Certificatele HTTPS și SSL Faceți-vă site-ul sigur (și de ce ar trebui)
Deși nu toți înțeleg cum funcționează, acel lacăt din bara de adrese semnalează utilizatorilor web că au o conexiune de încredere cu un site legitim. Dacă vizitatorii nu văd că în bara de adrese când își însuflețesc site-ul, nu veți - și nu ar trebui - să-i faceți afacerea.
Pentru a obține acel lacăt cu bară de adrese pentru site-ul dvs., aveți nevoie de un certificat SSL. Cum obții unul? Citiți mai departe pentru a afla.
Scopul articolului:
- Ce este SSL / TLS?
- Cum se utilizează HTTPS?
- Ce este un certificat SSL și cum obțin unul?
- Ghid de cumpărături pentru certificatul SSL
- Autoritate certificată
- Validarea domeniului vs. Validarea extinsă
- Partajare SSL vs. SSL privat
- Trust Seals
- Certificate SSL Wildcard
- Garanții
- Certificatele SSL gratuite și certificatele SSL cu auto-semnătură
- Instalarea unui certificat SSL
- HTTPS Pro și Contra
Ce este SSL / TLS?
Pe web, datele sunt transferate utilizând Protocolul de transfer al hipertextului. De aceea, toate adresele URL ale paginilor web au "http: //" sau "https://" in fata lor.
Care este diferența dintre http și https? S-au avut mari implicații: Siguranța.
Lasă-mă să explic.
HTTP este "limba" pe care o utilizează computerul și serverul pentru a vorbi unul cu celălalt. Această limbă este înțeleasă universal, ceea ce este convenabil, dar are și dezavantajele sale. Atunci când datele sunt transmise între dvs. și un server prin intermediul internetului, acesta va face niște opriri înainte de a ajunge la destinația finală. Aceasta prezintă trei mari riscuri:
- Cineva ar putea trage cu urechea pe conversația dvs. (un fel de apel digital).
- Cineva ar putea juca rolul una (sau ambele) dintre părți în ambele părți.
- Cineva ar putea falsifica cu mesajele transferate.
Hackerii și jafii folosesc o combinație a celor de mai sus pentru o serie de escrocherii și încălcări, inclusiv atacuri de tip phishing, atacuri de tip "man-in-the-middle" și publicitate bună de modă veche. Atacurile rău-intenționate ar putea fi la fel de simple precum răsfoirea acreditărilor Facebook prin interceptarea cookie-urilor necriptate (ascultarea prin cablu) sau ar putea fi mai sofisticate. De exemplu, ați putea crede că îi spuneți băncii: "Vă rugăm să transferați 100 $ ISP-ului meu", dar cineva din mijloc ar putea modifica mesajul pentru a citi: "Vă rugăm să transferați 100 $ toți banii către ISP Peggy din Siberia" și impersonarea).
Deci, acestea sunt problemele cu HTTP. Pentru a rezolva aceste probleme, HTTP poate fi stratificat cu un protocol de securitate, rezultând HTTP Secure (HTTPS). Cel mai adesea, S în HTTPS este furnizat de protocolul Secure Sockets Layer (SSL) sau de noul Protocol Transport Layer Security (TLS). Când este implementat, HTTPS oferă bidirecțional criptare (pentru a preveni tragerea la sorți), Server autentificare (pentru a împiedica identitatea) și autentificarea mesajelor (pentru a preveni manipularea datelor).
Cum se utilizează HTTPS
Ca un limbaj vorbit, HTTPS funcționează numai dacă ambele părți aleg să o vorbească. Pe partea clientului, alegerea folosirii HTTPS poate fi făcută introducând "https" în bara de adrese a browserului înainte de adresa URL (de exemplu, în loc să tastați http://www.facebook.com, tastați https: // www. facebook.com) sau prin instalarea unei extensii care forțează automat HTTPS, cum ar fi HTTPS Everywhere pentru Firefox și Chrome. Atunci când browserul dvs. Web utilizează HTTPS, veți vedea o pictogramă de lacăt, o bară de browser verde, degete în sus sau alt semn de încurajare a conexiunii dvs. cu serverul.
Cu toate acestea, pentru a utiliza HTTPS, serverul web trebuie să îl accepte. Dacă sunteți un webmaster și doriți să oferiți HTTPS vizitatorilor dvs. de Web, atunci veți avea nevoie de un certificat SSL sau certificat TLS. Cum obțineți un certificat SSL sau TLS? Continua să citești.
Citirea ulterioară: unele aplicații web populare vă permit să alegeți HTTPS în setările dvs. de utilizator. Citiți notele noastre de pe Facebook, Gmail și Twitter.
Ce este un certificat SSL și cum obțin unul?
Pentru a utiliza HTTPS, serverul dvs. Web trebuie să aibă un certificat SSL sau un certificat TLS instalat. Un certificat SSL / TLS este un fel de ID de fotografie pentru site-ul dvs. Web. Când un browser care utilizează HTTPS accesează pagina Web, va efectua o "strângere de mână", în timpul căreia computerul client solicită certificatul SSL. Certificatul SSL este apoi validat de o autoritate de certificare de încredere (CA), care verifică dacă serverul este cel care spune că este. Dacă totul se întâmplă, vizitatorul tău web primește marca de verificare verde sau pictograma de blocare. Dacă se întâmplă ceva, ei vor primi un avertisment de la browserul web, afirmând că identitatea serverului nu a putut fi confirmată.
Cumpărături pentru un certificat SSL
Când vine vorba de instalarea unui certificat SSL pe site-ul dvs., există o mulțime de parametri pentru a decide asupra. Să trecem peste cele mai importante:
Autoritate certificată
Autoritatea de certificare (CA) este compania care emite certificatul dvs. SSL și este cea care vă va valida certificatul de fiecare dată când un vizitator ajunge pe site-ul dvs. Web. În timp ce fiecare furnizor de certificate SSL va concura pe preț și pe caracteristici, cel mai important lucru pe care trebuie să-l luați în considerare atunci când verificați autoritățile de certificare este dacă acestea au sau nu certificate care vin preinstalate pe cele mai populare browsere web. Dacă autoritatea de certificare care emite certificatul dvs. SSL nu se află pe lista respectivă, utilizatorul va primi un avertisment că certificatul de securitate al site-ului nu are încredere. Desigur, acest lucru nu înseamnă că site-ul dvs. este ilegitim - înseamnă doar că autoritatea dvs. nu este pe listă (încă). Aceasta este o problemă deoarece majoritatea utilizatorilor nu vor deranja citirea avertismentului sau cercetarea CA nerecunoscută. Probabil vor da doar un clic.
Din fericire, lista de CA-uri preinstalate din browserele majore este destul de mare. Acesta include unele nume mari de marci, precum și CA mai puțin cunoscute și mai accesibile. Nume de domenii includ Verisign, Go Daddy, Comodo, Thawte, Geotrust și Entrust.
De asemenea, puteți să vă uitați în setările browserului dvs. pentru a vedea care autorități de certificate vin preinstalate.
- Pentru Chrome, accesați Setări -> Afișați setările avansate ... -> Gestionați certificatele.
- Pentru Firefox, faceți Opțiuni -> Avansat -> Vizualizați Certificate.
- Pentru IE, Opțiuni Internet -> Conținut -> Certificate.
- Pentru Safari, intrați în Finder și alegeți Go -> Utilities -> KeyChain Access și faceți clic pe System.
Pentru referințe rapide, verificați acest subiect, care afișează certificatele SSL acceptabile pentru Google Checkout.
Validarea domeniului vs. Validarea extinsă
Timp tipic de eliberare | Cost | Bara de adresa | |
Validarea domeniului | Aproape imediat | Scăzut | HTTPS normal (pictograma lacăt) |
Validarea organizației | Cateva zile | la mijlocul | HTTPS normal (pictograma lacăt) |
Validare extinsă | O săptămână sau mai mult | Înalt | Adresa de bara verde, informații despre verificarea ID-ului companiei |
Un certificat SSL este menit să demonstreze identitatea site-ului web la care trimiteți informații. Pentru a se asigura că utilizatorii nu iau certificate false SSL pentru domenii pe care nu le controlează în mod legal, o autoritate de certificare va valida faptul că persoana care solicită certificatul este într-adevăr proprietarul numelui de domeniu. În mod obișnuit, acest lucru se face printr-o confirmare rapidă a e-mailului sau a telefonului, similar cu atunci când un site web vă trimite un e-mail cu un link de confirmare a contului. Aceasta se numește a domeniu validat Certificat SSL. Avantajul este că permite emiterea certificatelor SSL aproape imediat. Probabil că puteți merge și obțineți un certificat SSL validat în mai puțin timp decât vă duc să citiți acest post pe blog. Cu un certificat SSL certificat de domeniu, obțineți lacătul și capacitatea de a cripta traficul site-ului dvs. Web.
Avantajele unui certificat SSL certificat de domeniu sunt că sunt rapid, ușor și ieftin de obținut. Acesta este și neajunsul lor. După cum vă puteți imagina, este mai ușor să respirați un sistem automat decât unul condus de ființele umane vii. Este cam ca un copil de liceu să intre în DMV spunând că el era Barack Obama și că dorea să obțină un ID eliberat de guvern. persoana de la birou ar arunca o privire la el și va apela la federali (sau la coșuleț). Dar dacă ar fi un robot care lucra la un chioșc de fotografie cu fotografie, ar putea avea ceva noroc. În mod similar, phiserii pot obține "coduri false" pentru site-uri precum Paypal, Amazon sau Facebook prin înșelăciunea sistemelor de validare a domeniilor. În 2009, Dan Kaminsky a publicat un exemplu de modalitate de fraudare a CA pentru a obține certificate care ar face ca un site phishing să pară o conexiune sigură și legată. Pentru om, această înșelătorie ar fi ușor de observat. Dar validarea domeniului automatizat la acel moment nu avea la dispoziție controalele necesare pentru a preveni așa ceva.
Ca răspuns la vulnerabilitățile certificatelor SSL și certificate validate pe domenii, industria a introdus Validare extinsă certificat. Pentru a obține un certificat EV SSL, compania sau organizația dvs. trebuie să se supună examinării riguroase pentru a se asigura că este în stare bună cu guvernul dvs. și controlează cu dreptate domeniul pentru care solicitați. Aceste controale, printre altele, necesită un element uman și, prin urmare, durează mai mult și sunt mai scumpe.
În unele industrii, este necesar un certificat EV. Dar pentru alții, avantajul este valabil numai în ceea ce îi va recunoaște vizitatorii. Pentru vizitatorii web de zi cu zi, diferența este subtilă. În plus față de pictograma lacăt, bara de adrese devine verde și afișează numele companiei dvs. Dacă dați clic pentru mai multe informații, vedeți că identitatea companiei a fost verificată, nu doar site-ul Web.
Iată un exemplu de site HTTPS normal:
Iată un exemplu de site certificat EV HTTPS:
În funcție de industria dvs., este posibil ca un certificat EV să nu merite. În plus, trebuie să fii o afacere sau o organizație pentru a obține una. Deși companiile mari se îndreaptă spre certificarea EV, veți observa că majoritatea site-urilor HTTPS continuă să ofere o aromă non-EV. Dacă este suficient de bun pentru Google, Facebook și Dropbox, poate că este suficient pentru dumneavoastră.
Un alt lucru: există o opțiune din mijlocul drumului numită a organizație validată sau afaceri validat certificare. Aceasta este o verificare mai aprofundată decât validarea domeniului automatizat, dar nu merge până la îndeplinirea reglementărilor din domeniu pentru un certificat de validare extinsă (observați capitolul Validarea extinsă și validarea organizațională nu?). O certificare certificată OV sau certificată de afaceri costă mai mult și durează mai mult, dar nu vă va oferi bara de adrese verde și informațiile despre identitatea companiei verificate. Sincer, nu mă pot gândi la un motiv să plătesc un certificat OV. Dacă vă puteți gândi la una, vă rog să mă luminați în comentarii.
Partajare SSL vs. SSL privat
Unele gazde web oferă un serviciu SSL partajat, adesea mai accesibil decât un SSL privat. În afară de preț, beneficiul unui SSL partajat este că nu aveți nevoie să obțineți o adresă IP privată sau o gazdă dedicată. Dezavantajul este că nu vă puteți folosi propriul nume de domeniu. În schimb, porțiunea securizată a site-ului dvs. va fi ceva de genul:
https://www.hostgator.com/~yourdomain/secure.php
În contrast cu aceasta la o adresă SSL privată:
https://www.yourdomain.com/secure.php
Pentru site-urile cu care se confruntă publicul, cum ar fi site-urile de comerț electronic și site-urile de socializare, acest lucru este în mod evident o tragere, deoarece se pare că ați fost redirecționat de pe site-ul principal. Dar pentru zonele care nu sunt privite de obicei de către publicul larg, cum ar fi un sistem de e-mail sau o zonă de administrator, atunci un SSL partajat ar putea fi o afacere bună.
Trust Seals
Multe autorități de certificate vă permit să plasați un sigiliu de încredere pe pagina dvs. web după ce v-ați înscris pentru unul dintre certificatele acestora. Acest lucru oferă aproape aceleași informații ca și clicul lacătul din fereastra browserului, dar cu o vizibilitate mai mare. Includerea unui sigiliu de încredere nu este necesară și nici nu vă amplifică securitatea, dar dacă oferă vizitatorilor dvs. fuzzii calde, cunoscând cine a emis certificatul SSL, aruncați-l prin toate mijloacele acolo.
Certificate SSL Wildcard
Un certificat SSL verifică identitatea unui domeniu. Deci, dacă doriți să aveți HTTPS pe mai multe subdomații - de exemplu, groovypost.com, mail.groovypost.com și answer.groovypost.com - va trebui să cumpărați trei certificate SSL diferite. Într-un anumit punct, un certificat SSL de tip wildcard devine mai economic. Acesta este un certificat care acoperă un domeniu și toate subdomeniile, adică * .groovepost.com.
Garanții
Indiferent cât de lungă este reputația unei companii, există vulnerabilități. Chiar și CA-urile de încredere pot fi vizate de hackeri, așa cum reiese din încălcarea la VeriSign, care a fost nedeclarată în 2010. În plus, statutul de CA pe lista de încredere poate fi revocat rapid, așa cum am văzut cu digiNotar snafu în 2011. Lucrurile se întâmplă.
Pentru a atenua orice neliniște față de potențialul unor astfel de acte aleatorii de desfrânare a SSL, multe CA oferă acum garanții. Acoperirea variază de la câteva mii de dolari la peste un milion de dolari și include pierderi rezultate din utilizarea abuzivă a certificatului dvs. sau alte neajunsuri. Nu am nici o idee dacă aceste garanții adaugă valoare sau nu sau dacă cineva a câștigat vreodată o pretenție. Dar ele sunt acolo pentru a vă lua în considerare.
Certificatele SSL gratuite și certificatele SSL cu auto-semnătură
Există două tipuri de certificate SSL gratuite disponibile. O auto-semnată, folosită în primul rând pentru testare privată și certificări SSL publice cu răspundere completă, emise de o Autoritate de Certificare valabilă. Vestea bună este că, în 2018, există câteva opțiuni pentru a obține 100% gratuit, valabil 90 de zile SSL certs de la ambele SSL gratuit sau Let's Criptare. SSL pentru Gratuit este în primul rând un GUI pentru Let's Encrypt API. Avantajul site-ului SSL pentru site-ul gratuit este simplu de folosit deoarece are un GUI frumos. Hai să cripteză, cu toate acestea, este frumos, deoarece puteți automatiza complet solicitarea certurilor SSL de la ei. Ideal dacă aveți nevoie de certificări SSL pentru mai multe site-uri / servere.
Un certificat SSL cu auto-semnare este gratuit pentru totdeauna. Cu un certificat auto-semnat, sunteți propriul CA. Cu toate acestea, deoarece nu sunteți printre CA-urile de încredere încorporate în browsere web, vizitatorii vor primi un avertisment că autoritatea nu este recunoscută de sistemul de operare. Ca atare, nu există nicio asigurare că tu ești cel care spui că ești (e ca și cum ai fi eliberat un ID de fotografie și încerci să-l dai jos la magazinul de băuturi alcoolice). Cu toate acestea, beneficiul unui certificat SSL cu auto-semnare este că permite criptarea traficului web. Ar putea fi util pentru uz intern, unde puteți angaja personalul dvs. să vă adauge organizația ca CA de încredere pentru a scăpa de mesajul de avertizare și pentru a lucra la o conexiune sigură pe Internet.
Pentru instrucțiuni privind configurarea unui certificat SSL cu auto-semnare, consultați documentația pentru OpenSSL. (Sau, dacă există suficientă cerere, voi scrie un tutorial.)
Instalarea unui certificat SSL
Odată ce ați achiziționat certificatul SSL, trebuie să îl instalați pe site-ul dvs. Web. Un bun web gazdă va oferi acest lucru pentru tine. Unii ar putea merge chiar până la cumpărarea pentru tine. De multe ori, acesta este cel mai bun mod de a merge, deoarece simplifică facturarea și asigură că este configurat corect pentru serverul dvs. web.
Cu toate acestea, aveți întotdeauna opțiunea de a instala un certificat SSL pe care l-ați cumpărat pe cont propriu. Dacă faceți asta, ați putea dori să începeți să consultați baza de cunoștințe a gazdei web sau deschizând un bilet de asistență tehnică. Acestea vă vor îndruma la cele mai bune instrucțiuni pentru instalarea certificatului dvs. SSL. De asemenea, consultați instrucțiunile furnizate de CA. Acestea vă vor oferi mai multă îndrumare decât orice sfat generic pe care vă pot oferi aici.
S-ar putea să doriți să verificați următoarele instrucțiuni pentru instalarea unui certificat SSL:
- Instalați un certificat SSL și configurați domeniul în cPanel
- Cum se implementează SSL în IIS (Windows Server)
- Apache SSL / TLS Criptare
Toate aceste instrucțiuni vor implica crearea unei solicitări de semnare a certificatului SSL (CSR). De fapt, veți avea nevoie de un CSR doar pentru a obține un certificat SSL emis. Din nou, gazda dvs. web vă poate ajuta cu asta. Pentru informații mai precise despre DIY în ceea ce privește crearea unui CSR, verificați această scriere de la DigiCert.
Pro și Contra HTTPS
Am stabilit deja ferm avantajele HTTPS: securitate, securitate, securitate. Nu numai că acest lucru atenuează riscul unei încălcări a datelor, ci încurajează încrederea și adaugă reputația site-ului dvs. web. Clienții savârsiți pot să nu se deranjeze chiar dacă înregistrează un "http: //" pe pagina de conectare.
Există, totuși, unele contra pentru HTTPS. Având în vedere necesitatea HTTPS pentru anumite tipuri de site-uri web, este mai logic să se gândească la acestea ca la "contramai degrabă decât negative.
- HTTPS costă bani. Pentru început, există costul achiziționării și reînnoirii certificatului dvs. SSL pentru a vă asigura de valabilitate de la an la an. Există, de asemenea, anumite cerințe de sistem pentru HTTPS, cum ar fi o adresă IP dedicată sau un plan dedicat de găzduire, care poate fi mai costisitor decât un pachet de găzduire partajat.
- HTTPS poate încetini răspunsul serverului. Există două probleme legate de SSL / TLS care ar putea încetini viteza de încărcare a paginii. În primul rând, pentru a începe prima dată comunicarea cu site-ul dvs., browserul utilizatorului trebuie să treacă prin procesul de strângere de mână, care revine la site-ul autorității de certificare pentru a verifica certificatul. Dacă serverul de web al CA este lent, atunci va fi o întârziere în încărcarea paginii. Acest lucru este în mare măsură în afara controlului tău. În al doilea rând, HTTPS utilizează criptarea, care necesită mai multă putere de procesare. Acest lucru poate fi abordat prin optimizarea conținutului dvs. pentru lățimea de bandă și actualizarea hardware-ului de pe serverul dvs. CloudFare are o postare bună pe blog despre cum și de ce SSL ar putea încetini site-ul dvs..
- HTTPS poate afecta eforturile SEO Când treceți de la HTTP la HTTPS; vă deplasați la un nou site Web. De exemplu, https://www.groovypost.com nu ar fi la fel ca http://www.groovypost.com. Este important să vă asigurați că ați redirecționat vechile linkuri și că ați scris regulile corespunzătoare sub capota serverului dvs. pentru a evita pierderea oricărui suc prețios de legături.
- Conținutul mixt poate arunca un steag galben. Pentru unele browsere, dacă aveți partea principală dintr-o pagină web încărcată de la HTTPS, dar imagini și alte elemente (cum ar fi foi de stil sau scripturi) încărcate dintr-o adresă HTTP, poate apărea un pop-up care să avertizeze că pagina conține conținut nesecurizat. Desigur, având niste conținutul securizat este mai bun decât neavând nici unul, chiar dacă acesta din urmă nu are ca rezultat un popup. Dar, totuși, ar putea fi util să vă asigurați că nu aveți "conținut mixt" pe paginile dvs..
- Uneori este mai ușor să obțineți un procesor de plată terț. Nu este nici o rușine să permiteți plăților Google Checkout, Paypal sau Checkout de către Amazon. Dacă toate cele de mai sus seamănă prea mult pentru a vă grăbi, puteți permite clienților să facă schimb de informații despre plăți pe site-ul securizat al Paypal sau pe site-ul securizat Google și să vă salveze problemele.
Aveți alte întrebări sau comentarii despre certificatele HTTPS și SSL / TLS? Lasă-mă să-l aud în comentariile.