En købsvejledning til SSL / TLS-certifikat

Ingen kan lide at få at vide, at de skal gøre noget. Det er bare menneskelig natur at gøre oprør mod det, men sommetider er det bedste, du kan gøre, at bide din læbe og gå med den. Sådan er tilfældet med HTTPS-mandatet, der blev afleveret af Google og den anden browsersproducentens sidste sommer.


I dag er ethvert websted, der stadig serveres via HTTP, mærket som “Ikke sikkert”, en epithet, der truer trafik og konverteringer. Det betyder, at ethvert websted nu har brug for et SSL / TLS-certifikat, som letter migrering til HTTPS og hjælper med at sikre kommunikation mellem dit websted og dets besøgende.

Fra og med juli 2018 markerede Chrome alle HTTP-websteder som “ikke sikre” (lære mere).

Denne guide vil gennemgå de ting, du skal overveje, når du køber et SSL / TLS-certifikat. Vi starter med en kort oversigt over teknologien, inden vi går i dybden i de specifikationer, du skal sortere igennem, når vi beslutter det rigtige certifikat til dig og dit websted.

SSL / TLS 101: En oversigt

For at kommunikere sikkert på internettet skal serveren, der er vært for webstedet, og klienten, der prøver at oprette forbindelse til det, bruge kryptering. Kryptering er en matematisk proces, der gør data ulæselige for alle andre end en autoriseret part. Det udføres ved hjælp af krypteringsnøgler, og for at en klient og server skal kunne forbinde sikkert skal begge være i besiddelse af en kopi af den samme nøgle.

Det giver dog et problem. Hvordan udveksler du disse nøgler sikkert? Hvis en angriber er i stand til at kompromittere en krypteringsnøgle, gør den krypteringen ubrugelig, fordi angriberen stadig kan se alle de data, der udveksles, som om de var i klartekst.

SSL / TLS er løsningen på nøgleudvekslingsproblemet.

SSL / TLS udfører to ting:

  1. Den autentificerer serveren, så klienter ved, hvilken enhed de opretter forbindelse til
  2. Det letter udvekslingen af ​​en sessionstast, der kan bruges til at kommunikere sikkert

Det kan virke lidt abstrakt, så lad os sætte det i gang.

Når en klient forsøger at oprette forbindelse til et websted via HTTPS – som er den sikre version af Hypertext Transfer Protocol (HTTP), som internettet har brugt i årtier – opstår en række interaktioner bag kulisserne mellem klienten og serveren, der er vært for webstedet.

Der er to typer krypteringsnøgler involveret i SSL / TLS-kryptering. Der er de symmetriske sessionstaster, vi lige har nævnt. Disse kan både kryptere og dekryptere og bruges til at kommunikere under selve forbindelsen. De andre nøgler er det offentlige / private nøglepar. Denne form for kryptering kaldes offentlig nøglekryptografi. Den offentlige nøgle kan kryptere, den private nøgle dekrypteres.

I begyndelsen vælger klienten og serveren en gensidigt understøttet cipher suite. En chiffer-pakke er det sæt algoritmer, der styrer den kryptering, der vil blive brugt under forbindelsen.

Når der er aftalt en cipher suite, sender serveren sit SSL-certifikat og den offentlige nøgle. Gennem en række kontroller autentificerer klienten serveren, verificerer dens identitet, og at den er den retmæssige ejer af den tilknyttede offentlige nøgle.

Efter denne verifikation genererer klienten en sessionnøgle (eller den hemmelighed, der kan bruges til at udlede en) og bruger serverens offentlige nøgle til at kryptere den, inden den sendes til serveren. Ved hjælp af sin private nøgle dekrypterer serveren sessionstasten, og den krypterede forbindelse begynder (dette er den mest almindelige form for nøgleudveksling, som udført med RSA – Diffie-Hellman nøgleudveksling adskiller sig lidt).

Hvis det stadig virker lidt kompliceret, så lad os forenkle det endnu mere.

  • For at kommunikere sikkert skal begge parter dele symmetriske sessionstaster
  • SSL / TLS letter udvekslingen af ​​disse sessionstaster med kryptografi med offentlig nøgle
  • Efter verifikation af serveridentitet krypteres en sessionnøgle eller hemmelighed med den offentlige nøgle
  • Serveren bruger sin private nøgle til at dekryptere sessionnøglen og begynde krypteret kommunikation

Lad os nu undersøge, hvad du som websteejer skal overveje, når du køber eller erhverver et SSL / TLS-certifikat.

Hvad skal man overveje, når man køber et SSL / TLS-certifikat?

Når du køber et SSL / TLS-certifikat, træffer du en beslutning om to primære spørgsmål:

  1. Hvilken overflade skal du dække?
  2. Hvor meget identitet vil du hævde?

Når du kan besvare disse spørgsmål, hvis du vælger et certifikat bliver et spørgsmål om mærke og omkostninger, ved du allerede den produkttype, du har brug for.

Før vi går videre, lad os etablere en meget vigtig kendsgerning: uanset hvordan du besvarer disse to spørgsmål, tilbyder alle SSL / TLS-certifikater den samme krypteringsstyrke.

Krypteringsstyrken bestemmes af en kombination af understøttede chiffer suiter og computerkraften for klienten og serveren i begge ender af forbindelsen. Det dyreste SSL / TLS-certifikat på markedet og et helt gratis certifikat vil lette det samme niveau af industristandardkryptering.

Hvad der varierer med certifikater er identitetsniveauet og deres funktionalitet.

Lad os starte med, hvilke overflader du har brug for at dække.

1- SSL / TLS-certifikatfunktionalitet

Moderne websteder har udviklet sig langt ud over, hvad de var i de tidlige dage af internettet, når du stadig lægger skranker på bunden af ​​en side for at spore trafik. I dag har organisationer komplicerede webinfrastrukturer, både internt og eksternt. Vi taler om flere domæner, underdomæner, mailserver osv.

Heldigvis har SSL / TLS-certifikater udviklet sig sammen med moderne websteder for at hjælpe dem med at sikre dem bedre. Der er en certifikattype til enhver brugssag, men det påhviler dig at vide, hvad din specifikke brugssag bliver.

Lad os se på de fire forskellige SSL / TLS-certifikattyper og deres funktionalitet:

  • Enkelt domæne – Som navnet antyder, er dette SSL / TLS-certifikat til et enkelt domæne (både WWW- og ikke-WWW-versioner).
  • Multi-Domain – Denne type SSL / TLS-certifikat er til organisationer med flere websteder, de kan sikre op til 250 forskellige domæner samtidigt.
  • Wildcard – Sikkerhed for et enkelt domæne plus alle dets ledsagende underdomener på første niveau – så mange som du har (ubegrænset).
  • Wildcard med flere domæner – Et SSL / TLS-certifikat med fuld funktionalitet, kan kryptere op til 250 forskellige domæner og alle ledsagende underdomæner samtidigt.

Et hurtigt ord om wildcard-certifikater. Wildcards er usædvanligt alsidige, de kan kryptere et ubegrænset antal underdomæner og er endda i stand til at sikre nye underdomæner, der tilføjes efter udstedelse. Når du genererer et jokertegn, bruges en stjerne (sommetider benævnt et jokertegn) på det underdomæneniveau, du ønsker at kryptere. Dette angiver, at ethvert underdomæne på det URL-niveau af det verificerede domæne er gyldigt forbundet med certifikatets offentlige / private nøglepar.

2- SSL / TLS certifikat valideringsniveau

Når du har fundet ud af, hvilke overflader du har brug for at dække, er det tid til at bestemme, hvor meget identitet du vil hævde. Der er tre niveauer af validering, disse henviser til mængden af ​​kontrol af Certificate Authority, der udsteder dit SSL / TLS-certifikat vil sætte dig og dit websted gennem.

Tre valideringsniveauer: domænevalidering, organisationsvalidering og udvidet validering.

Det mest basale valideringsniveau kaldes Domænevalidering. Det tager kun få minutter at gennemføre denne validering og udstede certifikatet, men det giver mindst identitetsinformation – autentificering af serveren. DV SSL / TLS-certifikater er de mest anvendte, men på grund af deres manglende identitet får websteder, der bruger dem, neutral browserbehandling.

Organisationsvalidering giver mere organisatoriske oplysninger, der giver dit websteds besøgende en bedre idé om, hvem de har at gøre med, forudsat at de ved, hvor de skal se. OV SSL / TLS-certifikater kræver en moderat mængde vetting, men de hævder ikke tilstrækkelig identitet til at undgå neutral browserbehandling. OV SSL-certifikater kan også sikre dedikerede IP-adresser. De bruges ofte i Enterprise-miljøer og på interne netværk.

Den mest identitet, som et SSL / TLS-certifikat kan påstå, kommer på Udvidet validering niveau. EV SSL / TLS-certifikater kræver en dybdegående undersøgelse fra CA, men de hævder nok identificerende information, som webbrowsere vil give websteder, der implementerer dem unik behandling – viser deres verificerede organisatoriske navn i browserens adresselinje.

En hurtig ting at overveje med hensyn til valideringsniveauer og funktionalitet er, at EV SSL / TLS-certifikater aldrig sælges med Wildcard-funktionalitet. Dette skyldes den åbne natur af Wildcard-certifikater, som vi drøftede i det sidste afsnit.

Valg af certifikatmyndigheder og prisfastsættelse

Nu hvor du ved, hvad du har brug for, så lad os tale om, hvor man kan erhverve det fra. Ikke bare nogen kan udstede gyldige SSL / TLS-certifikater, og med gyldigt mener vi tillid. Du skal gennem en betroet certifikatmyndighed eller CA. CA’er er bundet af strenge industrikrav og er underlagt regelmæssige revisioner og kontrol. Årsagen hertil stammer fra, hvordan Public Key Infrastructure fungerer. PKI er den tillidsmodel, der undergirds SSL / TLS, det er grunden til, at en brugers browser kan bekræfte ægtheden af ​​og stole på et givet SSL / TLS-certifikat.

Selvom det ikke er omfattet af denne artikel at undersøge PKI og rødder, er det vigtigt at vide, at kun betroede CA’er kan udstede betroede certifikater. Dette er grunden til at du ikke bare kan udstede din egen og selvskrive den. Browsere har ingen måde at stole på det uden manuelt at justere deres indstillinger.

Men hvilken CA skal du vælge?

Det afhænger af, hvad du leder efter.

For mange enkle websteder, der ikke behøver at hævde megen identitet, er et gratis DV SSL / TLS-certifikat fra Let’s Encrypt (eller andre gratis CA’er) et godt valg. Det koster ikke noget, og det er tilstrækkeligt til det, du har brug for.

Noget nord for det, eller hvis du ikke er specielt teknisk dygtig, skal du gå med en kommerciel certifikatmyndighed som DigiCert, Sectigo, Entrust Datacard osv..

Men her er det: du får ikke de bedste priser, der køber direkte fra CA’erne.

Du får den bedste kombination af priser og valg ved at købe gennem en SSL-service, der tilbyder SSL / TLS-certifikater fra flere CA’er. Årsagen til dette er enkel, disse SSL-tjenester køber certifikater fra CA’er i bulk til meget lavere priser, end detailkunder får. Det giver dem mulighed for at sælge certifikaterne til dybt nedsatte priser og overføre besparelserne til forbrugerne.

I nogle tilfælde kan du spare så meget som 85% rabat på producentens anbefalede detailpris ved at gå gennem en SSL-tjeneste i stedet for at købe direkte.

Husk, dedikerede SSL-tjenester SPECIALISERE i SSL / TLS, de vil tilbyde bedre kundesupport, de kan hjælpe dig med at installere det, og de ved, hvordan man optimerer dine implementeringer for at give dit websted den bedst mulige sikkerhed.

Kontrast det med gratis CA’er (og endda nogle kommercielle), hvor du er nødt til at arbejde gennem et billetsystem eller sile gennem gamle forumindlæg for crowddsourced support, og værdien er klar.

Indrømmet, for nogle teknisk kyndige webstedsejere, er supportproblemet ikke et problem. Og der er bestemt ikke noget galt i at gå den frie rute, hvis du ved, hvordan du selv kan støtte alt.

Men for andre webstedsejere betaler du mindre for selve certifikatet og mere for det supportapparat, der er bygget omkring det. Du har heller ikke adgang til højere valideringsniveauer (OV / EV) eller avanceret funktionalitet (Multi-Domain, Wildcards) med gratis SSL / TLS. Du skal hente dem fra kommercielle CA’er eller SSL-tjenester.

Så betalt eller gratis? Det kommer ned på, hvor teknisk dygtige du eller din organisation er, ud over om du vil have funktionalitet og validering ud over enkelt domæne DV.

Ofte stillede spørgsmål om SSL / TLS-købervejledning

Q1. Er udvidet validering det værd?

På mange websteder er et EV SSL / TLS-certifikat mere en investering end en udgift. Der er ingen anden måde at hævde maksimal identitet og få din fortrinsvis browserbehandling på dit websted. Når besøgende ankommer til et websted og ser organisationens navn, der vises i adresselinjen, har det en dyb psykologisk effekt. Selv om denne effekt er vanskelig at kvantificere på papir, finder undersøgelser konsekvent, at folk føler sig bedre til at besøge steder med EV end at besøge steder uden det.

På internettet tæller hver lille smule, så hvis du er en organisation, der ønsker at hævde identitet på nettet, er EV SSL / TLS-certifikater den bedste tilgængelige metode til at gøre det.

Q2. Du skriver fortsat SSL / TLS, hvad betyder det?

SSL står for Secure Sockets Layer, og det var den originale version af krypteringsprotokollen, som vi bruger til at sikre vores forbindelser til i dag. Vi kom helt hen til SSL 3.0, inden sårbarheder tvang industrien tilbage til tegnebrættet, hvor Transport Layer Security (TLS) blev designet til at være SSLs efterfølger.

I dag er vi på TLS 1.3, SSL 3.0 er næsten helt afskrevet, og i 2020 vil TLS 1.0 og 1.1 også blive afskrevet. Mens dagens internet næsten udelukkende er afhængig af TLS-protokollen, er den stadig kendt som SSL.

Q3. Hvad er SSL / TLS-protokollversioner?

Dette vedrører vores sidste spørgsmål, SSL og TLS er de to protokoller, der letter HTTPS-forbindelser, og ligesom med ethvert andet stykke teknologi skal disse protokoller periodisk opdateres, efterhånden som nye sårbarheder og angreb opdages. Når du ser SSL 3.0 eller TLS 1.2, henviser det til en bestemt version af SSL / TLS-protokollerne.

I øjeblikket er bedste praksis at understøtte TLS 1.2 og TLS 1.3, da alle tidligere versioner har vist sig at være sårbare over for en eller anden udnyttelse.

Q4. Hvad skal jeg vide om Cipher Suites?

En chiffer-pakke er en samling af algoritmer, der vil blive brugt under SSL / TLS-krypteringsprocessen. De inkluderer typisk en slags offentlig nøglealgoritme, en meddelelsesgodkendelsesalgoritme og en symmetrisk (blok / stream) krypteringsalgoritme.

Inden du kan træffe afgørelse om, hvad Cipher suites skal støtte, skal du vide, hvad dine servere er i stand til, hvilket kan betyde at opdatere dit OpenSSL (eller alternativ SSL-software) -bibliotek til dets mest moderne iteration. Et råd, der bruger Elliptic Curve Cryptography, foretrækkes frem for RSA.

Q5. Er garantier vigtige?

Det er dejligt at have en stor garanti med ethvert produkt, og SSL / TLS-industrien giver nogle af de mest generøse garantier derude. De udbetaler i tilfælde af, at CA, der har udstedt dit certifikat, nogensinde støder på et problem, der koster din organisations penge. Det er ganske vist ikke så almindeligt, som er en slags påtegning for SSL / TLS-certifikater generelt, men også noget, vi er opmærksomme på ikke at påpege.

Patrick Nohe
Om forfatteren: Patrick Nohe

Patrick Nohe startede sin karriere som beatreporter og spaltist for Miami Herald. Han fungerer også som Content Manager for SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map