алкохол). Предимството на самостоятелно подписания SSL сертификат е, че той дава възможност за криптиране за уеб трафик. Може да е добре за вътрешна употреба, където можете да накарате вашите служители да добавят вашата организация като доверен CA, за да се отървете от предупредителното съобщение и да работите върху защитена връзка през Интернет.

За инструкции относно настройката на самостоятелно подписан SSL сертификат, вижте документацията за OpenSSL. (Или, ако има достатъчно търсене, ще напиша урок.)

Инсталиране на SSL сертификат

След като закупите вашия SSL сертификат, трябва да го инсталирате на уебсайта си. Един добър уеб-домакин ще предложи да направи това за вас. Някои дори могат да стигнат до закупуването му за вас. Често това е най-добрият начин, тъй като опростява таксуването и гарантира, че е настроен правилно за вашия уеб сървър.

Все пак винаги имате възможност да инсталирате SSL сертификат, който сте закупили сами. Ако направите това, може да искате да започнете да се консултирате с базата от знания на уеб хоста си или да отворите билет за помощ. Ще ви насочат към най-добрите инструкции за инсталиране на вашия SSL сертификат. Трябва също да се консултирате с инструкциите, предоставени от СО. Те ще ви дадат по-добри насоки от всички общи съвети, които мога да ви дам тук.

Може да искате да проверите и следните инструкции за инсталиране на SSL сертификат:

• Инсталирайте SSL сертификат и настройте домейна в cPanel
• Как да внедрите SSL във IIS (Windows Server)
• Шифроване на Apache SSL / TLS

Всички тези инструкции ще включват създаването на заявка за подписване на SSL сертификат (CSR). Всъщност ще ви трябва CSR, само за да получите издаден SSL сертификат. Отново вашият уеб-домакин може да ви помогне в това. За по-конкретна информация „Направи си сам“ относно създаването на КСО, вижте тази рецепта от DigiCert.

Плюсове и минуси на HTTPS

Вече твърдо установихме плюсовете на HTTPS: сигурност, сигурност, сигурност. Това не само намалява риска от нарушаване на данните, но също така внушава доверие и добавя репутация на вашия уебсайт. Находчивите клиенти може дори да не си правят труда да се регистрират, ако видят „ http://” на страницата за вход.

Има обаче някои минуси на HTTPS. Като се има предвид необходимостта от HTTPS за определени видове уебсайтове, има по-голям смисъл да се мисли за тези като „минусиидеи “, а не негативи.

• HTTPS струва пари. Като за начало има разходи за закупуване и подновяване на вашия SSL сертификат, за да се гарантира валидността от година на година. Но има и някои „системни изисквания“ за HTTPS, като специален IP адрес или специален хостинг план, който може да бъде по-скъп от споделен хостинг пакет.
• HTTPS може да забави реакцията на сървъра. Има два проблема, свързани със SSL / TLS, които могат да забавят скоростта на зареждане на страницата ви. Първо, за да започнете да комуникирате със своя уебсайт за първи път, браузърът на потребителя трябва да премине чрез процеса на ръкостискане, който се връща към уебсайта на органа за сертифициране, за да провери сертификат. Ако уеб сървърът на CA е бавен, ще има забавяне при зареждането на страницата ви. Това до голяма степен е извън вашия контрол. Второ, HTTPS използва криптиране, което изисква повече мощност на обработка. Това може да се реши чрез оптимизиране на съдържанието ви за честотна лента и надграждане на хардуера на вашия сървър. CloudFare има добра публикация в блога за това как и защо SSL може да забави вашия уебсайт.
• HTTPS може да повлияе на SEO усилията Когато преминавате от HTTP към HTTPS; преминавате към нов уебсайт. Например, https://www.groovypost.com не би било същото като http://www.groovypost.com. Важно е да се уверите, че сте пренасочили старите си връзки и сте написали правилните правила под капака на вашия сървър, за да не загубите никакъв скъпоценен сок от връзки.
• Смесеното съдържание може да хвърли жълт флаг. За някои браузъри, ако основната част от уебстраницата е заредена от HTTPS, но изображения и други елементи (например таблици стилове или скриптове), заредени от HTTP URL, тогава може да се появи изскачащо предупреждение, че страницата включва незащитени съдържание. Разбира се, като някои защитеното съдържание е по-добро от това да няма такова, въпреки че последното не води до изскачащ прозорец. Но все пак може да си струва да гарантирате, че нямате „смесено съдържание“ на страниците си.
• Понякога е по-лесно да получите процесор за разплащане на трети страни. Няма срам да оставите Google Checkout, Paypal или Checkout от Amazon да се справят с плащанията ви. Ако всичко по-горе ви се струва прекалено трудно, можете да оставите клиентите си да обменят информация за плащанията на защитения сайт на Paypal или на защитения сайт на Google и да си спестите неприятностите.

Имате ли други въпроси или коментари относно HTTPS и SSL / TLS сертификати? Нека го чуя в коментарите.