‘N SSL / TLS-sertifikaat vir kopers vir kopers

Niemand hou daarvan om te vertel dat hulle iets moet doen nie. Dit is net ‘n menslike aard om daarteen in opstand te kom, maar soms is die beste wat jy kan doen, jou lip byt en daarmee saamgaan. Dit is die geval met die HTTPS-mandaat wat die afgelope somer deur Google en die ander blaaiervervaardiger uitgereik is.


Deesdae word enige webwerf wat steeds via HTTP bedien word gemerk as ‘Nie veilig nie’, ‘n bynaam wat verkeer en omskakelings bedreig. Dit beteken dat elke webwerf nou ‘n SSL / TLS-sertifikaat benodig, wat die migrasie na HTTPS vergemaklik en help om die kommunikasie tussen u webwerf en sy besoekers te beveilig.

Begin Julie 2018 het Chrome alle HTTP-webwerwe gemerk as “nie veilig nie” (kom meer te wete).

Hierdie gids bespreek die dinge wat u moet oorweeg wanneer u ‘n SSL / TLS-sertifikaat koop. Ons begin met ‘n kort oorsig van die tegnologie voordat ons gaan kyk na die besonderhede wat u sal moet deursorteer wanneer ons besluit oor die regte sertifikaat vir u en u webwerf..

SSL / TLS 101: ‘n oorsig

Om veilig op die internet te kan kommunikeer, moet die bediener wat die webwerf huisves en die kliënt wat daarmee wil koppel, kodering gebruik. Enkripsie is ‘n wiskundige proses wat data vir niemand behalwe ‘n gemagtigde persoon onleesbaar maak nie. Dit word uitgevoer met behulp van enkripsiesleutels, en om ‘n kliënt en bediener veilig te kan verbind, moet albei ‘n kopie van dieselfde sleutel hê.

Dit is egter ‘n probleem. Hoe kan u die sleutels veilig uitruil? As ‘n aanvaller ‘n enkripsiesleutel in die gedrang kan bring, maak dit die enkripsie nutteloos, want die aanvaller kan steeds sien dat al die data wat uitgeruil word, is asof dit in gewone teks is.

SSL / TLS is die oplossing vir die sleutelruilprobleem.

SSL / TLS doen twee dinge:

  1. Dit verifieer die bediener sodat kliënte weet met watter entiteit hulle verbind
  2. Dit vergemaklik die uitruil van ‘n sessiesleutel wat gebruik kan word om veilig te kommunikeer

Dit lyk miskien ‘n bietjie abstrak, so laat ons dit aan die gang sit.

Elke keer as ‘n kliënt poog om met HTTPS kontak te maak – dit is die veilige weergawe van die Hypertext Transfer Protocol (HTTP) wat die internet al dekades gebruik – vind daar ‘n reeks interaksies plaas tussen die kliënt en die bediener wat die webwerf aanbied..

Daar is twee soorte enkripsiesleutels wat betrokke is by SSL / TLS-kodering. Daar is die simmetriese sessiesleutels wat ons so pas genoem het. Dit kan beide enkripteer en dekripteer en word gebruik om tydens die verbinding self te kommunikeer. Die ander sleutels is die publieke / private sleutelpaar. Hierdie vorm van enkripsie word kriptografie van die openbare sleutel genoem. Die publieke sleutel kan enkripteer, die private sleutel ontsyfer.

Aanvanklik kies die kliënt en bediener ‘n onderling-ondersteunde kodeksuite. ‘N Sifersuite is die stel algoritmes wat die kodering reguleer wat tydens die verbinding gebruik sal word.

Sodra daar oor ‘n kodeksuite ooreengekom is, stuur die bediener sy SSL-sertifikaat en openbare sleutel. Deur middel van ‘n reeks kontroles verifieer die kliënt die bediener, bevestig hy die identiteit daarvan en is dit die regmatige eienaar van die gepaardgaande openbare sleutel..

Na hierdie verifikasie genereer die kliënt ‘n sessiesleutel (of die geheim wat gebruik kan word om een ​​daarvan af te lei) en gebruik die openbare sleutel van die bediener om dit te enkripteer voordat hy dit na die bediener stuur. Met behulp van sy privaat-sleutel, dekodeer die bediener die sessiesleutel en die geënkripteerde verbinding begin (dit is die mees algemene vorm van sleuteluitruiling, soos uitgevoer met RSA – Diffie-Hellman-sleutelruil verskil effens).

As dit nog steeds ‘n bietjie ingewikkeld lyk, laat ons dit nog makliker maak.

  • Om veilig te kan kommunikeer, moet albei partye simmetriese sessiesleutels deel
  • SSL / TLS vergemaklik die uitruil van daardie sessiesleutels met kriptografie van die openbare sleutel
  • Nadat u bedieneridentiteit geverifieer het, word ‘n sessiesleutel of geheim met die publieke sleutel geïnkripteer
  • Die bediener gebruik sy privaat sleutel om die sessiesleutel te dekodeer en om geïnkripteer kommunikasie te begin

Kom ons kyk wat u as ‘n webwerf-eienaar moet oorweeg wanneer u ‘n SSL / TLS-sertifikaat koop of verkry.

Wat u moet oorweeg as u ‘n SSL / TLS-sertifikaat koop?

As u ‘n SSL / TLS-sertifikaat koop, neem u ‘n besluit oor twee primêre vrae:

  1. Watter oppervlak het u nodig om te bedek??
  2. Hoeveel identiteit wil u hê??

As u hierdie vrae kan beantwoord, word die keuse van ‘n sertifikaat ‘n kwessie van handelsmerk en koste, dan weet u reeds watter produk u benodig.

Voordat ons verder gaan, laat ons ‘n baie belangrike feit vasstel: ongeag hoe u hierdie twee vrae beantwoord, bied alle SSL / TLS-sertifikate dieselfde koderingsterkte.

Die koderingsterkte word bepaal deur ‘n kombinasie van die ondersteunende kodesuite en die rekenaarkrag van die kliënt en bediener aan weerskante van die verbinding. Die duurste SSL / TLS-sertifikaat wat op die mark beskikbaar is en ‘n gratis een, gaan dieselfde vlak van industrie-standaardkodering vergemaklik.

Wat wissel met sertifikate is die vlak van identiteit en hul funksionaliteit.

Laat ons begin met watter oppervlaktes u moet bedek.

1- SSL / TLS-sertifikaatfunksionaliteit

Moderne webwerwe het baie verder ontwikkel as wat dit was in die vroeë dae van die internet, toe u steeds tellers onderaan ‘n bladsy plaas om die verkeer op te spoor. Organisasies het deesdae ingewikkelde webinfrastrukture, sowel intern as ekstern. Ons praat oor verskeie domeine, subdomeine, e-posbedieners, ens.

Gelukkig het SSL / TLS-sertifikate langs moderne webwerwe ontwikkel om dit beter te beveilig. Daar is ‘n sertifikaattipe vir elke gebruiksgeval, maar u moet weet wat u spesifieke gebruiksgeval gaan wees.

Kom ons kyk na die vier verskillende SSL / TLS-sertifikaattipes en hul funksionaliteit:

  • Enkel domein – Soos die naam aandui, is hierdie SSL / TLS-sertifikaat vir ‘n enkele domein (beide die WWW- en nie-WWW-weergawes).
  • Multi-Domain – Hierdie tipe SSL / TLS-sertifikaat is vir organisasies met verskeie webwerwe; hulle kan tot 250 verskillende domeine gelyktydig beveilig.
  • wildcard – Sekuriteit vir ‘n enkele domein, plus al die gepaardgaande eerstevlak-subdomeine – soveel as wat u het (onbeperk).
  • Multi-domein Wildcard – ‘n SSL / TLS-sertifikaat met volledige funksionaliteit, kan tot 250 verskillende domeine en al die gepaardgaande subdomeine tegelyk enkripteer.

‘N Vinnige woord oor Wildcard-sertifikate. Wildcards is buitengewoon veelsydig, hulle kan ‘n onbeperkte aantal sub-domeine enkripteer en kan selfs nuwe sub-domeine verseker wat bygevoeg word na die uitreiking. By die opwekking van ‘n wildkaart word ‘n sterretjie (soms ‘n wildkaartkarakter genoem) op die sub-domeinvlak gebruik wat u wil kodeer. Dit dui aan dat enige subdomein op daardie URL-vlak van die geverifieerde domein geldig geassosieer word met die publieke / private sleutelpaar van die sertifikaat.

2- SSL / TLS-sertifikaatvalideringsvlak

Nadat u uitgevind het watter oppervlaktes u moet bedek, is dit tyd om te bepaal hoeveel identiteit u wil aanvoer. Daar is drie vlakke van bekragtiging; dit verwys na die mate waarop die Sertifikaatowerheid wat u SSL / TLS-sertifikaat uitreik, u en u webwerf via.

Drie vlakke van validering: domeinvalidering, organisasievalidering en uitgebreide validering.

Die mees basiese valideringsvlak word genoem Domeinvalidering. Dit neem slegs ‘n paar minute om hierdie validering te voltooi en die sertifikaat uit te reik, maar dit bevat die minste identiteitsinligting – wat net die bediener bevestig. DV SSL / TLS-sertifikate word die meeste gebruik, maar as gevolg van hul gebrek aan identiteit, ontvang webwerwe wat dit gebruik neutrale blaaierbehandeling.

Organisasie-validering bied meer organisatoriese inligting, wat die besoekers van u webwerf ‘n beter idee gee met wie hulle besig is, mits hulle weet waar hulle moet soek. OV SSL / TLS-sertifikate benodig ‘n matige hoeveelheid keuring, maar hulle voer nie genoeg identiteit aan om neutrale blaaierbehandeling te vermy nie. OV SSL-sertifikate kan ook toegewyde IP-adresse beveilig. Dit word gereeld in ondernemingsomgewings en in interne netwerke gebruik.

Die meeste identiteit wat ‘n SSL / TLS-sertifikaat kan bewys, is by die Uitgebreide validasie vlak. EV SSL / TLS-sertifikate vereis ‘n diepgaande keuring deur die CA, maar hulle beweer genoeg identifiserende inligting wat webblaaiers aan webwerwe sal gee wat hulle unieke behandeling kan gee – wat hul geverifieerde organisatoriese naam in die adresbalk van die blaaier vertoon.

Een vinnige ding om te oorweeg met betrekking tot die valideringsvlakke en funksionaliteit is dat EV SSL / TLS-sertifikate nooit met Wildcard-funksionaliteit verkoop word nie. Dit is te danke aan die oop aard van die Wildcard-sertifikate, wat ons in die laaste afdeling bespreek het.

Kies sertifikaatowerhede en pryse

Noudat u weet wat u nodig het, kom ons bespreek waar u dit kan verkry. Nie net iemand kan geldige SSL / TLS-sertifikate uitreik nie, en met geldigheid bedoel ons vertrou. U moet deur ‘n betroubare sertifikaatowerheid of CA gaan. CA’s word gebind deur streng bedryfsvereistes en is onderhewig aan gereelde oudits en ondersoek. Die rede hiervoor spruit uit die manier waarop openbare sleutelinfrastruktuur werk. PKI is die vertrouensmodel wat SSL / TLS onderskat. Dit is waarom ‘n gebruiker se blaaier die egtheid van ‘n gegewe SSL / TLS-sertifikaat kan verifieer en vertrou.

Alhoewel dit nie vir hierdie artikel in PKI en oorsprong is nie, is dit belangrik om te weet dat slegs betroubare CA’s betroubare sertifikate kan uitreik. Daarom kan u nie net u eie uitreik en self onderteken nie. Blaaiers kan geen manier hê om dit te vertrou sonder om hul instellings met die hand aan te pas nie.

Maar watter CA moet u kies?

Dit hang af van wat u soek.

Vir baie eenvoudige webwerwe wat nie baie identiteit hoef te beweer nie, is ‘n gratis DV SSL / TLS-sertifikaat van Let’s Encrypt (of ander gratis CA’s) ‘n goeie keuse. Dit kos niks en dit is voldoende vir wat u nodig het.

Enigiets noord daarvan, of as u nie tegnies vaardig is nie, moet u gaan met ‘n kommersiële sertifikaatowerheid soos DigiCert, Sectigo, Entrust Datacard, ens..

Maar hier is die ding: u kry nie die beste prys direk by die CA’s nie.

U kry die beste kombinasie van pryse en seleksie deur ‘n SSL-diens aan te koop wat SSL / TLS-sertifikate van verskeie CA’s aanbied. Die rede hiervoor is eenvoudig, omdat hierdie SSL-dienste sertifikate by die CA’s koop in groot hoeveelheid teen baie laer pryse as wat kleinhandelkliënte kry. Dit stel hulle in staat om die sertifikate teen ‘n diep afslag te verkoop en die besparing aan verbruikers oor te gee.

In sommige gevalle kan u soveel as 85% afslag op die vervaardiger se voorgestelde verkoopprys deur ‘n SSL-diens te gaan pleks van direk te koop.

Hou in gedagte, toegewyde SSL-dienste SPESIALISEER in SSL / TLS, hulle sal beter kliëntediens bied, hulle kan u help om dit te installeer en hulle weet hoe u implementerings kan optimaliseer om u webwerf die beste moontlike sekuriteit te bied.

Kontrasteer dit met gratis CA’s (en selfs sommige kommersiële) waar u deur middel van ‘n kaartjiesisteem moet werk of deur ou forumposte kan sif vir ondersteuning deur mense wat gekos word, en die waarde daarvan is duidelik.

Toegegee, vir sommige tegniese kundige webwerf-eienaars is die ondersteuningskwessie nie ‘n probleem nie. En daar is beslis niks verkeerd daarmee om die gratis roete te gaan as jy self weet hoe om alles te ondersteun nie.

Maar vir ander webwerf-eienaars betaal u minder vir die sertifikaat self en meer vir die ondersteuningsapparaat wat daar rondom gebou is. U het ook nie toegang tot hoër valideringsvlakke (OV / EV) of gevorderde funksionaliteit (Multi-Domain, Wildcards) met gratis SSL / TLS nie. Dit moet u kry van kommersiële CA’s of SSL-dienste.

Dus, betaal of gratis? Dit kom neer op hoe tegnies vaardig u of u organisasie is, benewens die feit dat u funksionaliteit en validering buite DV-domein wil hê.

FAQ oor SSL / TLS-kopersgids

Q1. Is die verlengde bekragtiging die moeite werd?

Vir baie webwerwe is ‘n EV SSL / TLS-sertifikaat meer ‘n belegging as ‘n uitgawe. Daar is geen ander manier om ‘n maksimum identiteit aan te wend en om u webwerf se voorkeur-blaaierbehandeling te kry nie. As besoekers op ‘n webwerf aankom en die organisasie se naam in die adresbalk sien, het dit ‘n diep sielkundige effek. Alhoewel dit moeilik is om die effek op papier te kwantifiseer, vind opnames deurgaans dat mense beter voel om webwerwe met EV te besoek as om plekke sonder dit te besoek.

Op die internet tel elke bietjie, dus as u ‘n organisasie is wat identiteit op die web wil bewerkstellig, is EV SSL / TLS-sertifikate die beste metode om dit te doen.

Q2. U skryf aanhoudend SSL / TLS, wat beteken dit?

SSL staan ​​vir Secure Sockets Layer, en dit was die oorspronklike weergawe van die koderingsprotokol wat ons gebruik om ons verbindings tot vandag toe te beveilig. Ons het tot by SSL 3.0 gekom voordat kwesbaarhede die bedryf teruggedwing het na die tekenbord, waar Transport Layer Security (TLS) ontwerp is om die opvolger van SSL te wees.

Vandag is ons op TLS 1.3, SSL 3.0 is byna geheel en al ongeskik en teen 2020 sal TLS 1.0 en 1.1 ook afgeneem word. Alhoewel die internet van vandag byna uitsluitlik op die TLS-protokol staatmaak, is dit steeds algemeen bekend as SSL.

Q3. Wat is SSL / TLS-protokolweergawes?

Dit hou verband met ons laaste vraag, SSL en TLS is die twee protokolle wat HTTPS-verbindings vergemaklik, en net soos met enige ander stukkie tegnologie, moet hierdie protokolle van tyd tot tyd opgedateer word omdat nuwe kwesbaarhede en aanvalle ontdek word. As u SSL 3.0 of TLS 1.2 sien, verwys dit na ‘n spesifieke weergawe van die SSL / TLS-protokolle.

Die beste praktyk is tans om TLS 1.2 en TLS 1.3 te ondersteun, aangesien al die vorige weergawes kwesbaar is vir een of ander uitbuiting.

K4. Wat moet ek weet van Cipher Suites?

‘N Sifersuite is ‘n versameling algoritmes wat tydens die SSL / TLS-koderingsproses gebruik sal word. Dit bevat tipies ‘n soort openbare sleutelalgoritme, ‘n boodskapverifikasie-algoritme en ‘n simmetriese (blok / stroom) koderingsalgoritme.

Voordat u besluit kan neem oor watter Cipher-suites om te ondersteun, moet u weet waartoe u bedieners in staat is, wat kan beteken dat u u OpenSSL-biblioteek (of alternatiewe SSL-sagteware) -biblioteek moet opdateer na die modernste iterasie. ‘N Beleid oor die gebruik van Elliptic Curve Cryptography is verkieslik bo RSA.

V5. Is waarborge belangrik?

Dit is lekker om ‘n groot waarborg by enige produk te hê, en die SSL / TLS-industrie bied ‘n paar van die ruimste waarborge daar buite. Dit betaal uit indien die CA wat u sertifikaat uitgereik het, ooit ‘n probleem ondervind wat u organisasie geld kos. Dit is weliswaar nie so algemeen nie, dit is ‘n goedkeuring vir SSL / TLS-sertifikate in die algemeen, maar ook iets wat ons nie moet uitwys nie.

Patrick Nohe
Oor die skrywer: Patrick Nohe

Patrick Nohe het sy loopbaan as ‘n verslae en rubriekskrywer vir die Miami Herald begin. Hy dien ook as inhoudsbestuurder vir The SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map