Посібник покупця сертифікатів SSL / TLS

Нікому не подобається, щоб їм сказали, що вони ХОЧАТИ щось зробити. Повстати проти цього просто людська природа, але іноді найкраще, що ти можеш зробити, – це вкусити губу і піти з нею. Так відбувається з дорученням HTTPS, яке було передано Google та іншим виробником браузера минулого літа.


Сьогодні будь-який веб-сайт, який все ще обслуговується через HTTP, позначений епітетом “Не захищено”, що загрожує трафіком та конверсіями. Це означає, що зараз кожен веб-сайт потребує сертифікату SSL / TLS, який полегшує перехід на HTTPS та допомагає забезпечити зв’язок між вашим веб-сайтом та його відвідувачами..

Починаючи з липня 2018 року, Chrome позначав усі HTTP-сайти як “незахищені” (детальніше).

У цьому посібнику буде описано те, що потрібно враховувати при придбанні сертифікату SSL / TLS. Почнемо з короткого огляду технології, перш ніж заглиблюватися в особливості, з якими вам доведеться розібратися, вирішуючи правильний сертифікат для вас та вашого веб-сайту.

SSL / TLS 101: огляд

Для безпечного спілкування в Інтернеті потрібно використовувати сервер, на якому розміщується веб-сайт, і клієнт, який намагається з ним зв’язатися. Шифрування – це математичний процес, який робить дані нечитатими ні для кого, крім уповноваженої сторони. Це виконується за допомогою ключів шифрування, і для того, щоб клієнт і сервер надійно з’єдналися, обом потрібно мати копію одного ключа.

Однак це представляє проблему: як ви безпечно обмінюєтесь цими ключами? Якщо зловмисник здатний скомпрометувати ключ шифрування, він робить це шифрування марним, оскільки зловмисник все ще може бачити всі дані, що обмінюються, як ніби вони були в простому тексті.

SSL / TLS – це рішення проблеми обміну ключами.

SSL / TLS виконує дві речі:

  1. Він автентифікує сервер, щоб клієнти знали, до якої особи вони підключаються
  2. Це полегшує обмін ключем сеансу, за допомогою якого можна безпечно спілкуватися

Це може здатися трохи абстрактним, тому давайте приведемо його в рух.

Кожен раз, коли клієнт намагається зв’язатися з веб-сайтом за допомогою HTTPS – це захищена версія протоколу передачі гіпертексту (HTTP), який Інтернет використовує десятиліттями – ряд взаємодій відбувається за кадром між вказаним клієнтом та сервером, що розміщує сайт.

У шифруванні SSL / TLS є два типи ключів шифрування. Є симетричні ключі сеансу, про які ми тільки що згадували. Вони можуть як шифрувати, так і дешифрувати і використовуються для спілкування під час самого з’єднання. Інші ключі – пара відкритих / приватних ключів. Ця форма шифрування називається криптографією з відкритим ключем. Відкритий ключ може шифруватися, приватний ключ – розшифровувати.

На початку клієнт і сервер виберуть пакет взаємно підтримуваних шифрів. Набір шифрів – це набір алгоритмів, який керує шифруванням, який буде використовуватися під час з’єднання.

Після узгодження набору шифрів сервер надсилає свій сертифікат SSL та відкритий ключ. Через серію перевірок клієнт аутентифікує сервер, підтверджуючи його особистість і що він є законним власником пов’язаного відкритого ключа.

Після цієї перевірки клієнт генерує сеансовий ключ (або секрет, який може бути використаний для його отримання) та використовує відкритий ключ сервера для шифрування, перш ніж надсилати його на сервер. Використовуючи свій приватний ключ, сервер розшифровує сеансовий ключ і розпочинається зашифроване з’єднання (це найпоширеніша форма обміну ключами, як це виконується з RSA – обмін ключами Diffie-Hellman незначно відрізняється).

Якщо це все ще здається трохи складним, давайте спростимо його ще більше.

  • Для безпечного спілкування обом сторонам необхідно ділитися симетричними ключами сеансу
  • SSL / TLS полегшує обмін цими сеансовими ключами з криптографією відкритого ключа
  • Після перевірки ідентичності сервера ключ сесії або секрет шифруються відкритим ключем
  • Сервер використовує свій приватний ключ для розшифрування сеансового ключа та початку шифрованого зв’язку

Тепер давайте розберемося з тим, що ви, як власник веб-сайту, повинні враховувати, купуючи або придбаючи сертифікат SSL / TLS..

Що слід враховувати при придбанні сертифікату SSL / TLS?

Купуючи сертифікат SSL / TLS, ви приймаєте рішення з двох основних питань:

  1. Яку поверхню потрібно покрити?
  2. Скільки особистості ви хочете стверджувати?

Коли ви зможете відповісти на ці запитання, вибір сертифікату стає питанням бренду та вартості, ви вже будете знати тип продукту, який вам потрібен.

Тепер, перш ніж ми підемо далі, встановимо один дуже важливий факт: незалежно від того, як ви відповідаєте на ці два питання, всі сертифікати SSL / TLS мають однакову силу шифрування..

Сила шифрування визначається комбінацією підтримуваних шифрових пакетів та обчислювальної потужності клієнта та сервера на будь-якому кінці з’єднання. Найдорожчий сертифікат SSL / TLS на ринку та абсолютно безкоштовний сертифікат сприятимуть однаковому рівню стандартного шифрування..

Залежно від сертифікатів залежить рівень особи та їх функціональність.

Почнемо з того, які поверхні потрібно покрити.

1- Функціональність SSL / TLS

Сучасні веб-сайти розвинулися далеко за рамки того, що вони були в перші дні Інтернету, коли ви все ще ставите лічильники внизу сторінки для відстеження трафіку. На сьогодні організації мають складну веб-інфраструктуру як внутрішньо, так і зовнішньо. Ми говоримо про декілька доменів, субдоменів, поштових серверів тощо.

На щастя, сертифікати SSL / TLS еволюціонували поряд із сучасними веб-сайтами, щоб покращити їх безпеку. Існує тип сертифіката для кожного випадку використання, але вам належить дізнатися, яким буде ваш конкретний випадок використання..

Давайте розглянемо чотири різні типи сертифікатів SSL / TLS:

  • Єдиний домен – Як випливає з назви, цей сертифікат SSL / TLS призначений для одного домену (як для WWW, так і для не WWW).
  • Багатодоменний – Цей тип сертифіката SSL / TLS призначений для організацій з кількома веб-сайтами, вони можуть захищати до 250 різних доменів одночасно.
  • Уайлдкард – Безпека для одного домену, а також усіх супровідних піддоменів першого рівня – стільки, скільки у вас є (необмежено).
  • Багатодоменні підстановки – Сертифікат SSL / TLS з повною функціональністю може одночасно шифрувати до 250 різних доменів і всіх супутніх піддоменів.

Швидке слово про сертифікати Wildcard. Підстановки є надзвичайно універсальними, вони можуть зашифрувати необмежену кількість субдоменів і навіть здатні забезпечити нові субдомени, які додаються після видачі. Під час створення Wildcard використовується зірочка (іноді її називають символом підстановки) на рівні субдомену, який потрібно шифрувати. Це означає, що будь-який субдомен на цьому рівні URL-адреси перевіреного домену дійсно пов’язаний з парі відкритого / приватного ключа сертифікату.

2- Рівень перевірки сертифікату SSL / TLS

Після того, як ви зрозумієте, якими поверхнями потрібно покрити, настав час визначити, яку саме особу ви хочете стверджувати. Існує три рівні перевірки, які стосуються кількості перевірки Сертифікаційного органу, який видає ваш сертифікат SSL / TLS, поставить вас та ваш веб-сайт через.

Три рівні перевірки: перевірка домену, перевірка організації та розширена перевірка.

Називається найосновніший рівень валідації Перевірка домену. Щоб пройти цю перевірку та видати сертифікат, потрібно лише кілька хвилин, але вона надає найменшу інформацію про ідентифікацію – автентифікацію лише сервера. DV SSL / TLS сертифікати найчастіше використовуються, але через відсутність ідентичності веб-сайти, які використовують їх, отримують нейтральне лікування браузера.

Перевірка організації надає більше організаційної інформації, що дає відвідувачам вашого сайту краще уявлення, з ким вони мають справу, якщо вони знають, де шукати. Сертифікати OV SSL / TLS вимагають помірну кількість перевірки, однак вони не підтверджують достатню ідентичність, щоб уникнути нейтрального лікування браузера. Сертифікати OV SSL також можуть захищати виділені IP-адреси. Вони зазвичай використовуються в середовищі Enterprise та у внутрішніх мережах.

Найбільше посвідчення, на яке може стверджуватись сертифікат SSL / TLS, є Розширена перевірка рівень. Сертифікати EV SSL / TLS вимагають глибокої перевірки з боку КА, але вони стверджують достатньо ідентифікуючої інформації про те, що веб-браузери надаватимуть веб-сайтам, які розгортають їх, унікальне лікування – відображаючи своє підтверджене ім’я організації в адресному рядку браузера..

Що стосується рівнів перевірки та функціональності, це те, що сертифікати EV SSL / TLS ніколи не продаються з функцією Wildcard. Це пояснюється відкритим характером сертифікатів Wildcard, про які ми говорили в останньому розділі.

Вибір сертифікатів та ціноутворення

Тепер, коли ви знаєте, що вам потрібно, поговоримо про те, звідки його придбати. Не просто кожен може видавати дійсні сертифікати SSL / TLS, а під дійсними ми маємо на увазі довірені. Вам потрібно пройти через довірений сертифікатний орган або CA. КЗ пов’язані з суворими галузевими вимогами та підлягають регулярним аудитам та ретельному контролю. Причина цього випливає з того, як працює інфраструктура відкритих ключів. PKI – це модель довіри, яка знижує SSL / TLS, тому браузер користувача може перевірити справжність та довіряти даному сертифікату SSL / TLS..

Хоча заглиблення в PKI та коріння не входить в рамки цієї статті, важливо знати, що лише довірені ЦО можуть видавати довірені сертифікати. Ось чому ви не можете просто оформити своє та підписати його. Веб-браузери не могли б довіряти цьому, не змінюючи їх налаштування вручну.

Але який CA вам слід вибрати?

Це залежить від того, що ви шукаєте.

Для багатьох простих веб-сайтів, які не потребують великої кількості ідентичності, безкоштовний сертифікат DV SSL / TLS від Let’s Encrypt (або інших безкоштовних ЦА) – хороший вибір. Це нічого не коштує, і це достатньо для того, що вам потрібно.

Все, що на північ від цього, або якщо ви не особливо технічно підковані, вам слід скористатись комерційним органом сертифікації, наприклад DigiCert, Sectigo, Datarust Datacard тощо..

Але ось що: ви не отримуєте найкращих цін, купуючи безпосередньо у ЦА.

Ви отримуєте найкращу комбінацію цін та вибору, купуючи через службу SSL, що пропонує сертифікати SSL / TLS від декількох ЦТ. Причина цього проста: ці служби SSL купують сертифікати у ЦП оптом за значно нижчими цінами, ніж отримують роздрібні клієнти. Це дозволяє їм продавати сертифікати за глибоко зниженими цінами, передаючи заощадження споживачам.

У деяких випадках ви можете заощадити аж 85% від запропонованої виробником роздрібної ціни, скориставшись послугою SSL, а не купуючи пряму.

Майте на увазі, спеціалізовані служби SSL SPECIALIZE в SSL / TLS, вони пропонують кращу підтримку клієнтів, вони можуть допомогти вам встановити її, і вони знають, як оптимізувати ваші реалізації, щоб забезпечити ваш веб-сайт найкращою можливою безпекою.

На противагу цьому, з безкоштовними ЦА (і навіть деякими комерційними), де вам доведеться працювати через систему квитків або просіювати старі пости форуму для підтримки масової підтримки, і цінність зрозуміла.

Зрозуміло, що для деяких власників веб-сайтів, які користуються технологією, проблема підтримки не є проблемою. І, звичайно, нічого поганого в тому, щоб пройти безкоштовний маршрут, якщо ви вмієте підтримувати все самостійно, немає нічого поганого.

Але для інших власників веб-сайтів ви платите менше за сам сертифікат і більше за підтримку, побудовану навколо нього. Ви також не маєте доступу до більш високих рівнів перевірки (OV / EV) або розширеної функціональності (багатодоменні, wildcards) з ​​безкоштовним SSL / TLS. Ви повинні отримати їх у комерційних ЦА або служб SSL.

Отже, платний чи безкоштовний? Це зводиться до того, наскільки ви технічно кваліфіковані ви або ваша організація, на додаток до того, чи хочете ви функціонувати та перевіряти цінність, ніж один домен DV.

Поширені запитання про посібник покупця SSL / TLS

Q1. Чи варто розширеної валідації?

Для багатьох веб-сайтів сертифікат EV SSL / TLS – це більше інвестиція, ніж витрата. Немає іншого способу стверджувати максимум ідентичності та отримувати на веб-сайті переважне звернення до браузера. Коли відвідувачі заходять на веб-сайт і бачать ім’я організації, відображене в адресному рядку, це має глибокий психологічний ефект. Хоча цей ефект важко оцінити на папері, огляди постійно виявляють, що люди почувають себе краще відвідувати сайти з EV, ніж відвідувати сайти без нього.

В Інтернеті щонайменше враховується, тому якщо ви є організацією, яка хоче затвердити ідентифікацію в Інтернеті, EV SSL / TLS сертифікати – найкращий доступний метод для цього..

Q2. Ви продовжуєте писати SSL / TLS, що це означає?

SSL розшифровується як шар захищених сокетів, і це була оригінальна версія протоколу шифрування, яку ми використовуємо для захисту наших з’єднань до сьогодні. Ми отримали весь шлях до SSL 3.0, перш ніж вразливості змусили галузь повернутися до чертежної дошки, де безпека транспортного рівня (TLS) була розроблена як наступник SSL.

Сьогодні ми перебуваємо на TLS 1.3, SSL 3.0 майже повністю застарів, а до 2020 року TLS 1.0 та 1.1 також буде застарілим. Хоча сьогоднішній Інтернет майже повністю покладається на протокол TLS, він все ще розмовно відомий як SSL.

Q3. Що таке версії протоколів SSL / TLS?

Це стосується нашого останнього запитання: SSL та TLS – це два протоколи, що полегшують HTTPS-з’єднання, і, як і будь-яка інша технологія, ці протоколи потрібно періодично оновлювати, коли нові вразливості та атаки виявляються. Коли ви бачите SSL 3.0 або TLS 1.2, це стосується конкретної версії протоколів SSL / TLS.

В даний час найкращою практикою є підтримка TLS 1.2 та TLS 1.3, оскільки всі попередні версії були визнані вразливими до деякого або іншого використання..

Q4. Що я повинен знати про Cipher Suites?

Набір шифрів – це сукупність алгоритмів, які будуть використовуватися під час процесу шифрування SSL / TLS. Вони, як правило, включають якийсь алгоритм відкритого ключа, алгоритм аутентифікації повідомлення та симетричний алгоритм шифрування (блок / потік).

Перш ніж ви зможете визначити, які програми Cipher підтримують, вам потрібно знати, на що здатні ваші сервери, що може означати оновлення вашої бібліотеки OpenSSL (або альтернативного програмного забезпечення SSL) до її найсучаснішої ітерації. Порада з використанням криптографії Еліптична крива є кращою для RSA.

Q5. Чи важливі гарантії?

Приємно мати велику гарантію на будь-який продукт, а індустрія SSL / TLS надає одні з найбільш щедрих гарантій. Вони виплачують у тому випадку, якщо адміністративний центр, який видав ваш сертифікат, коли-небудь стикається з проблемою, яка коштує грошей вашої організації. Справді, це не все те поширене, яке є своєрідним схваленням для сертифікатів SSL / TLS загалом, але також і те, на що ми не повинні відзначати..

Патрік Ное
Про автора: Патрік Ное

Патрік Ное розпочав свою кар’єру як репортер та оглядач “Miami Herald”. Він також працює менеджером контенту для магазину SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map