ХТТПС и ССЛ сертификати: Направите своју веб локацију безбедном (и зашто би требало)

Како да

Од странеЈацк Бусцх

Последњи пут ажурирано20. априла 2018

Када је у питању слање личних података путем Интернета - било да се ради о контактним подацима, акредитивима за пријаву, подацима о рачуну, информације о локацији или било шта друго што би се могло злоупотребити - јавност је у великој мери потпуно параноична у погледу хакера и идентитета лопови. И с правом је тако. Страх да би ваше информације могле да буду украдене, неовлаштено украдене или им се присвоји, далеко је од ирационалног. Наслови о пропуштањима и кршењима сигурности током посљедњих неколико деценија то и доказују. Али упркос овом страху, људи се и даље пријављују да би вршили своје банкарство, куповину, часописе, изласке, дружења и друге личне и професионалне послове на вебу. И постоји једна ситница која им даје самопоуздање да то ураде. Показаћу вам то:

Иако не разумију сви како то функционише, тај мали катанац у адресној траци сигнализира веб корисницима да имају поуздану везу са легитимном веб страницом. Ако посетиоци то не виде у адресној траци када повуку вашу веб локацију, нећете - и не бисте требали - да се баве њиховим послом.

Да бисте добили мало закључавање адресне траке за своју веб локацију, потребан вам је ССЛ сертификат. Како је набавите? Прочитајте да бисте сазнали.

Преглед чланка:

• Шта је ССЛ / ТЛС?
• Како се користи ХТТПС?
• Шта је ССЛ сертификат и како да је добијем?
• Водич за куповину ССЛ сертификата
• • Дипломирани орган
  • Провера домена вс. Проширена валидација
  • Схаред ССЛ вс. Приватни ССЛ
  • Труст Сеалс
  • Вилдцард ССЛ сертификати
  • Гаранције
  • Бесплатни ССЛ цертификати и самопотписани ССЛ цертификати
• Инсталирање ССЛ цертификата
• За и против ХТТПС-а

Шта је ССЛ / ТЛС?

На Интернету се подаци преносе помоћу протокола за пренос хипертекста. Зато сви УРЛ-ови веб страница имају „ http://” или „хттпс://" испред њих.

Која је разлика између хттп и хттпс? Тај мали мали С има велике импликације: Сигурност.

Дозволи да објасним.

ХТТП је "језик" који рачунар и сервер користе да би разговарали једни са другима. Овај језик је универзално разумљив, што је прикладно, али има и својих недостатака. Кад се подаци пренесу између вас и сервера путем Интернета, направиће нека заустављања на путу пре него што стигну до крајњег одредишта. Ово представља три велика ризика:

• То би неко могао прислушкивање у вашем разговору (попут дигиталног прислушкивања).

• То би неко могао лажно представљати једна (или обе) стране на оба краја.

• То би неко могао заваравати с тим да се поруке преносе.

Хакери и кретени користе комбинацију горе наведеног за бројне преваре и пљачке, укључујући крађе лажних напада, напада човека у средини и добру старомодну рекламу. Злонамјерни напади могу бити једноставни као и њушкање Фацебоокових вјеродајница пресретањем некодираних колачића (прислушкивање), или би могли бити софистициранији. На пример, могли бисте помислити да говорите својој банци: „Молим вас, пренесите 100 долара на мој давалац интернетских услуга“, али неко у средини може да измени поруку тако да гласи: „Молим пренесите $100сав мој новац до мој ИСППегги у Сибиру”(Превара података и лажно представљање).

То су проблеми са ХТТП-ом. Да би се решили ови проблеми, ХТТП може бити слојевит сигурносним протоколом, што резултира ХТТП Сецуре (ХТТПС). Најчешћи је С у ХТТПС-у обезбеђен протоколом Сецуре Соцкетс Лаиер (ССЛ) или новијим ТЛС протоколом за сигурност транспортног слоја. Када се користи, ХТТПС нуди двосмерну употребу енкрипција (да спречите прислушкивање), серверАутентикација (да би се спречило лажно представљање) и потврда идентитета поруке (да се спречи варање података).

Како се користи ХТТПС

Као и говорни језик, ХТТПС функционише само ако обе стране одлуче да га говоре. На страни клијента, избор ХТТПС-а може се извршити уносом „хттпс“ у адресну траку прегледача пре УРЛ-а (нпр. Уместо да куцате http://www.facebook.com, тип https://www.facebook.com) или инсталирањем проширења које аутоматски форсира ХТТПС, као што је ХТТПС Еверивхере фор Фирефок и Хром. Када ваш веб прегледач користи ХТТПС, видећете икону катанца, зелену траку прегледача, палчеве или неки други уверљиви знак да је ваша веза са сервером сигурна.

Међутим, да бисте користили ХТТПС, веб сервер га мора подржавати. Ако сте вебмастер и желите да понудите ХТТПС својим посетиоцима, тада ће вам требати ССЛ сертификат или ТЛС сертификат. Како добијате ССЛ или ТЛС сертификат? Настави да читаш.

Даљње читање: Неке популарне веб апликације омогућују вам да одаберете ХТТПС у својим корисничким подешавањима. Прочитајте наше записе на Фејсбук, Гмаил, и Твиттер.

Шта је ССЛ сертификат и како да је добијем?

Да бисте користили ХТТПС, ваш веб сервер мора имати инсталиран ССЛ сертификат или ТЛС сертификат. ССЛ / ТЛС сертификат је некако као ИД фотографије за вашу веб локацију. Када прегледач који користи ХТТПС приступа вашој веб страници, извршиће „руковање“, током кога клијентски рачунар тражи ССЛ сертификат. ССЛ сертификат затим потврђује ауторитет поузданог сертификата (ЦА), који проверава да је сервер онај који каже да јесте. Ако се све одјави, ваш веб посетилац добија сигурну зелену квачицу или икону закључавања. Ако нешто пође по злу, добиће упозорење од веб прегледача, наводећи да идентитет сервера не може да се потврди.

Куповина ССЛ сертификата

Када је у питању инсталирање ССЛ сертификата на вашу веб локацију, постоји мноштво параметара о којима треба одлучити. Хајде да пређемо на најважније:

Дипломирани орган

Ауторитет за сертификате (ЦА) је компанија која издаје ваш ССЛ сертификат и она ће потврдити ваш сертификат сваки пут када посетилац дође на вашу веб локацију. Иако ће се сваки добављач ССЛ сертификата надметати у цени и карактеристикама, ствар која је треба узети у обзир приликом прегледа ауторитети за цертификате имају ли или не сертификати који су унапред инсталирани на најпопуларнијем вебу прегледачи. Ако ауторитет сертификата који издаје ваш ССЛ сертификат није на тој листи, корисник ће бити упитани упозорењем да се безбедносном сертификату веб локације не верује. Наравно, то не значи да ваша веб локација није нелегитимна - то само значи да ваш ЦА још није на листи (још). Ово је проблем јер се већина корисника неће мучити да читају упозорење или истражују непризнати ЦА. Вероватно ће само кликнути.

Срећом, листа већ инсталираних ЦА на главним прегледачима је прилично знатна. Укључује неке велике робне марке, као и мање познате и повољније ЦА. Имена домаћинстава укључују Верисигн, Иди тата, Цомодо, Тхавте, Геотруст, и Поверење.

Такође можете да погледате подешавања свог прегледача да бисте видели која овлашћења за сертификате су унапред инсталирана.

• За Цхроме, идите на Подешавања -> Прикажи напредна подешавања... -> Управљање сертификатима.
• За Фирефок урадите Опције -> Напредно -> Прикажи сертификате.
• За ИЕ, Интернет опције -> Садржај -> Потврде.
• За Сафари, идите у Финдер и изаберите Го -> Утилитиес -> КеиЦхаин Аццесс и кликните Систем.

За брзу употребу погледајте ову нит која садржи листу прихватљиви ССЛ сертификати за Гоогле Цхецкоут.

Провера домена вс. Проширена валидација

ССЛ сертификат има за циљ да докаже идентитет веб странице којој шаљете информације. Да би се осигурало да људи не узимају лажне ССЛ цертификате за домене које они не контролишу исправно, а ауторитет цертификата ће потврдити да је особа која захтева цертификат заиста власник домена име. Обично се то обавља путем брзог потврђивања е-поште или телефонског позива, слично као када вам веб локација шаље е-пошту са везом за потврду налога. То се назива а домен проверен ССЛ сертификат. Предност овог је што омогућава издавање ССЛ сертификата готово одмах. Вероватно бисте могли да одете и набавите ССЛ сертификат о домену за мање времена него што вам је требало да прочитате овај пост на блогу. Помоћу верификованог домена ССЛ сертификата добијате катанац и могућност да шифрујете саобраћај на веб локацији.

Предности ССЛ сертификата домене су у томе што их је брзо, лако и јефтино набавити. То је и њихов недостатак. Као што можете замислити, лакше је повезати аутоматизовани систем од живог људског бића. То је некако као кад би неки средњошколац ушао у ДМВ рекавши да је он Барацк Обама и да жели да добије личну карту коју је издала влада. особа за столом погледала би га и позвала Федјере (или канту за смеће). Али да је робот радио киоск са фото ИД-ом, можда би имао среће. На сличан начин, лажњаци могу добити „лажне ИД-ове“ за веб локације попут Паипал-а, Амазона или Фацебоок-а тако што су закуцали системе за проверу домена. Дан Камински је 2009. године објавио пример начина на који превара службенике ЦА за добијање сертификата због тога би пхисхинг веб локација изгледала као да је сигурна, законита веза. За људе, ова превара би била лако уочити. Али у време аутоматске провере домена недостајало је неопходних провера да се овако нешто спречи.

Као одговор на рањивост ССЛ и ССЛ сертификованих домена, индустрија је увела Проширена валидација потврда. Да бисте добили ЕВ ССЛ сертификат, ваше предузеће или организација морају проћи ригорозну провјеру како би се осигурали да је у добром стању са вашом владом и с правом контролише домен који пријављујете за. Ови прегледи, између осталог, захтевају и људски елемент и на тај начин трају дуже и скупљи су.

У неким индустријама је потребан ЕВ сертификат. Али за друге, корист иде само онолико колико ће препознати ваши посетиоци. Код свакодневних веб посетилаца разлика је суптилна. Поред иконе локота, адресна трака постаје зелена и приказује назив ваше компаније. Ако кликнете за више информација, видећете да је идентитет компаније верификован, а не само веб локација.

Ево примера нормалне ХТТПС веб локације:

А ево примера ХТТПС веб локације са ЕВ сертификатом:

Зависно од ваше индустрије, ЕВ сертификат можда и не вреди. Поред тога, морате бити компанија или организација да бисте је добили. Иако се велике компаније залажу за ЕВ сертификат, приметићете да већина ХТТПС сајтова и даље поседује укус без ЕВ. Ако је довољно добро за Гоогле, Фацебоок и Дропбок, можда је то довољно и за вас.

Још једна ствар: постоји опција пута на средини пута која се зове ан организација потврђена или пословање потврђено сертификација. Ово је темељније испитивање од аутоматизоване провере домена, али не иде толико да испунимо индустрију прописи за Цертификат за продужену валидацију (приметите како је Проширена валидација великим словима и „организациона валидација “није?). Потврда о потврди ОВ или компаније кошта више и траје дуже, али неће вам дати зелену адресну траку и информације о идентитету компаније. Искрено, не могу смислити разлог да платим ОВ сертификат. Ако можете да смислите један, просветлите ме у коментарима.

Схаред ССЛ вс. Приватни ССЛ

Неки веб домаћини нуде заједничку ССЛ услугу, која је често приступачнија од приватног ССЛ-а. Осим цене, предност дељеног ССЛ-а је та што вам није потребно да добијате приватну ИП адресу или наменски домаћин. Лоша страна је та што не морате да користите сопствено име домена. Уместо тога, сигурни део ваше веб локације биће нешто попут:

https://www.hostgator.com/~yourdomain/secure.php

Упоредите то са приватном ССЛ адресом:

https://www.yourdomain.com/secure.php

За веб странице које су окренуте јавности, попут веб локација за електроничку трговину и друштвених мрежа, ово је очигледно потешкоће, јер изгледа као да сте преусмјерени са главне веб локације. Али за подручја која јавност уопште не гледа, попут унутрашњости поштанског система или административног подручја, тада би заједнички ССЛ могао бити добар посао.

Труст Сеалс

Многе службе за сертификате дозвољавају вам да ставите печат поверења на своју веб страницу након што сте се пријавили за један од њихових сертификата. То даје отприлике исте информације као што би кликнуло на катанац у прозору прегледача, али уз већу видљивост. Укључивање печата за поверење није потребно, нити вам појачава сигурност, али ако посетиоцима даје топле фуззие који знају ко је издао ССЛ сертификат, на било који начин га баци тамо.

Вилдцард ССЛ сертификати

ССЛ сертификат верификује идентитет једног домена. Дакле, ако желите да имате ХТТПС на више поддомена, нпр. Гроовипост.цом, маил.гроовипост.цом и ансвер.гроовипост.цом—Требало би да купите три различита ССЛ сертификата. У одређеном тренутку, вилдцард ССЛ сертификат постаје економичнији. То јест, један цертификат за покривање једног домена и свих поддомена, тј. * .Гроовипост.цом.

Гаранције

Без обзира колико дуго је добра репутација компаније, постоје рањивости. Чак и поуздани ЦА могу бити на мети хакера, о чему сведочи кршење у ВериСигн-у, које је непријављено 2010. године. Штавише, статус ЦА-а на листи са поверењем може се брзо опозвати, као што смо видели са ДигиНотар снафу још у 2011. години Ствари се дешавају.

Да би уверили било какву забринутост због могућности таквих насумичних дебатирања на ССЛ, многи ЦА сада нуде гаранције. Покривање се креће од неколико хиљада до преко милион долара и укључује губитке који су последица злоупотребе вашег сертификата или других пропуста. Немам појма да ли ти гаранције заиста додају вредност или не, или је ли неко икада успешно освојио захтев. Али они су ту због вашег разматрања.

Бесплатни ССЛ цертификати и самопотписани ССЛ цертификати

Доступне су две врсте бесплатних ССЛ сертификата. Самоподписан, који се првенствено користи за приватно тестирање и пуну публику која се суочава са ССЛ сертификатима, а издата од стране ваљане организације Цертифицат. Добра вест је да ће у 2018. години постојати неколико опција за добијање 100% бесплатних, валидних 90 дневних ССЛ цертова од оба ССЛ бесплатно или Шифрујмо. ССЛ фор Фрее је првенствено ГУИ за Лет’с Енцрипт АПИ. Предност локације ССЛ фор Фрее је у томе што је једноставан за употребу јер има леп ГУИ. Шифрирајмо, међутим, лепо, јер можете у потпуности аутоматизовати тражење ССЛ цертс-а од њих. Идеално ако вам требају ССЛ цертс за више веб локација / сервера.

Потписан ССЛ сертификат је заувек бесплатан. Уз потврду да је ваш властити потписник. Међутим, с обзиром да нисте међу поузданим ЦА-овима уграђеним у веб прегледаче, посетиоци ће добити упозорење да ауторитет не препознаје оперативни систем. Као такво, заиста не постоји сигурност да сте оно што кажете да јесте (то је некако као издавање себи личне фотографије и покушавање слања у продавници алкохолних пића). Предност ССЛ сертификата који је сам потписао је да омогућава шифровање за веб саобраћај. То би могло бити добро за интерну употребу, где запослени могу да додају вашу организацију као поуздан ЦА да бисте се ослободили поруке упозорења и радили на безбедној вези преко Интернета.

За упутства о подешавању самоподписаног ССЛ сертификата, погледајте документацију за ОпенССЛ. (Или, ако постоји довољна потражња, написаћу туториал.)

Инсталирање ССЛ цертификата

Након што сте купили ССЛ сертификат, морате да га инсталирате на веб локацију. Добар веб домаћин ће вам понудити да то уради за вас. Неки би могли чак и отићи до купње за вас. Често је то најбољи начин, јер поједностављује наплату и осигурава да је правилно подешена за ваш веб сервер.

Ипак, увек имате могућност да инсталирате ССЛ сертификат који сте сами купили. Ако то учините, можда бисте желели да започнете са консултацијама са базом знања вашег веб домаћина или отварањем улазнице службе за помоћ. Усмераваће вас ка најбољим упутствима за инсталирање вашег ССЛ сертификата. Такође би требало да се обратите упутствима која пружа ЦА. Они ће вам дати боље смернице од било којег општег савета који вам овде могу дати.

Такође бисте желели да проверите следећа упутства за инсталирање ССЛ сертификата:

• Инсталирајте ССЛ цертификат и подесите домен у цПанел
• Како имплементирати ССЛ у ИИС (Виндовс Сервер)
• Апацхе ССЛ / ТЛС енкрипција

Сва ова упутства укључују израду захтева за потписивање ССЛ сертификата (ЦСР). Заправо ће вам требати ЦСР само да бисте издали ССЛ сертификат. Опет, ваш веб домаћин вам може помоћи у томе. За детаљније ДИИ информације о креирању ЦСР-а, погледајте овај запис ДигиЦерт.

За и против ХТТПС-а

Већ смо чврсто утврдили предности ХТТПС-а: сигурност, сигурност, сигурност. То не само да умањује ризик од кршења података, већ вам улива поверење и додаје репутацију вашој веб локацији. Симпатични купци се можда чак и не труде да се пријаве ако виде „ http://” на страници за пријаву.

Постоје, међутим, неке контра ХТТПС-а. С обзиром на потребу ХТТПС-а за одређене типове веб локација, има смисла размишљати о њима као о „контраидеје “, а не негатив.

• ХТТПС кошта новац. За почетак, постоје трошкови куповине и обнављања вашег ССЛ сертификата како би се осигурала важност из године у годину. Али постоје и одређени „системски захтеви“ за ХТТПС, као што је наменска ИП адреса или наменски план хостинга, који могу бити скупљи од заједничког хостинг пакета.
• ХТТПС може успорити одговор сервера. Постоје два проблема повезана са ССЛ / ТЛС-ом који могу успорити брзину учитавања странице. Прво, да бисте први пут могли да комуницирате са ваше веб странице, прегледач корисника мора да оде кроз процес руковања, који се враћа на веб локацију сертификата да би се потврдио потврда. Ако је веб сервер ЦА спор, онда ће доћи до кашњења у учитавању ваше странице. Ово је углавном ван ваше контроле. Друго, ХТТПС користи шифровање, за шта је потребна већа моћ обраде. Ово се може решити оптимизацијом вашег садржаја за пропусност и надоградњом хардвера на вашем серверу. ЦлоудФаре има добар пост на блогу о томе како и зашто ССЛ може успорити вашу веб страницу.
• ХТТПС може утицати на СЕО напоре Када прелазите са ХТТП-а на ХТТПС; прелазите на нову веб локацију. На пример, https://www.groovypost.com не би било исто http://www.groovypost.com. Важно је осигурати да сте преусмерили старе везе и написали одговарајућа правила под капом вашег сервера да не бисте изгубили драгоцени сок за везу.
• Мешовити садржај може бацити жуту заставу. За неке прегледаче, ако имате главни део веб странице учитане са ХТТПС-а, али слике и друге елементе (као што су таблице стилова или скрипте) учитане са ХТТП УРЛ-а, тада се може појавити скочни прозор који упозорава да страница укључује нон-сафе садржај. Наравно, имати неки сигуран садржај је бољи од тога да га нема, иако овај не доводи до скочног прозора. Али ипак, можда би било корисно осигурати да на вашим страницама немате ниједан „мешовити садржај“.
• Понекад је лакше набавити процесор плаћања другог произвођача. Нема срамоте да дозволи да Гоогле Цхецкоут, Паипал или Цхецкоут од стране компаније Амазон управљају вашим уплатама. Ако се све горе наведено чини као да се превише свађа, можете дозволити клијентима да размењују податке о плаћању на сигурној веб локацији Паипала или Гоогле-овој безбедној локацији и тако да себи сачувају проблеме.

Имате ли још питања или коментара о ХТТПС и ССЛ / ТЛС сертификатима? Дајте ми да то чујем у коментарима.