Certifikáty HTTPS a SSL: Zabezpečte svůj web (a proč byste měli)

Jak

PodleJack Busch

Poslední aktualizace dne20. dubna 2018

Pokud jde o odesílání osobních údajů přes internet - ať už jde o kontaktní údaje, přihlašovací údaje, informace o účtu, informace o poloze nebo cokoli jiného, ​​co by mohlo být zneužito - veřejnost je z velké části přímo paranoidní o hackerech a identitě zloději. A právem. Strach, že vaše informace mohou být odcizeny, neoprávněně manipulovány nebo zneužity, není zdaleka iracionální. Titulky o únikech a narušení bezpečnosti za posledních několik desetiletí to dokazují. Ale i přes tento strach, lidé se stále přihlašují, aby dělali své bankovnictví, nakupování, deníky, seznamky, socializace a další osobní a profesionální podnikání na webu. A je tu jedna malá věc, která jim dává důvěru v to. Ukážu vám to:

Ačkoli ne všichni z nich chápou, jak to funguje, tento malý zámek v adresním řádku signalizuje uživatelům webu, že mají důvěryhodné připojení k legitimním webovým stránkám. Pokud to návštěvníci nevidí v adresním řádku, když vytáhnou váš web, neměli byste - a neměli byste - získat jejich firmu.

Chcete-li získat malý visací zámek adresního řádku pro svůj web, potřebujete certifikát SSL. Jak ho získáte? Čtěte dál a zjistěte to.

Osnova článku:

• Co je to SSL / TLS?
• Jak používat HTTPS?
• Co je to certifikát SSL a jak jej získám?
• Průvodce nákupem certifikátů SSL
• • Certifikační autorita
  • Ověření domény vs. Rozšířená validace
  • Sdílené SSL vs. Soukromý SSL
  • Trust Seals
  • Wildcard SSL Certificates
  • Záruky
  • SSL certifikáty zdarma a SSL certifikáty s vlastním podpisem
• Instalace certifikátu SSL
• Výhody a nevýhody HTTPS

Co je to SSL / TLS?

Na webu jsou data přenášena pomocí protokolu Hypertext Transfer Protocol. Proto mají všechny adresy URL webových stránek „ http://” nebo „https://" před nimi.

Jaký je rozdíl mezi http a https? To malé množství S má velké důsledky: Zabezpečení.

Nech mě to vysvětlit.

HTTP je „jazyk“, který váš počítač a server používají k vzájemnému rozhovoru. Tento jazyk je všeobecně srozumitelný, což je výhodné, ale má také své nevýhody. Pokud jsou data přenášena mezi vámi a serverem přes internet, zastaví se před dosažením konečného cíle. To představuje tři velká rizika:

• Že by někdo mohl odposlech na vaší konverzaci (něco jako digitální odposlech).

• Že by někdo mohl zosobnit jedna (nebo obě) strany na obou koncích.

• Že by někdo mohl manipulovat s přenášenými zprávami.

Hackeři a trhlíci používají výše uvedené kombinace pro řadu podvodů a loupeží, včetně podvodů typu phishing, útoků typu člověk-uprostřed a dobré staromódní reklamy. Škodlivé útoky mohou být stejně jednoduché jako šňupání přihlašovacích údajů Facebooku zachycením nezašifrovaných souborů cookie (odposlouchávání), nebo by mohly být sofistikovanější. Můžete si například myslet, že jste své bance říkali: „Převeďte prosím 100 USD mému poskytovateli internetových služeb“, ale někdo uprostřed by mohl zprávu změnit tak, aby si přečetl: „Převeďte prosím $100všechny moje peníze na můj ISPPeggy na Sibiři“(Manipulace s údaji a předstírání identity).

To jsou problémy s HTTP. K vyřešení těchto problémů může být HTTP vrstven pomocí bezpečnostního protokolu, což má za následek HTTP Secure (HTTPS). Nejčastěji je S v HTTPS poskytován protokolem Secure Sockets Layer (SSL) nebo novějším protokolem Transport Layer Security (TLS). Při nasazení nabízí HTTPS obousměrný šifrování (zabránit odposlouchávání), serverautentizace (aby se zabránilo předstírání identity) a autentizace zpráv (aby nedocházelo k manipulaci s údaji).

Jak používat HTTPS

Jako mluvený jazyk funguje HTTPS, pouze pokud se obě strany rozhodnou mluvit. Na straně klienta lze zvolit použití protokolu HTTPS zadáním „https“ do adresního řádku prohlížeče před adresou URL (např. Místo zadávání textu) http://www.facebook.com, napište https://www.facebook.com) nebo instalací rozšíření, které automaticky vynutí HTTPS, například HTTPS Everywhere for Firefox a Chrome. Pokud váš webový prohlížeč používá protokol HTTPS, zobrazí se ikona zámku, zelený panel prohlížeče, palec nahoru nebo nějaký další uklidňující znak, že vaše připojení k serveru je zabezpečené.

Chcete-li však používat HTTPS, musí jej webový server podporovat. Pokud jste webmaster a chcete svým návštěvníkům nabídnout HTTPS, budete potřebovat certifikát SSL nebo certifikát TLS. Jak získáte certifikát SSL nebo TLS? Čti dál.

Další čtení: Některé populární webové aplikace umožňují zvolit HTTPS v uživatelském nastavení. Přečtěte si naše přihlášky Facebook, Gmail, a Cvrlikání.

Co je to certifikát SSL a jak jej získám?

Aby bylo možné používat HTTPS, musí mít váš webový server nainstalován certifikát SSL nebo certifikát TLS. Certifikát SSL / TLS je jako ID fotografie pro váš web. Když prohlížeč používající HTTPS přistupuje k vaší webové stránce, provede „handshake“, během kterého klientský počítač požádá o certifikát SSL. Certifikát SSL je poté ověřen důvěryhodnou certifikační autoritou (CA), která ověří, že server je tím, kdo říká. Pokud se vše odhlásí, váš návštěvník webu získá uklidňující zelenou značku zaškrtnutí nebo ikonu zámku. Pokud se něco zhorší, obdrží od webového prohlížeče upozornění, že totožnost serveru nelze potvrdit.

Nakupování za certifikát SSL

Pokud jde o instalaci certifikátu SSL na váš web, existuje celá řada parametrů, o kterých se rozhodnout. Pojďme přes nejdůležitější:

Certifikační autorita

Certifikační autorita (CA) je společnost, která vydává váš certifikát SSL a je společností, která bude ověřovat váš certifikát pokaždé, když návštěvník navštíví váš web. Zatímco každý poskytovatel certifikátů SSL bude soutěžit o ceně a funkcích, číslo jedna by mělo být při kontrole prověřeno certifikační autority je, zda mají nebo nemají certifikáty, které jsou nainstalovány na nejpopulárnějším webu prohlížečů. Pokud certifikační autorita, která vydává váš certifikát SSL, není na tomto seznamu, zobrazí se uživateli výzva s upozorněním, že bezpečnostní certifikát webu není důvěryhodný. To samozřejmě neznamená, že váš web je nelegitimní - znamená to, že váš CA není na seznamu (zatím). To je problém, protože většina uživatelů se neobtěžuje se čtením varování nebo zkoumáním nerozpoznaného CA. Pravděpodobně jen kliknou.

Naštěstí je seznam předinstalovaných CA v hlavních prohlížečích značný. Zahrnuje některé velké obchodní značky a méně známé a cenově dostupnější certifikační autority. Názvy domácností zahrnují Verisign, Jdi táto, Comodo, Thawte, Geotrust, a Svěřit.

V nastavení svého vlastního prohlížeče se také můžete podívat, které certifikační autority jsou předinstalovány.

• V případě prohlížeče Chrome přejděte na Nastavení -> Zobrazit pokročilá nastavení... -> Spravovat certifikáty.
• V prohlížeči Firefox proveďte Možnosti -> Upřesnit -> Zobrazit certifikáty.
• Pro IE, Možnosti Internetu -> Obsah -> Certifikáty.
• V případě prohlížeče Safari přejděte do aplikace Finder a vyberte příkaz Přejít -> Nástroje -> KeyChain Access a klepněte na Systém.

Pro rychlou orientaci se podívejte na toto vlákno, které obsahuje seznam přijatelné certifikáty SSL pro Google Checkout.

Ověření domény vs. Rozšířená validace

Účelem certifikátu SSL je prokázat totožnost webu, na který zasíláte informace. Chcete-li zajistit, aby lidé nevybrali falešné SSL certifikáty pro domény, které právem nekontrolují, a certifikační autorita potvrdí, že osoba žádající o certifikát je skutečně vlastníkem domény název. Obvykle se to provádí prostřednictvím rychlého ověření e-mailem nebo telefonním hovorem, podobně jako když vám web pošle e-mail s odkazem na potvrzení účtu. Tomu se říká a doména ověřena SSL certifikát. Výhodou je, že umožňuje téměř okamžitě vydávat SSL certifikáty. Pravděpodobně byste mohli jít a získat ověřený certifikát SSL domény za kratší dobu, než jste si přečetli tento blogový příspěvek. Díky certifikátu SSL ověřenému v doméně získáte zámek a schopnost šifrovat provoz na vašem webu.

Výhodou certifikátu SSL s ověřenou doménou je, že je lze rychle, snadno a levně získat. To je také jejich nevýhoda. Jak si dokážete představit, je jednodušší vymyslet automatizovaný systém než ten, který provozují živé lidské bytosti. Je to jako kdyby nějaký středoškolský kluk vstoupil do DMV a řekl, že je Barack Obama a chtěl získat vládní průkaz totožnosti. člověk u stolu se na něj jednou podíval a zavolal Fedům (nebo loony bin). Ale pokud by to byl robot, který by pracoval na kiosku s fotografiemi, mohl by mít štěstí. Podobným způsobem mohou phishery získat „falešná ID“ pro weby, jako jsou Paypal, Amazon nebo Facebook, tím, že podvádějí systémy pro ověřování domén. V roce 2009 zveřejnil Dan Kaminsky příklad cesty podvody CA získat certifikáty které by způsobily, že phishingový web bude vypadat jako bezpečné a legitimní připojení. Pro člověka by byl tento podvod snadno odhalitelný. Automatizované ověření domény však v té době postrádalo nezbytné kontroly, aby se tomu zabránilo.

V reakci na zranitelnosti SSL a doménově ověřených SSL certifikátů představilo toto odvětví Rozšířená validace osvědčení. Chcete-li získat certifikát EV SSL, musí vaše společnost nebo organizace podstoupit přísné prověření, aby se zajistilo že je v dobrém stavu s vaší vládou a správně ovládá doménu, kterou používáte pro. Tyto kontroly, mimo jiné, vyžadují lidský prvek, a tak trvat déle a jsou dražší.

V některých odvětvích je vyžadován certifikát EV. Ale pro ostatní, výhoda jde jen tak daleko, co vaši návštěvníci poznají. Pro každodenní návštěvníky webu je rozdíl jemný. Kromě ikony visacího zámku se panel s adresou rozsvítí zeleně a zobrazí se název vaší společnosti. Pokud kliknete na další informace, uvidíte, že byla ověřena identita společnosti, nejen web.

Zde je příklad běžného webu HTTPS:

A zde je příklad HTTPS certifikátu EV:

V závislosti na vašem odvětví nemusí mít certifikát EV hodnotu. Navíc musíte být podnik nebo organizace, abyste si jednu získali. Přestože velké společnosti směřují k certifikaci EV, všimnete si, že většina HTTPS webů stále sportuje s jinou než EV. Pokud je to dost dobré pro Google, Facebook a Dropbox, možná je to pro vás dost dobré.

Ještě jedna věc: je uprostřed silnice možnost s názvem organizace ověřena nebo podnikání ověřeno osvědčení. Jedná se o důkladnější prověrku než automatizované ověření domény, ale nejde až tak daleko, aby vyhovovalo tomuto odvětví předpisy pro certifikát Extended Validation (všimněte si, jak je Extended Validation aktivováno a „organizační“) ověření “není?). Certifikace ověřená OV nebo firmou stojí více a trvá déle, nedá vám však zelený adresní řádek a ověřené informace o totožnosti společnosti. Upřímně řečeno, neumím vymyslet důvod, proč platit za certifikát OV. Pokud si na ně vzpomenete, objasněte mě prosím v komentářích.

Sdílené SSL vs. Soukromý SSL

Někteří weboví hostitelé nabízejí sdílenou službu SSL, která je často cenově dostupnější než soukromá SSL. Výhodou sdíleného SSL je kromě ceny také to, že nemusíte získat soukromou IP adresu nebo vyhrazeného hostitele. Nevýhodou je, že nemusíte používat vlastní doménové jméno. Místo toho bude zabezpečená část vašeho webu něco jako:

https://www.hostgator.com/~yourdomain/secure.php

Na rozdíl od soukromé SSL adresy:

https://www.yourdomain.com/secure.php

U webů zaměřených na veřejnost, jako jsou weby elektronického obchodování a weby sociálních sítí, je to samozřejmě tah, protože se zdá, že jste byli přesměrováni z hlavního webu. Ale pro oblasti, které nejsou obvykle vnímány širokou veřejností, jako jsou například innards poštovního systému nebo administrátorská oblast, pak sdílený SSL může být dobrý obchod.

Trust Seals

Mnoho certifikačních úřadů vám umožní umístit na vaši webovou stránku důvěrnou pečeť poté, co se zaregistrujete pro jeden z jejich certifikátů. To poskytuje téměř stejné informace jako kliknutí na visací zámek v okně prohlížeče, ale s větší viditelností. Zahrnutí důvěrné pečeti není vyžadováno, ani to nezvyšuje vaši bezpečnost, ale pokud to návštěvníkům poskytne hloupé informace o tom, kdo vydal certifikát SSL, v každém případě ho tam vyhoďte.

Wildcard SSL Certificates

Certifikát SSL ověřuje identitu jedné domény. Pokud tedy chcete mít HTTPS na více subdoménách - např. Groovypost.com, mail.groovypost.com a answer.groovypost.com- budete muset koupit tři různé certifikáty SSL. V určitém okamžiku se certifikát SSL se zástupnými znaky stává úspornějším. To znamená, že jeden certifikát pokrývá jednu doménu a všechny subdomény, tj. * .Groovypost.com.

Záruky

Bez ohledu na to, jak dlouho je dobrá pověst společnosti, existují zranitelnosti. Hackeři se mohou zaměřit i na důvěryhodné CA, jak dokazuje i porušení ve společnosti VeriSign, které bylo v roce 2010 nehlášeno. Kromě toho lze stav CA na důvěryhodném seznamu rychle odvolat, jak jsme viděli u DigiNotar snafu zpět v roce 2011. Stuff stane.

Aby se zabránilo jakémukoli neklidu ohledně možnosti takových náhodných činů SSL klamání, mnoho CA nyní nabízí záruky. Pokrytí se pohybuje od několika tisíc dolarů do více než milionu dolarů a zahrnuje ztráty vyplývající ze zneužití vašeho certifikátu nebo jiných chyb. Nemám ponětí, zda tyto záruky skutečně přinášejí přidanou hodnotu nebo ne, nebo jestli někdo úspěšně vyhrál nárok. Ale jsou tu pro vaši pozornost.

SSL certifikáty zdarma a SSL certifikáty s vlastním podpisem

K dispozici jsou dva druhy certifikátů SSL zdarma. Vlastní podpis, který se používá především pro soukromé testování a plnohodnotné veřejně přístupné SSL Certs vydané platnou certifikační autoritou. Dobrou zprávou je, že v roce 2018 existuje několik možností, jak získat 100% bezplatných, platných 90denních SSL certifikátů od obou SSL zdarma nebo Pojďme se zašifrovat. SSL for Free je primárně GUI pro Let's Encrypt API. Výhodou webu SSL for Free je snadné použití, protože má pěkné uživatelské rozhraní. Pojďme se však zašifrovat, ale můžete si plně automatizovat vyžádání SSL certifikátů. Ideální, pokud potřebujete SSL certifikáty pro více webů / serverů.

Self-signed SSL certifikát je navždy zdarma. S certifikátem s vlastním podpisem jste vlastní certifikační autoritou. Protože však nepatříte mezi důvěryhodné certifikační autority vestavěné do webových prohlížečů, návštěvníci dostanou varování, že operační systém nerozpozná oprávnění. Ve skutečnosti neexistuje žádná záruka, že jste tím, kým říkáte, že jste (je to jako vydat si fotografický průkaz a pokusit se ho předat v obchodě s alkoholem). Výhodou certifikátu SSL s vlastním podpisem je však to, že umožňuje šifrování webového provozu. Pro interní použití by mohlo být dobré, když vaši zaměstnanci mohou přidat vaši organizaci jako důvěryhodnou certifikační autoritu, aby se výstražné zprávy zbavili a pracovali na zabezpečeném připojení přes internet.

Pokyny k nastavení certifikátu SSL s vlastním podpisem naleznete v dokumentaci k produktu OpenSSL. (Nebo, pokud bude dostatek poptávky, vypíšu návod.)

Instalace certifikátu SSL

Po zakoupení certifikátu SSL je třeba jej nainstalovat na svůj web. Dobrý webhosting vám nabídne, že to za vás udělá. Někteří by dokonce mohli jít až tak daleko, jak si ji koupíte za vás. Toto je často nejlepší způsob, jak zjednodušit fakturaci a zajistit, aby byl správně nastaven pro váš webový server.

Stále však máte možnost nainstalovat SSL certifikát, který jste si zakoupili sami. Pokud tak učiníte, možná budete chtít začít konzultovat znalostní databázi svého hostitele nebo otevřít lístek na helpdesk. Nasměrují vás k nejlepším pokynům pro instalaci certifikátu SSL. Měli byste se také seznámit s pokyny poskytnutými CA. Tyto pokyny vám poskytnou lepší vedení než jakékoli obecné rady, které vám mohu poskytnout.

Možná budete také chtít vyzkoušet následující pokyny k instalaci certifikátu SSL:

• Nainstalujte SSL certifikát a nastavte doménu v cPanel
• Jak implementovat SSL ve IIS (Windows Server)
• Apache SSL / TLS Encryption

Všechny tyto pokyny budou zahrnovat vytvoření žádosti o podepsání certifikátu SSL (CSR). Ve skutečnosti budete potřebovat CSR, abyste získali certifikát SSL. Váš webový hostitel vám s tím může opět pomoci. Podrobnější informace o tvorbě CSR pro vlastní potřebu najdete v tomto zápisu DigiCert.

Výhody a nevýhody HTTPS

Již jsme pevně zavedli výhody HTTPS: zabezpečení, zabezpečení, zabezpečení. Nejenže to snižuje riziko narušení dat, ale také zvyšuje důvěru a zvyšuje důvěryhodnost vašeho webu. Důvěrní zákazníci se nemusí ani obtěžovat s registrací, pokud uvidí „ http://” na přihlašovací stránce.

Existují však některé nevýhody HTTPS. Vzhledem k nezbytnosti protokolu HTTPS pro určité typy webových stránek má větší smysl myslet na ně jako na „nevýhodyiderace “spíše než negativy.

• HTTPS stojí peníze. Pro začátečníky jsou zde náklady na nákup a obnovu vašeho SSL certifikátu, aby byla zajištěna každoroční platnost. Existují však také určité „systémové požadavky“ pro HTTPS, jako je vyhrazená adresa IP nebo vyhrazený hostingový plán, což může být nákladnější než sdílený hostingový balíček.
• HTTPS může zpomalit odezvu serveru. S SSL / TLS existují dva problémy, které mohou zpomalit rychlost načítání stránky. Aby bylo možné poprvé komunikovat s vaším webem, musí nejprve jít prohlížeč uživatele prostřednictvím procesu handshake, který se odrazí zpět na web certifikační autority a ověří osvědčení. Pokud je webový server CA slabý, bude načítání stránky zpožděno. To je z velké části mimo vaši kontrolu. Za druhé, HTTPS používá šifrování, které vyžaduje větší výpočetní výkon. To lze vyřešit optimalizací obsahu pro šířku pásma a upgradováním hardwaru na serveru. CloudFare má dobrý blogový příspěvek o tom, jak a proč SSL může zpomalit váš web.
• HTTPS může ovlivnit úsilí SEO Při přechodu z HTTP na HTTPS; přecházíte na nový web. Například, https://www.groovypost.com by nebyl stejný jako http://www.groovypost.com. Je důležité zajistit, že jste přesměrovali své staré odkazy a pod kapotou vašeho serveru napsali správná pravidla, abyste předešli ztrátě hodnotné šťávy z odkazů.
• Smíšený obsah může házet žlutou vlajku. U některých prohlížečů máte hlavní část webové stránky načtenou z HTTPS, ale obrázky a další prvky (například styly nebo skripty) načtené z HTTP URL, pak se může objevit vyskakovací okno s upozorněním, že stránka obsahuje nezabezpečené obsah. Samozřejmě, že nějaký zabezpečený obsah je lepší než žádný, přestože výsledkem není vyskakovací okno. Přesto však může být užitečné zajistit, aby na vašich stránkách nemáte „smíšený obsah“.
• Někdy je snazší získat zpracovatele plateb třetí strany. Neopouští se nechat zpracovat vaše platby pomocí Google Checkout, Paypal nebo Checkout od Amazonu. Pokud se vše výše uvedené jeví jako příliš mnoho na to, abyste se hádali, můžete svým zákazníkům umožnit výměnu platebních údajů na zabezpečeném webu Paypal nebo na zabezpečeném webu Google a ušetřit si tak potíže.

Máte nějaké další dotazy nebo připomínky týkající se certifikátů HTTPS a SSL / TLS? Dovolte mi to slyšet v komentářích.