Një manual i blerësit të certifikatës SSL / TLS

Askush nuk i pëlqen që të thuhet se ata duhet të bëjnë diçka. Natureshtë thjesht natyra njerëzore të rebelosh kundër kësaj, por ndonjëherë më e mira që mund të bësh është të kafshosh buzën tënde dhe të shkosh me të. I tillë është rasti me mandatin HTTPS që u dha nga Google dhe vera e kaluar e krijuesit tjetër të shfletuesit.


Në ditët e sotme, çdo uebfaqe që akoma shërbehet përmes HTTP është etiketuar si “Jo i Sigurt”, një epitet që kërcënon trafikun dhe konvertimet. Kjo do të thotë që çdo uebfaqe tani ka nevojë për një certifikatë SSL / TLS, e cila lehtëson migrimin në HTTPS dhe ndihmon për të siguruar komunikimin midis faqes tuaj të internetit dhe vizitorëve të saj.

Duke filluar në korrik 2018, Chrome shënoi të gjitha faqet HTTP si “jo të sigurta” (mësoni më shumë).

Ky udhëzues do të tejkalojë gjërat që duhet të merrni parasysh kur blini një certifikatë SSL / TLS. Do të fillojmë me një përmbledhje të shkurtër të teknologjisë përpara se të vendosim në specifikimet që do të duhet të zgjidhni kur të vendosni për çertifikatën e duhur për ju dhe faqen tuaj të internetit..

SSL / TLS 101: Një përmbledhje

Në mënyrë që të komunikoni të sigurt në internet, serveri që pret faqen e internetit dhe klienti që përpiqet të lidhet me të, duhet të jetë duke përdorur encryption. Kriptimi është një proces matematikor që i bën të dhënat të palexueshme për këdo, por për një palë të autorizuar. Performedshtë kryer duke përdorur çelësat e kriptimit, dhe në mënyrë që një klient dhe server të lidhen mirë, të dy duhet të posedojnë një kopje të të njëjtit çelës.

Megjithatë, kjo paraqet një problem, si i shkëmbeni ata me siguri ato çelësa? Nëse një sulmues është në gjendje të kompromentojë një çelës encryption, e bën atë encryption të padobishëm sepse sulmuesi ende mund të shohë të gjitha të dhënat që shkëmbehen sikur të ishin në tekst të thjeshtë.

SSL / TLS është zgjidhja për problemin kryesor të shkëmbimit.

SSL / TLS realizon dy gjëra:

  1. Ai vërteton serverin në mënyrë që klientët të dinë se me cilin entitet janë duke u lidhur
  2. Lehtëson shkëmbimin e një çelësi të sesionit që mund të përdoret për të komunikuar në mënyrë të sigurt

Kjo mund të duket pak abstrakte, kështu që le ta vendosim.

Kurdoherë që një klient përpiqet të lidhet me një uebfaqe përmes HTTPS – që është versioni i sigurt i Protokollit të Transferimit të Hypertext (HTTP) që interneti ka përdorur për dekada të tëra – një seri ndërveprimesh ndodhin prapa skenave midis klientit të përmendur dhe serverit që strehon faqen.

Ekzistojnë dy tipe të çelësave të enkriptimit të përfshirë në kodimin SSL / TLS. Ekzistojnë çelësat simetrikë të sesionit që sapo përmendëm. Ato mund të encryptojnë dhe dekriptojnë dhe përdoren për të komunikuar gjatë vetë lidhjes. Keyselësat e tjerë janë çifti kyç publik / privat. Kjo formë e kriptimit quhet kriptografi e çelësit publik. Keyelësi publik mund të shifrojë, çelësi privat dekripton.

Në fillim, klienti dhe serveri do të zgjedhin një suitë të shifrave të mbështetur reciprokisht. Një suitë e shifrave është grupi i algoritmeve që rregullon kriptimin që do të përdoret gjatë lidhjes.

Pasi të jetë rënë dakord një suitë shifrrash, serveri dërgon certifikatën SSL dhe çelësin publik. Përmes një serie kontrollesh, klienti autentifikon serverin, duke verifikuar identitetin e tij dhe se është pronari i ligjshëm i çelësit publik të asociuar.

Pas këtij verifikimi, klienti gjeneron një çelës të sesionit (ose sekretin që mund të përdoret për të nxjerrë një të tillë) dhe përdor çelësin publik të serverit për ta kriptuar atë përpara se ta dërgojë në server. Duke përdorur çelësin e tij privat, serveri deshifron çelësin e sesionit dhe fillon lidhja e koduar (kjo është forma më e zakonshme e shkëmbimit të çelësave, siç kryhet me RSA – Shkëmbimi i çelësit Diffie-Hellman ndryshon pak).

Nëse kjo ende duket pak e komplikuar, le ta thjeshtojmë edhe më shumë.

  • Për të komunikuar në mënyrë të sigurt, të dy palët duhet të ndajnë çelësat e sesionit simetrik
  • SSL / TLS lehtëson shkëmbimin e atyre çelësave të sesioneve me kriptografinë e çelësave publik
  • Pas verifikimit të identitetit të serverit, një çelës sesioni ose sekret është i koduar me çelësin publik
  • Serveri përdor çelësin e tij privat për të deshifruar çelësin e sesionit dhe të fillojë komunikimin e koduar

Tani le të marrim atë që ju, si pronar i faqes në internet, duhet të merrni parasysh kur blini ose blini një certifikatë SSL / TLS.

Tofarë duhet të merrni parasysh kur blini një certifikatë SSL / TLS?

Kur blini një certifikatë SSL / TLS, po merrni një vendim për dy pyetje kryesore:

  1. Surfacefarë sipërfaqe ju duhet të mbuloni?
  2. Sa identitet doni të pohoni?

Kur mund t’u përgjigjeni këtyre pyetjeve, marrja e një çertifikate bëhet çështje marke dhe kostoje, tashmë do të njihni llojin e produktit që ju nevojitet.

Tani, para se të shkojmë më tej, le të vendosim një fakt shumë të rëndësishëm: pavarësisht se si i përgjigjeni këtyre dy pyetjeve, të gjitha certifikatat SSL / TLS ofrojnë të njëjtën forcë të kriptimit.

Fuqia e kriptimit përcaktohet nga një kombinim i suiteve të shifruara të mbështetura dhe fuqia llogaritëse e klientit dhe serverit në secilën fund të lidhjes. Certifikata më e shtrenjtë SSL / TLS në treg dhe një plotësisht e lirë do të lehtësojnë të njëjtin nivel të shifrimit të standardit të industrisë.

Ajo që ndryshon me certifikatat janë niveli i identitetit dhe funksionaliteti i tyre.

Le të fillojmë me ato sipërfaqe që ju nevojiten për të mbuluar.

1- Funksionaliteti i Certifikatës SSL / TLS

Uebfaqet moderne kanë evoluar shumë larg nga ato që ishin në ditët e para të internetit kur akoma vendosni sportelet në fund të një faqe për të ndjekur trafikun. Në ditët e sotme, organizatat kanë infrastrukturë të ndërlikuar në internet, brenda dhe jashtë. Po flasim për domene të shumëfishta, nënfusha, servera të postës, etj.

Për fat të mirë, certifikatat SSL / TLS kanë evoluar së bashku me faqet e internetit moderne për të ndihmuar në sigurimin e tyre më të mirë. Ekziston një lloj çertifikate për çdo rast përdorimi, por është detyrë e juaj të dini se cili do të jetë rasti juaj i përdorimit specifik.

Le të shohim katër llojet e ndryshme të certifikatave SSL / TLS dhe funksionalitetin e tyre:

  • Domain i vetëm – Siç nënkupton edhe emri, kjo certifikatë SSL / TLS është për një domen të vetëm (si versionet WWW ashtu dhe jo WWW).
  • Multi-Domain – Ky lloj i certifikatës SSL / TLS është për organizatat me shumë faqe në internet, ato mund të sigurojnë deri në 250 fusha të ndryshme njëkohësisht.
  • wildcard – Siguria për një domen të vetëm, plus të gjithë nënfushat shoqëruese të nivelit të parë – sa më shumë që keni (të pakufizuara).
  • Wildcard me shumë domene – Një çertifikatë SSL / TLS me funksionalitet të plotë, mund të kriptojë deri në 250 fusha të ndryshme dhe të gjitha nën-fushat shoqëruese njëkohësisht.

Një fjalë e shpejtë në lidhje me certifikatat Wildcard. Kartolinat e egra janë jashtëzakonisht të gjithanshme, ato mund të shifrojnë një numër të pakufizuar nën-fushash, dhe madje janë të afta të sigurojnë nënfusha të reja që shtohen pas lëshimit. Kur gjeneroni një Wildcard, një yll (ndonjëherë i referuar si një karakter wildcard) përdoret në nivelin nën-domain që dëshironi të shifroni. Kjo nënkupton që çdo nën-domain në atë nivel URL të domain-it të verifikuar është i lidhur në mënyrë të vlefshme me palë çelësin publik / privat të çertifikatës.

2- Niveli i Validimit të Certifikatës SSL / TLS

Pasi të kuptoni se cilat sipërfaqe ju duhet të mbuloni, është koha për të përcaktuar se sa identitet doni të pohoni. Ekzistojnë tre nivele të vlefshmërisë, këto i referohen sasisë së verifikimit të Autoritetit të Certifikatës që lëshon certifikatën tuaj SSL / TLS do t’ju vendosë ju dhe faqen tuaj të internetit përmes.

Tre nivele të vlefshmërisë: Validimi i Domainit, Validimi i Organizatës dhe Validimi i Zgjatur.

Niveli më themelor i vlefshmërisë quhet Validimi i Domainit. Duhen vetëm disa minuta për të përfunduar këtë vlefshmëri dhe lëshimin e certifikatës, por ajo siguron informacionin më pak të identitetit – vërtetimin e vetëm serverit. Certifikatat DV SSL / TLS janë më së shpeshti të përdorura, por për shkak të mungesës së identitetit të tyre, faqet e internetit që i përdorin ato marrin trajtim neutral të shfletuesit.

Validimi i Organizatës siguron më shumë informacione organizative, gjë që u jep vizitorëve të faqes suaj një ide më të mirë se me kë merren, me kusht që ata të dinë ku të shikojnë. Certifikatat OV SSL / TLS kërkojnë një sasi të moderuar të vettingut, megjithatë, ata nuk pretendojnë identitet të mjaftueshëm për të shmangur trajtimin neutral të shfletuesit. Certifikatat OV SSL mund të sigurojnë gjithashtu adresa IP të dedikuara. Ato zakonisht përdoren në mjediset e Ndërmarrjeve dhe në rrjetet e brendshme.

Identiteti më i lartë që një certifikatë SSL / TLS mund të pohojë vjen në këtë dokument Validimi i Zgjatur nivel. Certifikatat e EV SSL / TLS kërkojnë verifikim të thelluar nga CA, por ato pohojnë sa duhet informacione identifikuese që shfletuesit në internet do t’u japin uebfaqeve që u vendosin atyre trajtim unik – duke shfaqur emrin e tyre të vërtetuar Organizativ në shiritin e adresave të shfletuesit.

Një gjë e shpejtë për t’u marrë në konsideratë në lidhje me nivelet e vlefshmërisë dhe funksionalitetin është se çertifikatat e EV SSL / TLS nuk shiten kurrë me funksionalitet Wildcard. Kjo i detyrohet natyrës së hapur të çertifikatave Wildcard, të cilat diskutuam në pjesën e fundit.

Zgjedhja e Autoriteteve të Certifikatës dhe mimet

Tani që e dini se nga çfarë ju nevojitet, le të flasim se nga mund ta përvetësoni. Jo vetëm që dikush mund të lëshojë certifikata të vlefshme SSL / TLS, dhe me të vlefshme nënkuptojmë të besuar. Ju duhet të kaloni nëpër një autoritet certifikatë të besuar ose CA. AK-të janë të detyruara nga kërkesa të rrepta të industrisë dhe i nënshtrohen kontrolleve dhe kontrolleve të rregullta. Arsyeja për këtë buron nga mënyra sesi funksionon Infrastruktura e Keyelësit Publik. PKI është modeli i besimit që nënvizon SSL / TLS, është arsyeja pse shfletuesi i një përdoruesi mund të verifikojë vërtetësinë e tij dhe t’i besojë një certifikate të caktuar SSL / TLS.

Ndërsa kërkimi në PKI dhe rrënjët nuk është i nevojshëm për këtë artikull, është e rëndësishme të dini se vetëm CA-të e besueshme mund të lëshojnë certifikata të besueshme. Kjo është arsyeja pse ju nuk mund të lëshoni vetveten tuaj dhe ta nënshkruani atë. Shfletuesit nuk do të kishin asnjë mënyrë ta besojnë atë pa rregulluar manualisht cilësimet e tyre.

Por çfarë CA duhet të zgjedhësh?

Kjo varet nga ajo që ju po kërkoni.

Për shumë faqe të thjeshta që nuk kanë nevojë të pohojnë shumë identitet, një çertifikatë falas DV SSL / TLS nga Encrypt i Let (ose CA-ve të tjera falas) është një zgjedhje e mirë. Nuk kushton asgjë dhe është e mjaftueshme për atë që ju nevojitet.

Northdo gjë në veri të kësaj, ose nëse nuk jeni veçanërisht i kursyer nga teknikisht, duhet të shkoni me një Autoritet Certifikatë Tregtar si DigiCert, Sectigo, Entrust Datacard, etj.

Por këtu është gjëja: ju nuk merrni çmimet më të mira duke blerë direkt nga CA.

Ju merrni kombinimin më të mirë të çmimeve dhe përzgjedhjes duke blerë përmes një Shërbimi SSL duke ofruar certifikata SSL / TLS nga CA të shumta. Arsyeja për këtë është e thjeshtë, këto shërbime SSL blejnë çertifikata nga AK-të me shumicë me çmime shumë më të ulëta se sa marrin klientët me pakicë. Kjo i lejon ata të shesin certifikatat në norma me zbritje të thellë, duke i kaluar kursimet te konsumatorët.

Në disa raste, ju mund të kurseni sa më shumë që 85% zbritje nga çmimi i sugjeruar i prodhuesit me pakicë duke kaluar një shërbim SSL në vend që të blini direkt.

Mbani në mend, shërbimet e dedikuara SSL SPECIALIZE në SSL / TLS, ata do të ofrojnë një mbështetje më të mirë për klientët, ata mund t’ju ndihmojnë të instaloni atë dhe ata dinë se si të zgjedhin zbatimet tuaja për të siguruar faqen tuaj të internetit sigurinë më të mirë të mundshme.

Kontrastoni se me CA të lira (dhe madje disa nga ato komerciale) ku ju keni për të punuar përmes një sistemi biletash ose shoshitni postimet e vjetra të forumit për mbështetje të turmës dhe vlera është e qartë.

Dhënë, për disa pronarë të faqeve të internetit të teknologjisë, çështja e mbështetjes nuk është problem. Dhe nuk ka asgjë të keqe në rrugën e lirë nëse e dini se si të mbështesni gjithçka vetë.

Por për pronarët e tjerë të faqes, ju po paguani më pak për vetë çertifikatën dhe më shumë për aparatet mbështetëse që janë ndërtuar rreth tij. Ju gjithashtu nuk keni qasje në nivele më të larta të vlefshmërisë (OV / EV) ose funksionalitet të përparuar (Multi-Domain, Wildcards) me SSL / TLS falas. Ju duhet t’i merrni ato nga CA-të ose shërbimet SSL komerciale.

Pra, të paguar apo falas? Ai varet nga sa teknikisht jeni i aftë ju ose organizata juaj, përveç nëse doni funksionim dhe vërtetim përtej DV-së të vetme të domain.

Pyetjet e udhëzuesve të SSL / TLS të blerësit

Q1. A ia vlen vleresimi i zgjatur?

Për shumë faqe interneti, një certifikatë EV SSL / TLS është më shumë një investim sesa një shpenzim. Nuk ka asnjë mënyrë tjetër për të pohuar identitetin maksimal dhe për të marrë trajtimin preferencial të shfletuesit të internetit tuaj. Kur vizitorët arrijnë në një faqe në internet dhe shohin emrin e organizatës të shfaqur në shiritin e adresave, ajo ka një efekt të thellë psikologjik. Përderisa ai efekt është i vështirë për tu kuantifikuar në letër, sondazhet zbulojnë në mënyrë të vazhdueshme që njerëzit të ndjehen më mirë në lidhje me vizitat e vendeve me EV sesa të vizitojnë vendet pa të.

Në internet, çdo pikë e vogël llogaritet, kështu që nëse jeni një organizatë që dëshiron të pretendojë identitetin në internet, çertifikatat EV SSL / TLS janë metoda më e mirë në dispozicion për ta bërë këtë.

Q2. Ju vazhdoni të shkruani SSL / TLS, çfarë do të thotë kjo?

SSL qëndron në Secure Sockets Layer, dhe ishte versioni origjinal i protokollit të enkriptimit që ne përdorim për të siguruar lidhjet tona deri më sot. Kemi arritur deri në SSL 3.0 përpara se dobësitë e detyruan industrinë të kthehej në tabelën e vizatimit, ku Transport Layer Security (TLS) ishte dizajnuar të ishte pasardhësi i SSL.

Sot jemi në TLS 1.3, SSL 3.0 është zhvlerësuar pothuajse plotësisht dhe deri në vitin 2020 TLS 1.0 dhe 1.1 do të zhvlerësohen gjithashtu. Ndërsa interneti i sotëm mbështetet pothuajse ekskluzivisht në protokollin TLS, ai akoma njihet kolektivisht si SSL.

Q3. Cilat janë versionet e protokollit SSL / TLS?

Kjo lidhet me pyetjen tonë të fundit, SSL dhe TLS janë dy protokollet që lehtësojnë lidhjet HTTPS, dhe ashtu si me çdo pjesë tjetër të teknologjisë, ato protokolle duhet të azhurnohen në mënyrë periodike pasi zbulohen dobësi dhe sulme të reja. Kur shihni SSL 3.0 ose TLS 1.2, kjo po i referohet një versioni të veçantë të protokolleve SSL / TLS.

Aktualisht, praktika më e mirë është të mbështesni TLS 1.2 dhe TLS 1.3, pasi të gjitha versionet e mëparshme janë zbuluar se janë të ndjeshme ndaj disa shfrytëzuesve ose një tjetër.

Q4. Shouldfarë duhet të di për Cipher Suites?

Një suitë e shifrave është një koleksion i algoritmeve që do të përdoren gjatë procesit të kodimit SSL / TLS. Ato zakonisht përfshijnë një lloj algoritmi të çelësit publik, një algoritëm të vërtetimit të mesazheve dhe një algoritëm të kriptimit simetrik (bllok / rrjedhë).

Para se të mund të përcaktoni se cilat janë pajisjet e Cipher për të mbështetur, duhet të dini se çfarë janë në gjendje serverët tuaj, që mund të nënkuptojnë azhurnimin e bibliotekës suaj OpenSSL (ose programin alternative SSL) në përsëritjen e saj më moderne. Një këshillë, duke përdorur Cryptography Elliptic Curve është e preferueshme për RSA.

Q5. A janë të rëndësishme garancitë?

Shtë mirë të kesh një garanci të madhe për çdo produkt, dhe industria SSL / TLS ofron disa nga garancitë më bujare atje. Ata paguajnë në rast se AK që lëshoi ​​çertifikatën tuaj has ndonjëherë një problem që kushton paratë e organizatës suaj. Padyshim që, kjo nuk është aq e zakonshme, e cila është një lloj miratimi për certifikatat SSL / TLS në përgjithësi, por gjithashtu diçka që do të falemi për të mos përmendur.

Patrik Nuh
Rreth autorit: Patrick Nohe

Patrick Nohe filloi karrierën e tij si një reporter i rrahur dhe kolumnist për Miami Herald. Ai shërben gjithashtu si Menaxher i Përmbajtjes për The SSL Store.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map