SSL / TLS Sertifikatı Alıcının Təlimatı

Heç kimə bir şey etməli olduqlarını söyləməyi xoşlamır. Buna qarşı çıxmaq sadəcə insan təbiətidir, ancaq bəzən edə biləcəyiniz ən yaxşı şey dodağınızı dişləmək və onunla getməkdir. Google və digər brauzer istehsalçısının son yayda verdiyi HTTPS mandatında da belədir.


Hal-hazırda HTTP vasitəsilə xidmət edilən hər hansı bir veb sayt, “Təhlükəsiz deyil”, trafikə və dönüşüm üçün təhlükə yaradan bir epitet kimi qeyd olunur. Bu o deməkdir ki, hər veb sayt HTTPS-ə köçməni asanlaşdıran və veb saytınız və ziyarətçiləriniz arasında əlaqəni təmin etməyə kömək edən bir SSL / TLS sertifikatına ehtiyac duyur.

2018-ci ilin iyulundan başlayaraq, Chrome bütün HTTP saytlarını “etibarlı deyil” olaraq qeyd etdi (daha çox məlumat əldə edin).

Bu təlimat bir SSL / TLS sertifikatı alarkən nəzərə almalı olduğunuz işlərin üstündən keçəcəkdir. Sizə və veb saytınıza uyğun sertifikatı seçərkən sıralamalı olduğunuz xüsusiyyətlərə nəzər salmadan əvvəl texnologiyaya qısa bir baxışdan başlayacağıq..

SSL / TLS 101: Baxış

İnternetdə etibarlı əlaqə qurmaq üçün veb saytı qəbul edən server və onunla əlaqə qurmağa çalışan müştəri şifrələmədən istifadə etməlidir. Şifrələmə, məlumatı heç kimə oxunmayan, lakin səlahiyyətli tərəfə təqdim edən bir riyazi bir prosesdir. Şifrələmə açarlarından istifadə etməklə həyata keçirilir və müştəri və serverin etibarlı bir şəkildə qoşulması üçün hər ikisinin eyni açarın surətinə sahib olması lazımdır.

Bu problem olsa da, bu açarları necə etibarlı şəkildə dəyişdirirsiniz? Təcavüzkar bir şifrləmə açarını güzəştə edə bilsə, şifrələməni yararsız hala gətirir, çünki təcavüzkar bütün məlumatların sanki düz mətndə olduğu kimi dəyişdirildiyini görə bilər..

SSL / TLS əsas mübadilə probleminin həllidir.

SSL / TLS iki şeyi yerinə yetirir:

  1. Müştərilərin hansı quruma qoşulduğunu bilməsi üçün serveri təsdiqləyir
  2. Təhlükəsiz ünsiyyət üçün istifadə edilə bilən bir seans açarının mübadiləsini asanlaşdırır

Bir az mücərrəd görünə bilər, buna görə onu hərəkətə gətirək.

Hər zaman bir müştəri, internetin onilliklər boyu istifadə etdiyi Hipertext Transfer Protokolunun (HTTP) etibarlı versiyası olan HTTPS vasitəsilə bir veb saytı ilə əlaqə qurmağa çalışır – deyilən müştəri ilə saytın yerləşdiyi server arasında pərdə arxasında bir sıra qarşılıqlı əlaqə baş verir..

SSL / TLS şifrələməsində iştirak edən iki növ şifrləmə açarları var. Sadəcə qeyd etdiyimiz simmetrik sessiya düymələri var. Bunlar həm şifrələyə, həm də deşifrə edə bilər və əlaqə zamanı əlaqə qurmaq üçün istifadə olunur. Digər açarlar ictimai / özəl açar cütləridir. Şifrələmənin bu formasına açıq açar kriptovalyutası deyilir. Açıq açar şifrələyə bilər, şəxsi açar şifrəsini açır.

Başlanğıcda, müştəri və server qarşılıqlı dəstəklənən şifrə dəstini seçəcəkdir. Şifrə dəsti, əlaqə zamanı istifadə ediləcək şifrələməni tənzimləyən alqoritmlər toplusudur.

Bir şifrə paketi razılaşdırıldıqdan sonra, server SSL sertifikatı və açıq açarı göndərir. Bir sıra çeklər vasitəsilə müştəri, şəxsiyyətini və əlaqəli açıq açarın qanuni sahibi olduğunu təsdiqləyən serveri təsdiqləyir.

Bu yoxlamadan sonra müştəri bir sessiya açarı (və ya onu əldə etmək üçün istifadə edilə bilən sirr) yaradır və serverə göndərməzdən əvvəl şifrələmək üçün serverin açıq açarından istifadə edir. Şəxsi açarından istifadə edərək, sessiya açarının şifrəsini açır və şifrəli əlaqə başlayır (bu RSA ilə yerinə yetirildiyi kimi açar mübadiləsinin ən çox yayılmış formasıdır – Diffie-Hellman düymə mübadiləsi bir qədər fərqlənir).

Əgər bu hələ bir az mürəkkəb görünürsə, gəlin onu daha da asanlaşdıraq.

  • Etibarlı əlaqə qurmaq üçün hər iki tərəf simmetrik sessiya düymələrini bölüşməlidir
  • SSL / TLS həmin sessiya açarlarının açıq açar kriptovalyutası ilə mübadiləsini asanlaşdırır
  • Server şəxsiyyətini yoxladıqdan sonra bir sessiya açarı və ya gizli açıq açar ilə şifrələnir
  • Server sessiya açarının şifrəsini açmaq və şifrəli rabitəni başlamaq üçün şəxsi açarından istifadə edir

İndi bir veb sayt sahibi olaraq bir SSL / TLS sertifikatı alarkən və ya əldə edərkən nəzərə almalı olduğunuz şeyləri nəzərdən keçirək..

Bir SSL / TLS sertifikatı alarkən nələrə diqqət yetirmək lazımdır?

SSL / TLS sertifikatı aldığınız zaman iki əsas sual barədə qərar qəbul edirsiniz:

  1. Hansı səthi örtmək lazımdır?
  2. Nə qədər şəxsiyyəti təsdiqləmək istəyirsən?

Bu suallara cavab verə bildiyiniz zaman bir sertifikat seçmək marka və qiymət məsələsinə çevrilir, artıq ehtiyac duyduğunuz məhsul növünü biləcəksiniz.

İndi bir daha vacib bir faktı ortaya qoyaq: bu iki suala necə cavab verməyinizdən asılı olmayaraq, bütün SSL / TLS sertifikatları eyni şifrləmə gücünü təklif edir.

Şifrələmə gücü, dəstəklənən şifrə paketlərinin və əlaqənin hər iki tərəfindəki müştəri və serverin hesablama gücü ilə müəyyən edilir. Bazarda ən bahalı SSL / TLS sertifikatı və tamamilə pulsuz sertifikat eyni səviyyədə sənaye standart şifrələməsini asanlaşdırmaq niyyətindədir.

Sertifikatlar arasında dəyişən şey şəxsiyyət səviyyəsi və funksionallığıdır.

Gəlin hansı səthləri örtməli olduğunuzdan başlayaq.

1- SSL / TLS Sertifikat İşləkliyi

Müasir veb saytlar, trafik izləmək üçün bir səhifənin altına sayğaclar qoyarkən internetin ilk günlərində olduğundan daha çox inkişaf etdi. İndiki zamanda təşkilatlar həm daxili, həm də xarici mürəkkəb veb infrastrukturlarına malikdir. Bir çox domen, alt domenlər, poçt serverləri və s. Haqqında danışırıq.

Xoşbəxtlikdən, SSL / TLS sertifikatları müasir veb saytlarla yanaşı, daha yaxşı qorunmalarına kömək etdi. Hər istifadə üçün bir sertifikat növü var, ancaq xüsusi istifadə vəziyyətinizin nə olacağını bilmək sizə borcludur.

Dörd fərqli SSL / TLS sertifikatı növlərinə və onların funksionallığına baxaq:

  • Tək Domain – Adından göründüyü kimi, bu SSL / TLS sertifikatı bir domen üçündür (həm WWW, həm də WWW olmayan versiyalar).
  • Çox Domain – Bu tip SSL / TLS sertifikatı çox sayda veb saytı olan təşkilatlar üçündür, eyni vaxtda 250-ə qədər fərqli domeni təmin edə bilərlər.
  • Vəhşi kart – Vahid bir domen üçün təhlükəsizlik, üstəlik, onu müşayiət edən birinci səviyyəli alt alt domenlər – sahib olduğunuz qədər (məhdudiyyətsiz).
  • Çox Domain Wildcard – Tam iş qabiliyyəti olan bir SSL / TLS sertifikatı, 250-ə qədər fərqli domeni və bütün müşayiət olunan alt-domenləri eyni vaxtda şifrələyə bilər.

Wildcard sertifikatları haqqında sürətli bir söz. Joker kartları olduqca çox yönlüdür, sınırsız sayda alt domenləri şifrələyə bilər və verildikdən sonra əlavə olunan yeni alt domenləri təmin etməyə qadirdirlər. Bir Wildcard yaradan zaman, şifrələməyiniz istədiyiniz alt domen səviyyəsində ulduz (bəzən bir yeraltı işarəsi olaraq adlandırılır) istifadə olunur. Bu təsdiqlənmiş domenin URL səviyyəsindəki hər hansı bir alt domenin sertifikatın açıq / şəxsi açar cütlüyü ilə əlaqəli olduğunu göstərir..

2- SSL / TLS Sertifikatının Qiymətləndirmə Səviyyəsi

Hansı səthləri örtməli olduğunuzu başa düşdükdən sonra nə qədər şəxsiyyəti təsdiqləmək istədiyinizi təyin etmək vaxtı gəldi. Üç doğrulama səviyyəsi var, bunlar SSL / TLS sertifikatını sizə və veb saytınıza verəcək Sertifikat Qurğusunun yoxlanılması miqdarına aiddir.

Doğrulama üç səviyyəsi: Domain Validation, Organisation Validation və Genişləndirilmiş Qiymətləndirmə.

Ən əsas qiymətləndirmə səviyyəsi deyilir Domain Qiymətləndirmə. Bu təsdiqləməni başa çatdırmaq və sertifikatı vermək üçün bir neçə dəqiqə çəkir, lakin ən az şəxsiyyət məlumatını təmin edir – yalnız serveri təsdiqləyir. DV SSL / TLS sertifikatları ən çox istifadə olunur, lakin şəxsiyyətlərinin olmaması səbəbindən onlardan istifadə edən saytlar neytral brauzer müalicəsi alırlar.

Təşkilatın təsdiqlənməsi daha çox təşkilati məlumat verir, bu da saytınızın ziyarətçilərinə hara baxmağı bildikləri təqdirdə kimlərlə nə ilə əlaqəli olduqları barədə daha yaxşı bir fikir verir. OV SSL / TLS sertifikatları orta miqdarda yoxlama tələb edir, lakin neytral brauzer müalicəsindən qaçmaq üçün kifayət qədər şəxsiyyət göstərmirlər. OV SSL sertifikatları xüsusi IP ünvanlarını da təmin edə bilər. Onlar ümumiyyətlə Müəssisə mühitlərində və daxili şəbəkələrdə istifadə olunur.

Bir SSL / TLS sertifikatı təsdiqləyə biləcəyi ən çox şəxsiyyət Genişləndirilmiş Qiymətləndirmə səviyyə. EV SSL / TLS sertifikatları CA tərəfindən dərin yoxlama tələb edir, lakin onlar veb brauzerlərin özlərinə unikal müalicə tətbiq edən veb saytlara verdikləri təsdiqlənmiş Təşkilat adlarını brauzerin adres çubuğunda göstərməsini təmin edən kifayət qədər müəyyən məlumat verirlər..

Doğrulama səviyyəsi və funksionallıq baxımından nəzərə alınmalı olan bir şey, EV SSL / TLS sertifikatlarının heç vaxt Wildcard funksionallığı ilə satılmamasıdır. Bu, son hissədə müzakirə etdiyimiz Wildcard sertifikatlarının açıq təbiətinə borcludur.

Sertifikat Səlahiyyətliləri və Qiymətləndirmə Seçmə

İndi sizə nə lazım olduğunu bildiyiniz üçün, onu haradan əldə etmək barədə danışaq. Yalnız hər kəs etibarlı SSL / TLS sertifikatları verə bilməz və etibarlı olaraq etibarlı deyilik. Etibarlı bir sertifikat orqanı və ya CA-dan keçməlisiniz. CA-lar ciddi sənaye tələblərinə bağlıdır və müntəzəm yoxlamalara və yoxlamaya məruz qalırlar. Bunun səbəbi açıq açar infrastrukturunun işləməsindən qaynaqlanır. PKI, SSL / TLS təmin edən etibarlı bir modeldir, buna görə istifadəçi brauzeri orijinallığını yoxlaya bilər və verilən SSL / TLS sertifikatına etibar edə bilər.

PKI-yə və köklərə daxil olmaq bu məqalənin əhatə dairəsinə daxil deyil, yalnız etibarlı CA-ların etibarlı sertifikatlar verə biləcəyini bilmək vacibdir. Buna görə yalnız özünüzü imzalaya və özünüzə imza ata bilməzsiniz. Brauzerlər parametrlərini əl ilə tənzimləmədən ona güvənmək üçün bir yol qalmayacaqlar.

Ancaq nə CA seçməlisiniz?

Bu, axtardığınıza bağlıdır.

Şəxsiyyətini təsdiqləməyə ehtiyac olmayan bir çox sadə veb sayt üçün, Let’s Encrypt (və ya digər pulsuz CA) -dən pulsuz bir DV SSL / TLS sertifikatı yaxşı bir seçimdir. Heç bir şey etmir və ehtiyacınız üçün kifayətdir.

Bunun şimalındakı hər hansı bir şey və ya xüsusilə texniki cəhətdən qənaətcil deyilsinizsə, DigiCert, Sectigo, Entrust Datacard və s. Kimi bir Ticarət Sertifikatı Təşkilatı ilə getməlisiniz.

Ancaq bir şey budur: ən yaxşı qiymətləri CA’lardan birbaşa satın almırsınız.

Çox CA-dan SSL / TLS sertifikatları təqdim edən bir SSL Xidməti vasitəsi ilə satın alaraq qiymət və seçimin ən yaxşı birləşməsini əldə edirsiniz. Bunun səbəbi sadədir, bu SSL xidmətləri pərakəndə satış müştərilərindən daha aşağı qiymətə toplu olaraq CA-lardan sertifikatlar alır. Bu, sertifikatları dərin güzəştli qiymətlərlə istehlakçılara təhvil verməklə satmağa imkan verir.

Bəzi hallarda birbaşa satın almaq əvəzinə SSL xidmətindən keçərək istehsalçının təklif etdiyi pərakəndə satış qiymətindən 85% -ə qədər qənaət edə bilərsiniz..

Unutmayın, SSL / TLS-də xüsusi SSL xidmətləri XÜSUSİYYƏT verin, onlar daha yaxşı müştəri dəstəyi təklif edəcəklər, onu quraşdırmağınıza kömək edə bilər və veb saytınızı ən yaxşı təhlükəsizliyi təmin etmək üçün tətbiqetmələrinizi necə optimallaşdıracağını bilirlər.

Bilet sistemi ilə işlədiyiniz və ya izdihamlı dəstək üçün köhnə forum ismarıclarını süzdüyünüz pulsuz CA-larla (və hətta bəzi ticarət lisenziyalarla) müqayisə edin və dəyəri aydındır..

Təəssüf ki, bəzi texnologiyaya əsaslanan veb sayt sahibləri üçün dəstək məsələsi problem deyil. Hər şeyi özünüzə necə dəstək verəcəyinizi bilirsinizsə, pulsuz marşrutla getməkdə şübhəsiz ki, heç bir problem yoxdur.

Digər sayt sahibləri üçün sertifikatın özü üçün daha az və ətrafındakı dəstək cihazları üçün daha çox pul ödəyirsiniz. Pulsuz SSL / TLS ilə daha yüksək qiymətləndirmə səviyyələrinə (OV / EV) və ya inkişaf etmiş işləmə qabiliyyətinə (Multi-Domain, Wildcards) girişiniz yoxdur. Bunları kommersiya CA və ya SSL xidmətlərindən əldə etməlisiniz.

Beləliklə, pullu və ya pulsuz? Tək domen DV xaricində işləməyi və doğrulamağı istəməyinizə əlavə olaraq, sizin və ya təşkilatınızın nə dərəcədə texniki bilikli olduğunuzdan xəbər verir..

SSL / TLS Alıcı Bələdçisinin sualları

Q1. Genişləndirilmiş Qiymətləndirmə dəyər?

Bir çox veb sayt üçün, bir EV SSL / TLS sertifikatı xərcdən daha çox bir sərmayədir. Maksimum şəxsiyyəti təsdiqləmək və veb saytınıza üstünlük verdiyiniz brauzer müalicəsi almaq üçün başqa bir yol yoxdur. Ziyarətçilər bir veb saytına gəldikdə və təşkilatın adres çubuğunda göstərildiyini görəndə dərin psixoloji təsir göstərir. Bu təsiri kağızda ölçmək çətindir, tədqiqatlar ardıcıl olaraq insanların EV ilə saytları ziyarət etməyi onsuz saytları ziyarət etməkdən daha yaxşı hiss etdiklərini tapır..

İnternetdə hər az az sayılır, buna görə İnternetdə şəxsiyyətini təsdiqləmək istəyən bir təşkilatsınızsa, EV SSL / TLS sertifikatları bunu etmək üçün ən yaxşı üsuldur.

Q2. SSL / TLS yazmaqda davam edirsiniz, bu nə deməkdir?

SSL Secure Sockets Layer-in tərəfdarıdır və bu günə qədər əlaqəmizi təmin etmək üçün istifadə etdiyimiz şifrələmə protokolunun orijinal versiyası idi. Zəifliklər sənayeni rəsm lövhəsinə geri qaytarmazdan əvvəl SSL 3.0-a qədər bütün yolu keçdik, burada Nəqliyyat Layer Security (TLS) SSL-in varisi olmaq üçün hazırlanmışdır.

Bu gün biz TLS 1.3-də, SSL 3.0 demək olar ki, tamamilə köhnəlmişik və 2020-ci ilə qədər 1.0 və 1.1 TLS də köhnələcəkdir. İndiki internet demək olar ki, yalnız TLS protokoluna güvənsə də, hələ də SSL kimi tanınır.

Q3. SSL / TLS protokol versiyaları nədir?

Bu, son sualımıza aiddir, SSL və TLS HTTPS bağlantısını asanlaşdıran iki protokollardır və digər hər hansı bir texnologiya kimi bu protokollar da yeni zəifliklər və hücumlar aşkarlandıqca vaxtaşırı yenilənməlidir. SSL 3.0 və ya TLS 1.2 gördüyünüzdə, SSL / TLS protokollarının müəyyən bir versiyasına istinad edilir.

Hal-hazırda, ən yaxşı təcrübə TLS 1.2 və TLS 1.3 dəstəkləməkdir, çünki bütün əvvəlki versiyaların istismar və ya digərinə həssas olduğu aşkar edilmişdir..

Q4. Şifrə Suitesi haqqında nə bilməliyəm?

Şifrə dəsti SSL / TLS şifrələmə prosesində istifadə ediləcək alqoritmlər toplusudur. Bunlara adətən bir növ açıq açar alqoritmi, mesaj identifikasiyası alqoritmi və simmetrik (blok / axın) şifrələmə alqoritmi daxildir.

Şifrə dəstəyinə uyğun olanı müəyyənləşdirmədən əvvəl, serverlərinizin nəyə qadir olduğunu bilməlisiniz, bu da OpenSSL (və ya alternativ SSL proqramı) kitabxananızı ən müasir iterasiya ilə yeniləməyi ifadə edə bilər. Elliptik əyri kriptoqrafiyasından istifadə edərək RSA-ya üstünlük verən bir söz.

Q5. Zəmanət vacibdir?

Hər hansı bir məhsulla böyük bir zəmanətin olması xoşdur və SSL / TLS sənayesi orada ən səxavətli zəmanətlərdən bəzilərini təmin edir. Sertifikatı verən CA təşkilatınızın pulunu tələb edən bir problemlə qarşılaşdığı təqdirdə ödəyirlər. Etiraf edim ki, ümumilikdə bu ümumi deyil, ümumiyyətlə SSL / TLS sertifikatları üçün təsdiqləmə növüdür, eyni zamanda qeyd etməyəcəyimiz bir şeydir.

Patrick Nohe
Müəllif haqqında: Patrick Nohe

Patrick Nohe karyerasına “Mayami Herald” qəzetinin müxbiri və köşə yazarı kimi başlamışdır. O, eyni zamanda SSL Store ™ üçün Məzmun Meneceri vəzifəsini icra edir.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map