אישורי HTTPS ו- SSL: הפוך את אתרך לאבטח (ולמה אתה צריך)

איך ל

על ידיג'ק בוש

עודכן לאחרונה ב20 באפריל 2018

כשמדובר בשליחת מידע אישי דרך האינטרנט - יהיה זה פרטי קשר, אישורי כניסה, פרטי חשבון, מידע על מיקום או כל דבר אחר שעשוי להיות מנוצל לרעה - הציבור הוא פרנואיד באופן כללי על האקרים וזהות. גנבים. ובצדק. החשש שמידע שלך עשוי להיגנב, לא להתייחס אליו או שלא הועלה עליו בצורה נכונה רחוק מלהיות לא הגיוני. הכותרות על הדלפות והפרות אבטחה בעשורים האחרונים מוכיחות זאת. אך למרות הפחד הזה אנשים ממשיכים להתחבר לביצוע בנקאות, קניות, יומן, היכרויות, קשרים חברתיים ועסקים אישיים ומקצועיים אחרים באינטרנט. ויש דבר אחד קטן שנותן להם את הביטחון לעשות זאת. אני אראה לך את זה:

למרות שלא כולם מבינים איך זה עובד, המנעול הקטן הזה בסרגל הכתובות מאותת למשתמשים ברשת שיש להם חיבור מהימן לאתר לגיטימי. אם מבקרים לא רואים את זה בסרגל הכתובות כאשר הם מקימים את האתר שלך, אתה לא אמור להשיג את העסק שלהם.

כדי להשיג מנעול שורת הכתובת הקטן לאתר שלך, אתה צריך אישור SSL. איך משיגים אחד כזה? המשך לקרוא כדי לגלות.

מתאר מאמר:

• מה זה SSL / TLS?
• כיצד להשתמש ב- HTTPS?
• מה זה תעודת SSL וכיצד אוכל להשיג תעודה?
• מדריך לקניות תעודות SSL
• • רשות אישורים
  • אימות דומיין לעומת אימות מורחב
  • SSL משותף לעומת SSL פרטי
  • חותמות אמון
  • תעודות SSL של Wildcard
  • אחריות
  • תעודות SSL בחינם ותעודות SSL בחתימה עצמית
• התקנת אישור SSL
• יתרונות וחסרונות של HTTPS

מה זה SSL / TLS?

באינטרנט מועברים נתונים באמצעות פרוטוקול העברת ההיפרקסט. לכן כל כתובות האתר של דפי האינטרנט כוללות " http://” או "https: // ”לפניהם.

מה ההבדל בין http ל- https? ל- S הקטנה הנוספת הזו יש השלכות גדולות: ביטחון.

הרשה לי להסביר.

HTTP היא "השפה" שבה המחשב והשרת שלך משתמשים בכדי לדבר זה עם זה. שפה זו מובנת באופן אוניברסלי, וזה נוח, אך יש לה גם חסרונות. כאשר מועברים נתונים בינך לשרת דרך האינטרנט, הם יעשו כמה עצירות בדרך לפני שהם מגיעים ליעדה הסופי. זה מהווה שלושה סיכונים גדולים:

• שמישהו יכול מצותת בשיחה שלך (כמו למשל האזנת סתר דיגיטלית).

• שמישהו יכול מתחזה אחד הצדדים (או שניהם) משני הצדדים.

• שמישהו יכול להתעסק עם העברת ההודעות.

האקרים וטירופים משתמשים בשילוב של האמור לעיל למספר הונאות ועקבים, כולל תחבולות דיוג, התקפות איש-אמצע ופרסום מיושן וטוב. התקפות זדוניות עלולות להיות פשוטות כמו לרחרח את אישורי הפייסבוק על ידי יירוט עוגיות לא מוצפנות (ציתות), או שהן יכולות להיות מתוחכמות יותר. לדוגמה, אתה יכול לחשוב שאתה אומר לבנק שלך: "בבקשה העבירו 100 דולר לספק האינטרנט שלי", אבל מישהו באמצע יכול לשנות את ההודעה כדי לקרוא: "בבקשה העבר $100כל הכסף שלי ל ספק שירותי האינטרנט שליפגי בסיביר"(חיבוש נתונים והתחזות נתונים).

אז אלה הבעיות עם HTTP. כדי לפתור בעיות אלה, ניתן לשכבה של HTTP עם פרוטוקול אבטחה, וכתוצאה מכך HTTP Secure (HTTPS). לרוב, ה- S ב- HTTPS מסופק על ידי פרוטוקול Secure Sockets Layer (SSL) או פרוטוקול ה- TLS (Transport Layer Security) החדש יותר. בעת הפריסה, HTTPS מציע דו כיוונית הצפנה (כדי למנוע ציתות), שרתאימות (כדי למנוע התחזות) ו- אימות הודעה (כדי למנוע התעסקות בנתונים).

כיצד להשתמש ב- HTTPS

בדומה לשפה מדוברת, HTTPS עובד רק אם שני הצדדים בוחרים לדבר בה. בצד הלקוח, הבחירה להשתמש ב- HTTPS יכולה להתבצע על ידי הקלדת "https" בשורת הכתובת של הדפדפן לפני כתובת האתר (למשל, במקום להקליד http://www.facebook.com, סוג https://www.facebook.com), או על ידי התקנת תוסף שמאלץ אוטומטית HTTPS, כגון HTTPS Everywhere עבור פיירפוקס ו כרום. כאשר דפדפן האינטרנט שלך משתמש ב- HTTPS, תראה סמל מנעול, סרגל דפדפן ירוק, אגודלים או סימן מרגיע אחר לכך שהחיבור שלך לשרת מאובטח.

עם זאת, כדי להשתמש ב- HTTPS, על שרת האינטרנט לתמוך בו. אם אתה מנהל אתר ואתה רוצה להציע HTTPS למבקרי האינטרנט שלך, תצטרך תעודת SSL או תעודת TLS. איך משיגים תעודת SSL או TLS? המשך לקרוא.

קריאה נוספת: כמה אפליקציות אינטרנט פופולריות מאפשרות לך לבחור HTTPS בהגדרות המשתמש שלך. קרא את התוצאות שלנו פייסבוק, Gmail, ו טוויטר.

מה זה תעודת SSL וכיצד אוכל להשיג תעודה?

על מנת להשתמש ב- HTTPS, על שרת האינטרנט שלך להיות מותקן באישור SSL או אישור TLS. תעודת SSL / TLS היא כמו מזהה תמונה כמו האתר שלך. כאשר דפדפן המשתמש ב- HTTPS ניגש לדף האינטרנט שלך, הוא יבצע "לחיצת יד", שבמהלכה מחשב הלקוח מבקש את אישור ה- SSL. לאחר מכן אישור ה- SSL מאומת על ידי רשות אישורים מהימנה (CA), המאמתת שהשרת הוא מי שהוא אומר שהוא. אם הכל בודק, מבקר האינטרנט שלך מקבל את סימן הבדיקה הירוק או הסמל המנעול. אם משהו ישתבש, הם יקבלו אזהרה מדפדפן האינטרנט, וציינו כי לא ניתן היה לאשר את זהות השרת.

קניות לתעודת SSL

כשמדובר בהתקנת אישור SSL באתר האינטרנט שלך, יש שפע של פרמטרים שצריך להחליט עליהם. נעבור על החשוב ביותר:

רשות אישורים

רשות האישורים (CA) היא החברה המנפיקה את אישור ה- SSL שלך והיא זו שתאמת את האישור שלך בכל פעם שמבקר יבקר באתר שלך. בעוד שכל ספק תעודות SSL יתמודד על מחיר ותכונות, הדבר הראשון שיש לקחת בחשבון בעת ​​בחירה רשויות האישורים הן אם יש להם אישורים שמותקנים מראש באינטרנט הפופולרי ביותר דפדפנים. אם רשות האישורים המנפיקה את אישור ה- SSL שלך אינה מופיעה ברשימה זו, המשתמש יתבקש באזהרה כי אישור האבטחה של האתר אינו מהימן. כמובן, זה לא אומר שהאתר שלך לא לגיטימי - זה רק אומר שהרשות האישית שלך אינה ברשימה (עדיין). זוהי בעיה מכיוון שרוב המשתמשים לא יטרחו לקרוא את האזהרה או לחקור את CA הלא מוכר. הם בטח פשוט ילחצו משם.

למרבה המזל, ניתן לראות את רשימת ה- CAs המותקנת מראש בדפדפנים הגדולים. זה כולל כמה שמות מותגים גדולים כמו גם חברות רשות נמוכות יותר ידועות ומשתלמות יותר. שמות משק הבית כוללים Verisign, קדימה אבא, קומודו, תאווה, גאוטרוסט, ו להפקיד.

אתה יכול גם לבדוק בהגדרות הדפדפן שלך כדי לראות אילו רשויות אישור הותקנו מראש.

• עבור Chrome עבור אל הגדרות -> הצג הגדרות מתקדמות... -> ניהול אישורים.
• עבור פיירפוקס, עשה אפשרויות -> מתקדם -> הצגת אישורים.
• עבור IE, אפשרויות אינטרנט -> תוכן -> אישורים.
• עבור ספארי, היכנס לאתר Finder ובחר Go -> Utilities -> KeyChain Access ולחץ על System.

לעיון מהיר, עיין בשרשור זה שמפרט את ה- אישורי SSL מקובלים עבור Google Checkout.

אימות דומיין לעומת אימות מורחב

תעודת SSL נועדה להוכיח את זהות האתר שאליו אתה שולח מידע. כדי להבטיח שאנשים לא מוציאים אישורי SSL מזויפים לתחומים שהם לא שולטים בצדק, א רשות האישורים תאמת כי מי שמבקש את האישור הוא אכן הבעלים של התחום שם. בדרך כלל הדבר נעשה באמצעות אימייל מהיר או אימות שיחות טלפון, בדומה למצב בו אתר אינטרנט שולח לך דוא"ל עם קישור לאישור חשבון. זה נקרא א תוקף של הדומיין תעודת SSL. היתרון בכך הוא שהוא מאפשר להנפיק תעודות SSL כמעט מיידית. סביר להניח שתוכלו לקבל אישור SSL בתוקף של דומיין בפחות זמן מכפי שלקח לכם לקרוא את הפוסט בבלוג הזה. עם תעודת SSL מאומתת תחום, אתה מקבל את המנעול ואת היכולת להצפין את התעבורה באתר שלך.

היתרונות של תעודת SSL מאומתת תחום הוא שהם מהירים, קלים וזולים להשגה. זה גם החיסרון שלהם. כפי שאתה יכול לדמיין, קל יותר לכווץ מחדש מערכת אוטומטית מאשר אחת שמנוהלת על ידי בני אדם חיים. זה כמו כאילו איזה ילד מבית הספר התיכון נכנס ל DMV ואומר שהוא ברק אובמה ורצה להשיג תעודת זהות שהונפקה על ידי הממשלה. האדם שבשולחן היה מסתכל עליו מבט אחד ומתקשר לפדסים (או לפח האשפה). אבל אם זה היה רובוט שעובד קיוסק מזהה לצילום, ייתכן שיהיה לו קצת מזל. באופן דומה, phishers יכולים לקבל "תעודות זהות מזויפות" עבור אתרים כמו Paypal, Amazon או Facebook על ידי הונאה של מערכות אימות תחום. בשנת 2009 פרסם דן קמינסקי דוגמה לדרך רישומי אישורי הונאה כדי לקבל אישורים שיגרום לאתר דיוג להיראות כאילו הוא חיבור לגיטימי מאובטח. לאדם, קל להבחין בהונאה זו. אולם לאימות הדומיינים האוטומטי באותה העת היה חסר את הבדיקות הדרושות כדי למנוע דבר כזה.

בתגובה לפגיעויות של SSL ותעודות SSL מאומתות בתחום, הציגה התעשייה את התעשייה אימות מורחב תעודה. כדי לקבל תעודת SSL EV, על החברה או הארגון שלך לעבור בדיקות קפדניות כדי להבטיח שהוא במצב טוב עם הממשלה שלך ושולט בצדק על התחום שאתה מחיל ל. בדיקות אלה, בין השאר, דורשות מרכיב אנושי, וכך לוקחות זמן רב יותר ויקרות יותר.

בחלק מהענפים נדרש אישור EV. אבל עבור אחרים, התועלת עוברת רק על מה שהמבקרים שלך יזהו. למבקרים באינטרנט היומיומיים ההבדל עדין. בנוסף לסמל המנעול, סרגל הכתובות הופך לירוק ומציג את שם החברה שלך. אם תלחץ למידע נוסף, אתה רואה שאומתה זהות החברה ולא רק האתר.

להלן דוגמא לאתר HTTPS רגיל:

והנה דוגמה לאתר תעודת HTTPS של EV:

תלוי בענף שלך, ייתכן שתעודת EV אינה שווה את זה. בנוסף, עליך להיות עסק או ארגון כדי להשיג עסק כזה. למרות שחברות גדולות מתכוונות להסמכת EV, תבחין שרוב אתרי HTTPS עדיין אוהבים את הטעם שאינו EV. אם זה מספיק טוב לגוגל, לפייסבוק ולדרופבוקס, אולי זה מספיק טוב בשבילך.

עוד דבר אחד: יש אמצע של אפשרות הכביש שנקרא an ארגון תוקף או תוקף של עסק תעודה. זוהי בחינה יסודית יותר מאימות הדומיינים האוטומטי, אך זה לא מסתכם במפגש עם הענף תקנות לתעודת אימות מורחבת (שימו לב כיצד השימוש באימות מורחב מורשה ו"ארגון אימות "לא?). אישור OV או עסק מאושר עלויות יותר ונמשך זמן רב, אך הוא לא ייתן לך את סרגל הכתובות הירוק ואת המידע המאומת על זהות החברה. האמת, אני לא יכולה לחשוב על סיבה לשלם עבור תעודת OV. אם אתה יכול לחשוב על אחד, אנא נא להאיר אותי בתגובות.

SSL משותף לעומת SSL פרטי

חלק ממארחי האינטרנט מציעים שירות SSL משותף, שלרוב זול יותר מאשר SSL פרטי. מלבד המחיר, היתרון של SSL משותף הוא שאינך צריך לקבל כתובת IP פרטית או מארח ייעודי. החיסרון הוא שלא תשתמש בשם הדומיין שלך. במקום זאת, החלק המאובטח של האתר שלך יהיה כמו:

https://www.hostgator.com/~yourdomain/secure.php

לעומת זאת לכתובת SSL פרטית:

https://www.yourdomain.com/secure.php

לאתרים הפונים לציבור, כמו אתרי מסחר אלקטרוני ואתרי רשת חברתית, זה כמובן גרור, מכיוון שנראה שאתה הנותב מהאתר הראשי. אבל עבור אזורים שלא נראים בדרך כלל על ידי הציבור הרחב, למשל הפנימיות של מערכת דואר או אזור מנהל, אז SSL משותף עשוי להיות עניין טוב.

חותמות אמון

רשויות אישורים רבות מאפשרות לך להציב חותם אמון בדף האינטרנט שלך לאחר שנרשמת לאחת מהתעודות שלהם. זה נותן כמעט את אותו מידע כמו לחיצה על המנעול בחלון הדפדפן, אך עם ראות גבוהה יותר. כלול חותם אמון אינו נדרש, ואף אינו מגביר את האבטחה שלך, אך אם הוא מעניק למבקרים שלך את המהומות החמות בידיעה מי הוציא את אישור ה- SSL, בכל דרך, זרוק אותה לשם.

תעודות SSL של Wildcard

אישור SSL מאמת את זהותו של תחום אחד. לכן, אם ברצונך להשתמש ב- HTTPS בתת-דומיינים מרובים - למשל, groovypost.com, mail.groovypost.com ו- תשובות.groovypost.comתצטרך לקנות שלוש תעודות SSL שונות. בנקודה מסוימת, תעודת SSL עם תווים כלליים הופכת לחסכונית יותר. כלומר, אישור אחד לכיסוי תחום אחד וכל תת-הדומיינים, כלומר * .groovypost.com.

אחריות

לא משנה כמה יש לה מוניטין טוב של חברה, ישנן פגיעויות. האקרים יכולים אפילו להיות ממוקדים על ידי רשימות אמינות, כפי שמעידים ה- הפרה ב- VeriSign שלא הוצגה בדוחות בשנת 2010. יתרה מזאת, ניתן לבטל במהירות את סטטוס של רשות CA ברשימה המהימנה, כפי שראינו עם ה- DigiNotar snafu חזרה בשנת 2011. דברים קורים.

כדי להרגיע את כל אי הנוחות מהפוטנציאל למעשים כאלה אקראיים של הוללות SSL, חברות רשות חברות עיתון רבות מציעות כעת אחריות. הכיסוי נע בין כמה אלפי דולרים למעל מיליון דולר וכולל הפסדים הנובעים משימוש לרעה בתעודה שלך או מתקלות אחרות. אין לי מושג אם ההתחייבויות הללו אכן מוסיפות ערך או לא, או אם מישהו אי פעם זכה בהצלחה בתביעה. אבל הם שם לשיקולכם.

תעודות SSL בחינם ותעודות SSL בחתימה עצמית

ישנם שני סוגים של אישורי SSL בחינם. חתימה עצמית, המשמשת בעיקר לבדיקה פרטית ולציבור מפוצץ מלא מול SSL Certs שהונפק על ידי רשות אישורים תקפה. החדשות הטובות הן שבשנת 2018 יש כמה אפשרויות להשיג 100% בחינם, תוקפי SSL של 90 יום, משניהם SSL בחינם או בואו להצפין. SSL בחינם הוא בעיקר ממשק משתמש (GUI) עבור ה- API של Let Encrypt. היתרון של האתר SSL for Free הוא שהוא פשוט לשימוש מכיוון שיש לו ממשק משתמש ממשק נחמד. עם זאת, בואו להצפין נחמד שכן תוכלו לבצע אוטומציה מלאה של בקשת תוספי SSL מהם. אידיאלי אם אתה זקוק לתוספי SSL עבור אתרים / שרתים מרובים.

תעודת SSL בחתימה עצמית היא בחינם לנצח. עם תעודה חתימה עצמית, אתה CA שלך. עם זאת, מכיוון שאינך נמנה עם רשימות ה- CA המהימנות המובנות בדפדפני האינטרנט, המבקרים יקבלו אזהרה כי הרשות אינה מוכרת על ידי מערכת ההפעלה. ככאלה, אין באמת שום הבטחה שאתה מי שאתה אומר שאתה (זה כמו להנפיק לעצמך תעודת זהות ולנסות להעביר אותו בחנות המשקאות). אולם היתרון של תעודת SSL בחתימה עצמית הוא בכך שהיא מאפשרת קידוד לתעבורת רשת. זה יכול להיות טוב לשימוש פנימי, שם תוכל לאנשי הצוות שלך להוסיף את הארגון שלך כקבוצת מידע אמינה כדי להיפטר מהודעת האזהרה ולעבוד על חיבור מאובטח דרך האינטרנט.

לקבלת הוראות להגדרת תעודת SSL בחתימה עצמית, עיין בתיעוד עבור OpenSSL. (או אם יש מספיק ביקוש, אכתוב הדרכה.)

התקנת אישור SSL

לאחר שרכשת את אישור ה- SSL שלך, עליך להתקין אותו באתר שלך. מארח אינטרנט טוב יציע לעשות זאת בשבילך. חלקם עשויים אפילו להגיע לביצוע הקנייה עבורכם. לעתים קרובות, זו הדרך הטובה ביותר לעבור, מכיוון שהיא מפשטת חיוב ומבטיחה כי היא מוגדרת כראוי לשרת האינטרנט שלך.

ובכל זאת, תמיד יש לך אפשרות להתקין אישור SSL שקנית לבד. אם תעשה זאת, אולי כדאי שתתייעץ בבסיס הידע של מארח האינטרנט שלך או על ידי פתיחת כרטיס דסק עזרה. הם יפנו אותך להוראות הטובות ביותר להתקנת אישור ה- SSL שלך. עליך להתייעץ גם עם ההוראות המופיעות על ידי CA. אלה יעניקו לך הדרכה טובה יותר מכל עצה גנרית שאוכל לתת לך כאן.

יתכן שתרצה לבדוק את ההוראות הבאות להתקנת אישור SSL:

• התקן אישור SSL והגדר את התחום ב- cPanel
• כיצד ליישם SSL ב- IIS (Windows Server)
• קידוד SSL ​​/ TLS של אפאצ'י

כל ההוראות הללו כרוכות ביצירת בקשת חתימה על אישור SSL (CSR). למעשה, תצטרך CSR רק כדי להוציא אישור SSL. שוב, מארח האינטרנט שלך יכול לעזור לך בכך. למידע ספציפי יותר בנושא עשה זאת בעצמך אודות יצירת CSR, עיין בפירוט זה מ- DigiCert.

היתרונות והחסרונות של HTTPS

הקמנו כבר היטב את היתרונות של HTTPS: אבטחה, אבטחה, אבטחה. זה לא רק שמפחית את הסיכון להפרת נתונים, זה גם מעניק אמון ומוסיף מוניטין לאתר האינטרנט שלך. לקוחות מנוסים עשויים אפילו לא לטרוח להירשם אם הם רואים " http://” בדף הכניסה.

עם זאת, ישנם כמה חסרונות ל- HTTPS. בהתחשב בצורך של HTTPS בסוגים מסוימים של אתרים, הגיוני יותר לחשוב על אלה כאל "חסרונותאידיציות "ולא שליליות.

• HTTPS עולה כסף. בתור התחלה, יש עלות הקנייה והחידוש של אישור ה- SSL שלך בכדי להבטיח תוקף משנה לשנה. אבל יש גם "דרישות מערכת" מסוימות עבור HTTPS, כמו למשל כתובת IP ייעודית או תוכנית אירוח ייעודית, שיכולות להיות יקרות יותר מחבילת אירוח משותפת.
• HTTPS עשוי להאט את תגובת השרת. יש שני בעיות הקשורות ל- SSL / TLS שעשויות להאט את מהירות טעינת הדף שלך. ראשית, כדי להתחיל לתקשר עם האתר שלך בפעם הראשונה, על הדפדפן של המשתמש לעבור באמצעות לחיצת היד, החוזרת לאתר של רשות האישורים כדי לאמת את תעודה. אם שרת האינטרנט של CA ניצב איטי, יהיה עיכוב בטעינת העמוד שלך. זה בעיקר בשליטתך. שנית, HTTPS משתמש בהצפנה הדורשת כוח עיבוד רב יותר. ניתן לטפל בכך על ידי אופטימיזציה של התוכן שלך לרוחב הפס ושדרוג החומרה בשרת שלך. CloudFare יש פרסום טוב בבלוג כיצד ומדוע SSL עשוי להאט את האתר שלך.
• HTTPS עשוי להשפיע על מאמצי SEO כאשר אתה מעבר מ- HTTP ל- HTTPS; אתה עובר לאתר חדש. לדוגמה, https://www.groovypost.com לא יהיה אותו דבר כמו http://www.groovypost.com. חשוב לוודא כיניתם את הקישורים הישנים שלכם וכתבתם את הכללים הנכונים תחת מכסה המנוע של השרת שלכם, כדי לא לאבד כל מיץ קישורים יקר.
• תוכן מעורב יכול לזרוק דגל צהוב. עבור דפדפנים מסוימים, אם יש לך את החלק העיקרי של דף אינטרנט טעון מ- HTTPS, אך תמונות ואלמנטים אחרים (כגון גיליונות סגנונות או סקריפטים) שנטענו מכתובת אתר HTTP, ואז עשוי להופיע קופץ שמזהיר כי הדף כולל לא מאובטח תוכן. כמובן שיש כמה תוכן מאובטח עדיף על כך שאין לו אף אחד, למרות שהאפשרות האחרונה אינה מביאה לפופ-אפ. עם זאת, אולי כדאי להבטיח שלא יהיה לך "תוכן מעורב" בדפים שלך.
• לפעמים יותר קל להשיג מעבד תשלום מצד שלישי. אין בושה לאפשר ל- Google Checkout, Paypal או Checkout של אמזון לטפל בתשלומים שלך. אם נראה כי כל האמור לעיל יתר על המידה, אתה יכול לאפשר ללקוחות שלך להחליף מידע על התשלום באתר המאובטח של Paypal או באתר המאובטח של Google ולחסוך לעצמך את הבעיה.

יש לך שאלות או הערות אחרות בנוגע לתעודות HTTPS ו- SSL / TLS? תן לי לשמוע את זה בתגובות.