Panduan Pembeli Sijil SSL / TLS

Tidak ada yang suka diberitahu bahawa mereka HARUS melakukan sesuatu. Sudah menjadi fitrah manusia untuk memberontak, tetapi kadang-kadang yang terbaik yang boleh anda lakukan ialah menggigit bibir dan terus menggunakannya. Begitulah halnya dengan mandat HTTPS yang diturunkan oleh Google dan musim panas lalu pembuat penyemak imbas lain.


Pada masa kini, mana-mana laman web yang masih dilayan melalui HTTP dilabel sebagai “Tidak Selamat”, julukan yang mengancam lalu lintas dan penukaran. Ini bermaksud bahawa setiap laman web kini memerlukan sijil SSL / TLS, yang memudahkan penghijrahan ke HTTPS dan membantu menjamin komunikasi antara laman web anda dan pelawatnya.

Mulai bulan Julai 2018, Chrome menandakan semua laman HTTP sebagai “tidak selamat” (ketahui lebih lanjut).

Panduan ini akan membahas perkara yang perlu anda pertimbangkan semasa membeli sijil SSL / TLS. Kita akan mulakan dengan gambaran ringkas mengenai teknologi sebelum menyelidiki perincian yang perlu anda selesaikan semasa memutuskan sijil yang tepat untuk anda dan laman web anda.

SSL / TLS 101: Gambaran Keseluruhan

Untuk berkomunikasi dengan selamat di internet, pelayan yang menghoskan laman web dan pelanggan yang cuba berhubung dengannya perlu menggunakan penyulitan. Penyulitan adalah proses matematik yang menjadikan data tidak dapat dibaca oleh sesiapa sahaja kecuali pihak yang diberi kuasa. Ia dilakukan dengan menggunakan kunci penyulitan, dan agar pelanggan dan pelayan dapat tersambung dengan selamat, keduanya perlu memiliki salinan kunci yang sama.

Itu menimbulkan masalah, bagaimana anda menukar kunci tersebut dengan selamat? Sekiranya penyerang dapat mengompromikan kunci enkripsi, ia menjadikan enkripsi itu tidak berguna kerana penyerang masih dapat melihat semua data ditukar seolah-olah dalam teks biasa.

SSL / TLS adalah penyelesaian untuk masalah pertukaran kunci.

SSL / TLS mencapai dua perkara:

  1. Ini mengesahkan pelayan supaya pelanggan tahu entiti apa yang mereka sambungkan
  2. Ini memudahkan pertukaran kunci sesi yang dapat digunakan untuk berkomunikasi dengan selamat

Itu mungkin kelihatan sedikit abstrak jadi mari kita bergerak.

Bila-bila masa pelanggan cuba berhubung dengan laman web melalui HTTPS – yang merupakan versi selamat dari Hypertext Transfer Protocol (HTTP) yang telah digunakan internet selama beberapa dekad – satu siri interaksi berlaku di sebalik tabir antara pelanggan dan pelayan yang menghoskan laman web tersebut.

Terdapat dua jenis kunci penyulitan yang terlibat dalam penyulitan SSL / TLS. Terdapat kunci sesi simetri yang baru sahaja kami sebutkan. Mereka boleh menyulitkan dan menyahsulit dan digunakan untuk berkomunikasi semasa sambungan itu sendiri. Kekunci lain adalah pasangan kunci awam / peribadi. Bentuk penyulitan ini disebut kriptografi kunci awam. Kunci awam boleh menyulitkan, kunci peribadi menyahsulit.

Pada awalnya, klien dan pelayan akan memilih suite cipher yang saling disokong. Suatu cipher adalah sekumpulan algoritma yang mengatur penyulitan yang akan digunakan semasa sambungan.

Setelah satu set cipher dipersetujui, pelayan akan menghantar sijil SSL dan kunci awamnya. Melalui beberapa siri pemeriksaan, pelanggan mengesahkan pelayan, mengesahkan identitinya dan bahawa ia adalah pemilik sah dari kunci Awam yang berkaitan.

Setelah pengesahan ini, pelanggan menghasilkan kunci sesi (atau rahsia yang dapat digunakan untuk memperolehnya) dan menggunakan kunci awam pelayan untuk menyulitkannya sebelum menghantarnya ke pelayan. Dengan menggunakan kunci Peribadinya, pelayan menyahsulitkan kunci sesi dan sambungan yang disulitkan bermula (ini adalah bentuk pertukaran kunci yang paling biasa, seperti yang dilakukan dengan RSA – pertukaran kunci Diffie-Hellman sedikit berbeza).

Sekiranya masih kelihatan agak rumit, mari kita mempermudahnya.

  • Untuk berkomunikasi dengan selamat kedua-dua pihak perlu berkongsi kunci sesi simetrik
  • SSL / TLS memudahkan pertukaran kunci sesi tersebut dengan kriptografi kunci awam
  • Setelah mengesahkan identiti pelayan, kunci atau rahsia sesi disulitkan dengan kunci awam
  • Pelayan menggunakan kunci peribadinya untuk menyahsulitkan kunci sesi dan memulakan komunikasi yang disulitkan

Sekarang mari kita bahas apa yang anda, sebagai pemilik laman web, perlu pertimbangkan ketika membeli atau memperoleh sijil SSL / TLS.

Apa yang perlu dipertimbangkan semasa membeli sijil SSL / TLS?

Apabila anda membeli sijil SSL / TLS, anda membuat keputusan mengenai dua soalan utama:

  1. Permukaan apa yang perlu anda tutupi?
  2. Berapa banyak identiti yang ingin anda tegaskan?

Apabila anda dapat menjawab soalan-soalan ini, memilih sijil menjadi jenama dan kos, anda akan mengetahui jenis produk yang anda perlukan.

Sekarang, sebelum kita melangkah lebih jauh mari kita tentukan satu fakta yang sangat penting: tidak kira bagaimana anda menjawab kedua-dua soalan itu, semua sijil SSL / TLS menawarkan kekuatan penyulitan yang sama.

Kekuatan enkripsi ditentukan oleh gabungan suite cipher yang disokong dan kekuatan pengkomputeran pelanggan dan pelayan di kedua-dua hujung sambungan. Sijil SSL / TLS termahal di pasaran dan sijil percuma akan memudahkan tahap enkripsi standard industri yang sama.

Apa yang berbeza dengan sijil adalah tahap identiti dan fungsi mereka.

Mari mulakan dengan permukaan apa yang perlu anda tutupi.

1- Fungsi Sijil SSL / TLS

Laman web moden telah berkembang jauh melebihi yang mereka ada di awal internet ketika anda masih meletakkan kaunter di bahagian bawah halaman untuk mengesan lalu lintas. Pada masa ini organisasi mempunyai infrastruktur web yang rumit, baik secara dalaman dan luaran. Kami bercakap mengenai pelbagai domain, sub-domain, pelayan e-mel, dll.

Nasib baik, sijil SSL / TLS telah berkembang bersama dengan laman web moden untuk membantu mendapatkannya dengan lebih baik. Terdapat jenis sijil untuk setiap kes penggunaan, tetapi anda harus mengetahui bagaimana kes penggunaan khusus anda.

Mari lihat empat jenis sijil SSL / TLS yang berbeza dan fungsinya:

  • Domain Tunggal – Seperti namanya, sijil SSL / TLS ini adalah untuk satu domain (versi WWW dan bukan WWW).
  • Pelbagai Domain – Jenis sijil SSL / TLS ini adalah untuk organisasi yang mempunyai banyak laman web, mereka dapat memperoleh sehingga 250 domain yang berbeza secara serentak.
  • Kad Liar – Keselamatan untuk satu domain, ditambah semua sub-domain tahap pertama yang disertainya – seberapa banyak yang anda ada (tidak terhad).
  • Kad Liar Berbilang Domain – Sijil SSL / TLS dengan fungsi penuh, dapat mengenkripsi sehingga 250 domain yang berbeza dan semua sub-domain yang disertakan secara serentak.

Perkataan ringkas mengenai sijil Wildcard. Wildcard sangat serba boleh, mereka dapat mengenkripsi sub-domain tanpa had, dan bahkan mampu mengamankan sub-domain baru yang ditambahkan setelah dikeluarkan. Semasa membuat Wildcard, tanda bintang (kadang-kadang disebut sebagai karakter wildcard) digunakan pada tahap sub-domain yang ingin anda enkripsi. Ini menunjukkan bahawa mana-mana sub-domain pada tahap URL domain yang disahkan itu secara sah dikaitkan dengan pasangan kunci awam / peribadi sijil.

2- Tahap Pengesahan Sijil SSL / TLS

Setelah anda mengetahui permukaan apa yang perlu anda tutupi, inilah masanya untuk menentukan berapa banyak identiti yang ingin anda tegaskan. Terdapat tiga tahap pengesahan, ini merujuk kepada jumlah pemeriksaan Pihak Berkuasa Sijil yang mengeluarkan sijil SSL / TLS anda yang akan meletakkan anda dan laman web anda melalui.

Tiga tahap pengesahan: Pengesahan Domain, Pengesahan Organisasi, dan Pengesahan Lanjutan.

Tahap pengesahan paling asas disebut Pengesahan Domain. Hanya memerlukan beberapa minit untuk menyelesaikan pengesahan ini dan mengeluarkan sijil, tetapi ia memberikan maklumat identiti paling sedikit – mengesahkan hanya pelayan. Sijil DV SSL / TLS adalah yang paling biasa digunakan, tetapi kerana kekurangan identiti, laman web yang menggunakannya menerima rawatan penyemak imbas neutral.

Pengesahan Organisasi memberikan lebih banyak maklumat organisasi, yang memberikan idea yang lebih baik kepada pengunjung laman web anda mengenai siapa mereka berurusan, dengan syarat mereka tahu di mana mereka harus mencari. Sijil OV SSL / TLS memerlukan pemeriksaan yang sedikit, namun mereka tidak memberikan identiti yang cukup untuk mengelakkan perlakuan penyemak imbas yang neutral. Sijil SSL OV juga dapat melindungi alamat IP khusus. Mereka biasanya digunakan di lingkungan Perusahaan dan di jaringan dalaman.

Identiti paling banyak yang boleh ditegaskan oleh sijil SSL / TLS terdapat di Pengesahan Lanjutan tahap. Sijil EV SSL / TLS memerlukan pemeriksaan mendalam oleh CA, tetapi mereka menegaskan maklumat pengenalan yang cukup bahawa penyemak imbas web akan memberikan laman web yang memperlakukan mereka unik – memaparkan nama Organisasi mereka yang disahkan di bar alamat penyemak imbas.

Satu perkara cepat untuk dipertimbangkan berkaitan dengan tahap pengesahan dan fungsi adalah bahawa sijil EV SSL / TLS tidak pernah dijual dengan fungsi Wildcard. Ini disebabkan oleh sifat sijil Wildcard terbuka, yang telah kita bincangkan di bahagian terakhir.

Memilih Sijil dan Harga Perakuan

Sekarang setelah anda mengetahui APA yang anda perlukan, mari kita bincangkan dari mana memperolehnya. Bukan hanya sesiapa sahaja yang dapat mengeluarkan sijil SSL / TLS yang sah, dan dengan sah, kami bermaksud dipercayai. Anda harus melalui pihak berkuasa sijil yang dipercayai atau CA. CA terikat dengan keperluan industri yang ketat dan tertakluk kepada audit dan pemeriksaan berkala. Sebabnya ini berpunca dari cara Prasarana Kunci Awam berfungsi. PKI adalah model kepercayaan yang menggunakan SSL / TLS, sebab itulah penyemak imbas pengguna dapat mengesahkan kesahihan dan mempercayai sijil SSL / TLS yang diberikan.

Walaupun menyelidiki PKI dan akarnya tidak sesuai dengan artikel ini, penting untuk mengetahui bahawa hanya CA yang dipercayai dapat mengeluarkan sijil yang dipercayai. Inilah sebabnya mengapa anda tidak boleh mengeluarkannya sendiri dan menandatanganinya sendiri. Penyemak imbas tidak mempunyai cara untuk mempercayainya tanpa menyesuaikan tetapannya secara manual.

Tetapi CA apa yang harus anda pilih?

Itu bergantung pada apa yang anda cari.

Untuk banyak laman web mudah yang tidak perlu menegaskan banyak identiti, sijil DV SSL / TLS percuma dari Let’s Encrypt (atau CA percuma lain) adalah pilihan yang baik. Ia tidak memerlukan apa-apa dan mencukupi untuk keperluan anda.

Apa-apa sahaja di sebelah utara, atau jika anda tidak begitu mahir secara teknikal, anda harus pergi dengan Lembaga Sijil komersial seperti DigiCert, Sectigo, Entrust Datacard, dll..

Tetapi inilah masalahnya: anda tidak mendapat harga pembelian terbaik terus dari CA.

Anda mendapat kombinasi harga dan pilihan terbaik dengan membeli melalui Perkhidmatan SSL yang menawarkan sijil SSL / TLS dari pelbagai CA. Sebabnya mudah, perkhidmatan SSL ini membeli sijil dari CA secara pukal dengan harga yang jauh lebih rendah daripada yang diperoleh pelanggan runcit. Itu membolehkan mereka menjual sijil dengan harga yang sangat diskaun, memberikan penjimatan kepada pengguna.

Dalam beberapa kes, anda dapat menjimatkan sebanyak 85% daripada harga runcit yang dicadangkan oleh pengeluar dengan melalui perkhidmatan SSL dan bukannya membeli secara langsung.

Perlu diingat, perkhidmatan SSL khusus dikhususkan dalam SSL / TLS, mereka akan menawarkan sokongan pelanggan yang lebih baik, mereka dapat membantu anda memasangnya dan mereka tahu bagaimana mengoptimumkan pelaksanaan anda untuk memberikan keselamatan terbaik kepada laman web anda.

Bezakannya dengan CA percuma (dan bahkan beberapa komersial) di mana anda harus bekerja melalui sistem tiket atau meneliti posting forum lama untuk sokongan orang ramai dan nilainya jelas.

Memang, bagi sesetengah pemilik laman web yang mahir teknologi, masalah sokongan bukanlah masalah. Dan pastinya tidak ada yang salah dengan menempuh laluan percuma jika anda tahu bagaimana menyokong semuanya sendiri.

Tetapi untuk pemilik laman web lain, anda membayar lebih sedikit untuk sijil itu sendiri dan lebih banyak lagi untuk alat sokongan yang dibina di sekitarnya. Anda juga tidak mempunyai akses ke tahap pengesahan yang lebih tinggi (OV / EV) atau fungsi lanjutan (Multi-Domain, Wildcard) dengan SSL / TLS percuma. Anda mesti mendapatkannya dari CA komersial atau perkhidmatan SSL.

Jadi, berbayar atau percuma? Ini menunjukkan sejauh mana mahirnya teknikal anda atau organisasi anda, di samping sama ada anda mahukan fungsi dan pengesahan di luar satu domain DV.

Soalan Lazim Panduan Pembeli SSL / TLS

S1. Adakah Pengesahan Lanjutan berbaloi?

Bagi banyak laman web, sijil EV SSL / TLS lebih merupakan pelaburan daripada perbelanjaan. Tidak ada cara lain untuk menegaskan identiti maksimum dan mendapatkan rawatan penyemak imbas pilihan laman web anda. Apabila pengunjung tiba di laman web dan melihat nama organisasi yang tertera di bar alamat, ia mempunyai kesan psikologi yang mendalam. Walaupun kesannya sukar dihitung di atas kertas, tinjauan secara konsisten mendapati bahawa orang merasa lebih senang mengunjungi laman web dengan EV daripada melawat laman web tanpa itu.

Di internet, setiap perkara penting, jadi jika anda adalah organisasi yang ingin menegaskan identiti di web, sijil EV SSL / TLS adalah kaedah terbaik yang tersedia untuk melakukannya.

S2. Anda terus menulis SSL / TLS, apa maksudnya?

SSL bermaksud Secure Sockets Layer, dan itu adalah versi asal dari protokol penyulitan yang kami gunakan untuk mengamankan sambungan kami hingga ke hari ini. Kami sampai ke SSL 3.0 sebelum kerentanan memaksa industri kembali ke papan gambar, di mana Transport Layer Security (TLS) dirancang untuk menjadi pengganti SSL.

Hari ini kita berada di TLS 1.3, SSL 3.0 hampir tidak digunakan lagi dan pada tahun 2020 TLS 1.0 dan 1.1 juga akan ditamatkan. Walaupun internet hari ini bergantung sepenuhnya pada protokol TLS, ia masih dikenali sebagai SSL.

S3. Apakah versi protokol SSL / TLS?

Ini berkaitan dengan soalan terakhir kami, SSL dan TLS adalah dua protokol yang memudahkan sambungan HTTPS, dan seperti teknologi lain, protokol tersebut perlu dikemas kini secara berkala kerana kelemahan dan serangan baru ditemui. Apabila anda melihat SSL 3.0 atau TLS 1.2, itu merujuk kepada versi tertentu dari protokol SSL / TLS.

Pada masa ini, amalan terbaik adalah menyokong TLS 1.2 dan TLS 1.3, kerana semua versi sebelumnya didapati rentan terhadap beberapa eksploitasi atau yang lain.

S4. Apa yang perlu saya ketahui mengenai Cipher Suites?

Suatu cipher adalah kumpulan algoritma yang akan digunakan semasa proses penyulitan SSL / TLS. Mereka biasanya merangkumi semacam algoritma kunci awam, algoritma pengesahan mesej dan algoritma penyulitan simetrik (blok / aliran).

Sebelum anda dapat menentukan apa yang perlu disokong oleh suite Cipher, anda perlu mengetahui kemampuan pelayan anda, yang mungkin bermaksud mengemas kini perpustakaan OpenSSL (atau perisian SSL alternatif) anda ke lelaran paling moden. Satu kata nasihat, menggunakan Cryptography Curve Elliptic lebih disukai daripada RSA.

S5. Adakah jaminan penting?

Senang mendapat jaminan besar dengan produk apa pun, dan industri SSL / TLS memberikan beberapa jaminan yang paling murah hati di luar sana. Mereka membayar sekiranya CA yang mengeluarkan sijil anda menghadapi masalah yang membebankan wang organisasi anda. Diakui, ini bukan semua yang biasa, yang merupakan semacam sokongan untuk sijil SSL / TLS secara umum, tetapi juga sesuatu yang tidak boleh kita ingatkan.

Patrick Nohe
Mengenai pengarang: Patrick Nohe

Patrick Nohe memulakan kariernya sebagai wartawan rentak dan kolumnis untuk Miami Herald. Dia juga berfungsi sebagai Pengurus Kandungan untuk The SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me