Ръководство за купувача на сертификати за SSL / TLS

Никой не харесва да им се казва, че ТРЯБВА да направят нещо. Просто човешката природа се бунтува срещу това, но понякога най-доброто, което можете да направите, е да прехапете устната си и да отидете с нея. Такъв е случаят с мандата на HTTPS, който беше предаден от Google и от другия производител на браузъри миналото лято.


В наши дни всеки уебсайт, който все още се обслужва чрез HTTP, е етикетиран като „Не е сигурен“, епитет, който заплашва трафика и реализациите. Това означава, че всеки уебсайт вече се нуждае от SSL / TLS сертификат, който улеснява миграцията към HTTPS и спомага за сигурността на комуникацията между вашия уебсайт и неговите посетители.

От юли 2018 г. Chrome маркира всички HTTP сайтове като „не защитени“ (научете повече).

Това ръководство ще разгледа нещата, които трябва да вземете предвид при закупуване на SSL / TLS сертификат. Ще започнем с кратък преглед на технологията, преди да се задълбочим в спецификите, които ще трябва да сортирате, когато решавате подходящия сертификат за вас и вашия уебсайт.

SSL / TLS 101: Общ преглед

За да комуникира сигурно в интернет, сървърът, който хоства уебсайта и клиентът, който се опитва да се свърже с него, трябва да използва криптиране. Шифроването е математически процес, който прави данните непрочетени за никого, освен за упълномощена страна. Извършва се с помощта на кодове за криптиране и за да могат клиентът и сървърът да се свържат сигурно и двете, трябва да притежават копие на един и същи ключ.

Това обаче представлява проблем, как сигурно обменяте тези ключове? Ако един атакуващ е в състояние да компрометира ключ за криптиране, той прави това криптиране безполезно, тъй като атакуващият все още може да вижда всички данни, които се обменят, сякаш са в незабележим текст.

SSL / TLS е решението на проблема с обмена на ключове.

SSL / TLS изпълнява две неща:

  1. Той удостоверява сървъра, така че клиентите да знаят с какъв субект се свързват
  2. Той улеснява размяната на ключ за сесия, който може да се използва за сигурна комуникация

Това може да изглежда малко абстрактно, така че нека го пуснем в движение.

Всеки път, когато клиент се опита да се свърже с уебсайт чрез HTTPS – което е защитената версия на протокола за пренос на хипертекста (HTTP), който интернет използва от десетилетия – серия от взаимодействия се появява зад кулисите между споменатия клиент и сървъра, хостващ сайта.

Има два типа кодиращи ключове, участващи в SSL / TLS криптиране. Има симетричните ключове за сесията, които току-що споменахме. Те могат както да кодират, така и дешифрират и се използват за комуникация по време на самата връзка. Другите ключове са двойката публичен / частен ключ. Тази форма на криптиране се нарича криптография с публичен ключ. Публичният ключ може да криптира, частният ключ дешифрира.

В самото начало клиентът и сървърът ще изберат взаимно поддържан шифров пакет. Шифров пакет е набор от алгоритми, който управлява криптирането, което ще се използва по време на връзката.

След като се съгласува шифров пакет, сървърът изпраща своя SSL сертификат и публичен ключ. Чрез поредица от проверки клиентът удостоверява сървъра, като удостоверява неговата идентичност и че е законният собственик на свързания публичен ключ.

След тази проверка клиентът генерира сесиен ключ (или тайната, която може да се използва за извличане на такъв) и използва публичния ключ на сървъра, за да го кодира, преди да го изпрати на сървъра. Използвайки своя частен ключ, сървърът дешифрира сесийния ключ и шифрираната връзка започва (това е най-често срещаната форма на обмен на ключове, както се извършва с RSA – обменът на ключове Diffie-Hellman се различава леко).

Ако това все още изглежда малко сложно, нека го опростим още повече.

  • За да комуникират сигурно и двете страни трябва да споделят симетрични ключове за сесия
  • SSL / TLS улеснява обмена на тези ключове за сесия с криптография с публичен ключ
  • След проверка на самоличността на сървъра, ключът или секретът на сесията се криптира с публичния ключ
  • Сървърът използва своя личен ключ, за да дешифрира сесийния ключ и да започне криптирана комуникация

Сега нека да разгледаме това, което вие като собственик на уебсайт трябва да вземете предвид при закупуване или придобиване на SSL / TLS сертификат.

Какво да вземете предвид при закупуване на SSL / TLS сертификат?

Когато купувате SSL / TLS сертификат, вие вземате решение по два основни въпроса:

  1. Каква повърхност трябва да покриете?
  2. Колко самоличност искате да отстоявате?

Когато можете да отговорите на тези въпроси, избирането на сертификат става въпрос за марка и цена, вече ще знаете вида на продукта, от който се нуждаете.

Сега, преди да продължим по-нататък, нека установим един много важен факт: независимо от това как отговаряте на тези два въпроса, всички SSL / TLS сертификати предлагат една и съща сила на криптиране.

Силата на криптиране се определя от комбинация от поддържани шифрови пакети и изчислителната мощност на клиента и сървъра в двата края на връзката. Най-скъпият SSL / TLS сертификат на пазара и напълно безплатен сертификат ще улесняват същото ниво на стандартно за индустрията криптиране.

Това, което варира при сертификатите, е нивото на идентичност и тяхната функционалност.

Нека започнем с това какви повърхности трябва да покриете.

1- Функционалност на сертификата SSL / TLS

Съвременните уебсайтове са се развили далеч от това, което са били в първите дни на интернет, когато все още поставяте броячи в долната част на страницата, за да проследявате трафика. В наши дни организациите имат сложна уеб инфраструктура, както вътрешно, така и външно. Говорим за множество домейни, поддомейни, пощенски сървъри и т.н..

За щастие, SSL / TLS сертификатите са се развили заедно с модерните уебсайтове, за да помогнат за по-доброто им осигуряване. Има тип сертификат за всеки случай на използване, но от вас е задължение да знаете какъв ще бъде конкретният ви случай на използване.

Нека разгледаме четирите различни типа сертификати SSL / TLS и тяхната функционалност:

  • Единичен домейн – Както подсказва името, този SSL / TLS сертификат е за един домейн (както WWW, така и не-WWW версии).
  • Multi-Domain – Този тип SSL / TLS сертификат е за организации с множество уебсайтове, те могат да защитят до 250 различни домена едновременно.
  • Wildcard – Сигурност за един домейн плюс всички съпътстващи поддомейни от първо ниво – колкото имате (неограничен).
  • Уайлдкард с много домейни – SSL / TLS сертификат с пълна функционалност, може да шифрова до 250 различни домейна и всички съпътстващи поддомейни едновременно.

Бърза дума за сертификатите за Wildcard. Уайдкъдс са изключително универсални, те могат да кодират неограничен брой поддомейни и дори са в състояние да осигурят нови поддомейни, които се добавят след издаването. Когато генерирате Wildcard, се използва звездичка (понякога наричана символ на wildcard) на ниво поддомейн, който искате да шифровате. Това означава, че всеки поддомейн на това ниво на URL адрес на проверения домейн е валидно свързан с двойката публичен / частен ключ на сертификата.

2- Ниво за валидиране на сертификат SSL / TLS

След като разберете какви повърхности трябва да покриете, е време да определите колко идентичност искате да отстоявате. Има три нива на валидиране, които се отнасят за количеството проверка на сертифициращия орган, който издава вашия SSL / TLS сертификат, ще постави вас и вашия уебсайт чрез.

Три нива на валидиране: валидиране на домейни, валидиране на организация и разширено валидиране.

Най-основното ниво на валидиране се нарича Валидиране на домейн. Отнема само няколко минути, за да завършите това валидиране и да издадете сертификата, но той предоставя най-малко информация за самоличност – удостоверяване само на сървъра. DV SSL / TLS сертификатите са най-често използваните, но поради липсата на идентичност уебсайтовете, които ги използват, получават неутрално третиране на браузъра.

Утвърждаване на организацията предоставя повече организационна информация, която дава на посетителите на вашия сайт по-добра представа за кого работят, при условие че знаят къде да търсят. OV SSL / TLS сертификатите изискват умерено количество проверка, но те не отстояват достатъчно идентичност, за да избегнат неутрално третиране на браузъра. OV SSL сертификатите също могат да осигуряват специални IP адреси. Те обикновено се използват в Enterprise среда и във вътрешни мрежи.

Най-много идентичност, SSL / TLS сертификат може да се потвърди Удължена валидация ниво. EV SSL / TLS сертификатите изискват задълбочена проверка от СА, но те отстояват достатъчно идентифицираща информация, че уеб браузърите ще предоставят на уебсайтовете, които ги разгръщат уникално лечение – показване на провереното им име на организация в адресната лента на браузъра.

Едно бързо нещо, което трябва да се вземе предвид по отношение на нивата и функционалността на валидирането, е, че сертификатите EV SSL / TLS никога не се продават с Wildcard функционалност. Това се дължи на отворения характер на сертификатите за Wildcard, за които говорихме в последния раздел.

Избор на сертификати и цени

Сега, когато знаете от какво имате нужда, нека поговорим откъде да го придобиете. Не само всеки може да издава валидни SSL / TLS сертификати, а под валидни имаме предвид доверие. Трябва да преминете през доверен сертификатен орган или CA. ОП са обвързани от строгите изисквания на индустрията и подлежат на редовни одити и контрол. Причината за това произтича от начина, по който работи инфраструктурата с публичен ключ. PKI е моделът на доверие, който подценява SSL / TLS, затова браузърът на потребителя може да провери автентичността и да се довери на даден SSL / TLS сертификат.

Докато задълбочаването в PKI и корени не е в обхвата на тази статия, важно е да знаете, че само доверени CA могат да издават надеждни сертификати. Ето защо не можете просто да издадете своя собствена и да я подпишете. Браузърите не биха имали начин да му се доверят без ръчно да коригират настройките си.

Но какво CA трябва да изберете?

Това зависи от това, което търсите.

За много прости уебсайтове, на които не е необходимо да отстояват много идентичност, безплатен DV SSL / TLS сертификат от Let’s Encrypt (или други безплатни CA) е добър избор. Това не струва нищо и е достатъчно за това, от което се нуждаете.

Всичко на север от това, или ако не сте особено технични, трябва да се свържете с търговски сертификационен орган като DigiCert, Sectigo, Entrust Datacard и т.н..

Но ето това: не получавате най-добрата цена, купувайки директно от СА.

Получавате най-добрата комбинация от ценообразуване и избор чрез закупуване чрез SSL услуга, предлагаща SSL / TLS сертификати от множество CA. Причината за това е проста, тези SSL услуги купуват сертификати от CA на едро на много по-ниски цени, отколкото получават клиентите на дребно. Това им позволява да продават сертификатите на дълбоко намалени цени, предавайки спестяванията на потребителите.

В някои случаи можете да спестите до 85% от предложената от производителя цена на дребно, като преминете през SSL услуга, вместо да купувате директно.

Имайте предвид, специализирани SSL услуги, СПЕЦИАЛИЗИРАНИ в SSL / TLS, те ще предлагат по-добра поддръжка на клиенти, могат да ви помогнат да го инсталирате и те знаят как да оптимизират вашите реализации, за да осигурят на вашия уеб сайт възможно най-добра сигурност.

За разлика от това, с безплатни CA (и дори някои търговски), където трябва да работите чрез билетна система или да пресявате стари публикации на форума за многократна поддръжка и стойността е ясна.

Разрешено е, че за някои собственици на уебсайтове, работещи с технологии, проблемът с поддръжката не е проблем. И със сигурност няма нищо лошо в преминаването на безплатния маршрут, ако знаете как сами да поддържате всичко.

Но за други собственици на сайтове плащате по-малко за самия сертификат и повече за поддържащия апарат, който е изграден около него. Освен това нямате достъп до по-високи нива на валидиране (OV / EV) или разширена функционалност (многодомен, Wildcards) с безплатен SSL / TLS. Трябва да ги вземете от търговски CA или SSL услуги.

И така, платен или безплатен? Това се свежда до това колко сте технически квалифицирани вие или вашата организация, в допълнение към това дали искате функционалност и валидиране извън DV.

Често задавани въпроси за SSL / TLS Ръководство за купувача

Q1. Заслужава ли си разширеното валидиране?

За много уебсайтове EV SSL / TLS сертификатът е по-скоро инвестиция, отколкото разход. Няма друг начин за отстояване на максимална самоличност и получаване на преференциално третиране на вашия уебсайт. Когато посетителите пристигнат на уебсайт и видят името на организацията, показано в адресната лента, това има дълбок психологически ефект. Въпреки че този ефект е трудно да се определи количествено на хартия, проучванията последователно установяват, че хората се чувстват по-добре при посещение на сайтове с EV, отколкото да посещават сайтове без него.

В интернет всяко малко се отчита, така че ако сте организация, която иска да отстоява самоличност в мрежата, EV SSL / TLS сертификатите са най-добрият наличен метод за това.

Q2. Продължавате да пишете SSL / TLS, какво означава това?

SSL означава слой за сигурни сокети и това беше оригиналната версия на протокола за криптиране, която използваме, за да подсигурим връзките си и до днес. Стигнахме до SSL 3.0 преди уязвимостите да принудят индустрията да се върне към чертожната дъска, където сигурността на транспортния слой (TLS) беше проектирана да бъде приемник на SSL.

Днес сме на TLS 1.3, SSL 3.0 е почти изцяло оттеглен и до 2020 г. TLS 1.0 и 1.1 също ще бъдат оттеглени. Докато днешният интернет разчита почти изключително на протокола TLS, той все още е разговорно известен като SSL.

Q3. Какво представляват версиите на SSL / TLS протоколи?

Това се връща към последния ни въпрос, SSL и TLS са двата протокола, които улесняват HTTPS връзките и подобно на всяка друга технология, тези протоколи трябва периодично да се актуализират, когато се открият нови уязвимости и атаки. Когато видите SSL 3.0 или TLS 1.2, това се отнася за конкретна версия на SSL / TLS протоколите.

В момента най-добрата практика е да се поддържат TLS 1.2 и TLS 1.3, тъй като е установено, че всички предишни версии са уязвими към някои или други експлоатации.

Q4. Какво трябва да знам за Cipher Suites?

Шифров пакет е съвкупност от алгоритми, които ще бъдат използвани по време на процеса на шифроване на SSL / TLS. Те обикновено включват някакъв алгоритъм за публичен ключ, алгоритъм за удостоверяване на съобщение и симетричен (блок / поток) алгоритъм за криптиране.

Преди да вземете каквато и да е решителност за това, което Cipher предлага да поддържа, трябва да знаете на какво са способни вашите сървъри, което може да означава актуализиране на вашата библиотека на OpenSSL (или алтернативен SSL софтуер) до най-модерната й итерация. Дума за съвет, използвайки криптография на Elliptic Curve, е за предпочитане пред RSA.

Q5. Важни ли са гаранциите?

Хубаво е да имате голяма гаранция с всеки продукт, а индустрията SSL / TLS предоставя някои от най-щедрите гаранции там. Те плащат в случай, че CA, издал сертификата ви, някога се сблъска с проблем, който струва пари на вашата организация. Признаваме, че това не е всичко толкова често, което е нещо като одобрение за SSL / TLS сертификати като цяло, но също и нещо, което не бихме искали да отхвърлим, за да не посочим.

Патрик Ное
За автора: Патрик Ное

Патрик Ное стартира кариерата си като репортер на ритъм и колонист за Miami Herald. Той също така е мениджър на съдържание за SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map