HTTPS- och SSL-certifikat Gör din webbplats säker (och varför du borde)
Även om inte alla av dem förstår hur det fungerar, signalerar det lilla hänglåset i adressfältet till webbanvändare att de har en betrodd anslutning till en legitim webbplats. Om besökare inte ser det i adressfältet när de drar upp din webbplats, kommer du inte och borde inte få sin verksamhet.
För att få det lilla adressfältet hänglås för din webbplats behöver du ett SSL-certifikat. Hur får man en? Läs vidare för att ta reda på det.
Artikel översikt:
- Vad är SSL / TLS?
- Så här använder du HTTPS?
- Vad är ett SSL-certifikat och hur får jag en?
- SSL-certifikat Shopping Guide
- Certifikatmyndighet
- Domain Validation vs Extended Validation
- Delad SSL vs Privat SSL
- Lita på sälar
- Wildcard SSL-certifikat
- garantier
- Gratis SSL-certifikat och självsignerade SSL-certifikat
- Installera ett SSL-certifikat
- HTTPS Fördelar och nackdelar
Vad är SSL / TLS?
På webben överförs data med hjälp av Hypertext Transfer Protocol. Därför har alla webbadresser "http: //" eller "https://" framför dem.
Vad är skillnaden mellan http och https? Den extra lilla S har stora konsekvenser: Säkerhet.
Låt mig förklara.
HTTP är det "språk" som datorn och servern använder för att prata med varandra. Detta språk är allmänt förstått, vilket är bekvämt, men det har också dess nackdelar. När data skickas mellan dig och en server via Internet, kommer det att göra några stopp under vägen innan du når sitt slutmål. Detta innebär tre stora risker:
- Att någon kanske tjuvlyssna på din konversation (typ av som en digital wiretap).
- Att någon kanske imitera en (eller båda) av parterna i båda ändarna.
- Att någon kanske manipulera med meddelandena som överförs.
Hackers och jerks använder en kombination av ovanstående för ett antal bedrägerier och heists, inklusive phishing-ploys, man-in-the-middle-attacker och bra gammaldags reklam. Ondsatta attacker kan vara lika enkla som att sniffa ut Facebook-uppgifter genom att fånga upp krypterade cookies (avlyssning), eller de kan vara mer sofistikerade. Till exempel kan du tro att du berättade för din bank: "Var god överför 100 $ till min ISP", men någon i mitten kan ändra meddelandet för att läsa: "Var god överför 100 dollar alla mina pengar till min ISP-Peggy i Sibirien" (data manipulering och imitation).
Så, det är problemen med HTTP. För att lösa dessa problem kan HTTP lagras med ett säkerhetsprotokoll, vilket resulterar i HTTP Secure (HTTPS). Oftast tillhandahålls S i HTTPS med Secure Sockets Layer (SSL) protokollet eller det nya protokollet Transport Layer Security (TLS). Vid implementering erbjuder HTTPS dubbelriktad kryptering (för att förhindra avlyssning), server autentisering (för att förhindra ombildning) och meddelande autentisering (för att förhindra data manipulering).
Så här använder du HTTPS
Som ett talat språk fungerar HTTPS bara om båda parter väljer att prata det. På klientsidan kan valet att använda HTTPS göras genom att skriva in "https" i adressfältet för webbläsaren före webbadressen (t.ex. istället för att skriva http://www.facebook.com, skriv https: // www. facebook.com) eller genom att installera ett tillägg som automatiskt styr HTTPS, till exempel HTTPS Överallt för Firefox och Chrome. När din webbläsare använder HTTPS ser du en hänglåsikon, en grön webbläsarfält, en tummen upp eller något annat betryggande tecken på att din anslutning till servern är säker.
För att kunna använda HTTPS måste webservern stödja den. Om du är webmaster och du vill erbjuda HTTPS till dina webbesökare behöver du ett SSL-certifikat eller TLS-certifikat. Hur får du ett SSL- eller TLS-certifikat? Fortsätt läsa.
Ytterligare läsning: Vissa populära webbapps låter dig välja HTTPS i dina användarinställningar. Läs våra skrivningar på Facebook, Gmail och Twitter.
Vad är ett SSL-certifikat och hur får jag en?
För att kunna använda HTTPS måste din webbserver ha ett SSL-certifikat eller ett TLS-certifikat installerat. Ett SSL / TLS-certifikat är typ av som bild-ID för din webbplats. När en webbläsare som använder HTTPS åtkomst till din webbsida, kommer den att utföra ett "handslag", där klientdatorn frågar efter SSL-certifikatet. SSL-certifikatet valideras sedan av en betrodd certifikatmyndighet (CA), som verifierar att servern är den som säger att den är. Om allt checkar ut, får din webbesökare det lugna gröna markeringen eller låsikonen. Om något går fel, får de en varning från webbläsaren och anger att serverns identitet inte kunde bekräftas.
Shopping för ett SSL-certifikat
När det gäller att installera ett SSL-certifikat på din webbplats finns det en uppsjö av parametrar att bestämma. Låt oss gå över det viktigaste:
Certifikatmyndighet
Certifikatmyndigheten (CA) är det företag som utfärdar ditt SSL-certifikat och är det som kommer att validera ditt certifikat varje gång en besökare kommer till din webbplats. Medan varje SSL-certifikatleverantör kommer att konkurrera om pris och funktioner, är den första sak att tänka på när vettingcertifikatmyndigheterna är oavsett om de har certifikat som kommer förinstallerade på de mest populära webbläsarna. Om certifikatutfärdaren som utfärdar ditt SSL-certifikat inte finns på den listan kommer användaren att få en varning om att webbplatsens säkerhetscertifikat inte är betrodd. Det betyder förstås inte att din webbplats är obehörig - det betyder bara att din CA inte finns på listan (ännu). Det här är ett problem eftersom de flesta användare inte kommer att bry sig om att läsa varningen eller undersöka den okända CA. De kommer nog bara klicka bort.
Lyckligtvis är listan över förinstallerade CA: er på de stora webbläsarna ganska stor. Det innehåller några stora varumärken såväl som mindre kända och prisvärda CA. Hushållens namn inkluderar Verisign, Go Daddy, Comodo, Thawte, Geotrust och Entrust.
Du kan också titta i din egen webbläsares inställningar för att se vilka certifikatmyndigheter som är förinstallerade.
- För Chrome, gå till Inställningar -> Visa avancerade inställningar ... -> Hantera certifikat.
- För Firefox, gör alternativ -> Avancerat -> Visa certifikat.
- För IE, Internetalternativ -> Innehåll -> Certifikat.
- För Safari, gå till Finder och välj Gå -> Verktyg -> KeyChain Access och klicka på System.
För snabb referens, kolla in den här tråden, som listar de acceptabla SSL-certifikaten för Google Checkout.
Domain Validation vs Extended Validation
Typisk utgivningstid | Kosta | Adressfält | |
Domänvalidering | Nästan omedelbart | Låg | Normal HTTPS (hänglåsikon) |
Organisation Validation | Några dagar | Mitten | Normal HTTPS (hänglåsikon) |
Utökad validering | En vecka eller mer | Hög | Grön adressfält, Verifieringsinfo för företags-ID |
Ett SSL-certifikat är avsett att bevisa identiteten på den webbplats du skickar information till. För att säkerställa att folk inte tar ut falska SSL-certifikat för domäner som de inte kontrollerar korrekt, kommer en certifikatmyndighet att validera att den person som begär certifikatet verkligen är ägaren till domännamnet. Vanligtvis görs detta genom en snabb e-post- eller telefonsamtalsvalidering, som liknar när en webbplats skickar dig ett mail med en länk för kontobekräftelse. Detta kallas a domänvaliderad SSL-certifikat. Fördelen med detta är att det tillåter SSL-certifikat att utfärdas nästan omedelbart. Du kan noga gå och få ett domänvaliderat SSL-certifikat på kortare tid än det tog dig att läsa detta blogginlägg. Med ett domänvaliderat SSL-certifikat får du hänglåset och möjligheten att kryptera din webbplatss trafik.
Fördelarna med ett domänvaliderat SSL-certifikat är att de är snabba, enkla och billiga att få. Detta är också deras nackdel. Som du kan tänka dig är det lättare att hoodwink ett automatiserat system än en som drivs av levande människor. Det är som om någon gymnasieskola gick in i DMV och sa att han var Barack Obama och ville få ett offentligt utfärdat ID. personen vid skrivbordet skulle ta en titt på honom och ringa Feds (eller loony bin). Men om det var en robot som arbetade med ett foto ID-kiosk, kanske han hade lite tur. På liknande sätt kan phishers få "falska ID" för webbplatser som Paypal, Amazon eller Facebook genom att lura domänvalideringssystem. År 2009 publicerade Dan Kaminsky ett exempel på ett sätt att scam CAs för att få certifikat som skulle göra att en phishing-webbplats skulle se ut som om det var en säker, legitim anslutning. Till en människa skulle denna bluff vara lätt att upptäcka. Men den automatiska domänvalideringen vid tidpunkten saknade nödvändiga kontroller för att förhindra något sådant.
Som svar på sårbarheten hos SSL och domänvaliderade SSL-certifikat har industrin introducerat Utökad validering certifikat. För att få ett EV SSL-certifikat måste ditt företag eller din organisation genomgå en noggrann vetting för att säkerställa att den står i gott skick med din regering och kontrollerar rätten domänen du ansöker om. Dessa kontroller kräver bland annat ett mänskligt element, och därmed tar längre tid och är dyrare.
I vissa branscher krävs ett EV-certifikat. Men för andra går fördelen bara så långt som vad dina besökare kommer att känna igen. För varje dag webb besökare är skillnaden subtil. Förutom hänglåsikonen blir adressfältet grönt och visar namnet på ditt företag. Om du klickar på mer information ser du att företagets identitet har verifierats, inte bara webbplatsen.
Här är ett exempel på en vanlig HTTPS-webbplats:
Och här är ett exempel på ett EV-certifikat HTTPS-webbplats:
Beroende på din bransch kanske ett EV-certifikat inte är värt det. Plus, du måste vara ett företag eller en organisation för att få en. Trots att stora företag trender mot EV-certifiering märker du att de flesta HTTPS-webbplatser fortfarande spelar sporten utan EV. Om det är tillräckligt bra för Google, Facebook och Dropbox kanske det är tillräckligt bra för dig.
En sak: det finns en mitt på vägalternativet kallas en organisation validerad eller Verksamheten validerad certifiering. Detta är en mer grundlig bedömning än den automatiska domänvalideringen, men det går inte så långt som att uppfylla branschreglerna för ett Extended Validation-certifikat (notera hur Extended Validation är aktiverad och "organisatorisk validering" inte är?). En OV eller företagsvaliderad certifiering kostar mer och tar längre tid, men det ger dig inte den gröna adressfältet och företagets identitetsverifierade information. Uppriktigt sagt kan jag inte tänka mig en anledning att betala för ett OV-certifikat. Om du kan tänka på en, vänligen upplys mig i kommentarerna.
Delad SSL vs Privat SSL
Vissa webbhotell erbjuder en gemensam SSL-tjänst, som ofta är billigare än en privat SSL. Förutom en pris är fördelen med en gemensam SSL att du inte behöver få en privat IP-adress eller dedikerad värd. Nackdelen är att du inte får använda ditt eget domännamn. I stället blir den säkra delen av din webbplats något som:
https://www.hostgator.com/~yourdomain/secure.php
Kontrast till en privat SSL-adress:
https://www.yourdomain.com/secure.php
För webbplatser med offentlig uppfattning, som e-handelswebbplatser och webbplatser för sociala nätverk, är detta uppenbarligen ett drag, eftersom det verkar som om du har omdirigerats från huvudsidan. Men för områden som vanligtvis inte betraktas av allmänheten, så som ett inlägg i ett postsystem eller ett administratörsområde, kan en delad SSL vara en bra affär.
Lita på sälar
Många certifikatmyndigheter låter dig placera en förtroendeförsegling på din webbsida efter att du har anmält dig för ett av sina certifikat. Detta ger ungefär samma information som att klicka på hänglås i webbläsarfönstret, men med högre synlighet. Inklusive en förtroendeförsegling är inte nödvändig, det förstärker inte din säkerhet, men om det ger dina besökare de varma fuzziesna som vet vem som utfärdat SSL-certifikatet, slänger det med det hela.
Wildcard SSL-certifikat
Ett SSL-certifikat verifierar identiteten för en domän. Så, om du vill ha HTTPS på flera underdomäner, t.ex. groovypost.com, mail.groovypost.com och answers.groovypost.com-du måste köpa tre olika SSL-certifikat. Vid ett visst tillfälle blir ett wildcard SSL-certifikat mer ekonomiskt. Det vill säga ett certifikat som täcker en domän och alla underdomäner, dvs * .groovypost.com.
garantier
Oavsett hur lång tid ett företags rykte är, finns det sårbarheter. Till och med pålitliga CA-användare kan riktas mot hackare, vilket framgår av överträdelsen vid VeriSign, som inte rapporterades tillbaka 2010. Dessutom kan en CA: s status på den betrodda listan snabbt återkallas, vilket vi såg med DigiNotar snafu tillbaka 2011. Stuff händer.
För att undanröja eventuella oro över potentialen för sådana slumpmässiga handlingar av SSL-debauchery, erbjuder många CA-företag nu garantier. Täckning varierar från några tusen dollar till över en miljon dollar och inkluderar förluster som härrör från missbruk av ditt certifikat eller andra olyckor. Jag har ingen aning om dessa garantier faktiskt mervärde eller inte, eller om någon någonsin har vunnit ett krav. Men de är där för din övervägande.
Gratis SSL-certifikat och självsignerade SSL-certifikat
Det finns två typer av gratis SSL-certifikat tillgängliga. En självsignerad, används främst för privat testning och fullblåst allmänhet mot SSL Certs som utfärdats av en giltig certifikatmyndighet. Den goda nyheten är att det i 2018 finns några alternativ att få 100% gratis, giltiga 90-dagars SSL-certs från både SSL gratis eller Låt oss kryptera. SSL gratis är i första hand en GUI för Let's Encrypt API. Fördelen med SSL för fri webbplats är att den är enkel att använda eftersom den har en bra GUI. Låt oss kryptera är dock bra eftersom du kan automatisera att du begär SSL certs från dem. Perfekt om du behöver SSL certs för flera webbplatser / servrar.
Ett självtecknat SSL-certifikat är gratis för alltid. Med ett självtecknat certifikat är du din egen CA. Men eftersom du inte är bland de betrodda CA-erna som är inbyggda i webbläsare, kommer besökare att få en varning om att auktoriteten inte känns igen av operativsystemet. Som sådan finns det ingen garanti för att du är den som du säger att du är (det är som att du själv skickar ett foto-ID och försöker skicka det bort vid spritbutiken). Fördelen med ett självtecknat SSL-certifikat är dock att det möjliggör kryptering för webtrafik. Det kan vara bra för internt bruk, där du kan få din personal att lägga till din organisation som en betrodd CA för att bli av med varningsmeddelandet och arbeta med en säker anslutning via Internet.
För anvisningar om hur du konfigurerar ett självtecknat SSL-certifikat, kolla in dokumentationen för OpenSSL. (Eller om det finns tillräckligt med efterfrågan, skriver jag en handledning.)
Installera ett SSL-certifikat
När du har köpt ditt SSL-certifikat måste du installera det på din webbplats. En bra webbhotell kommer att erbjuda att göra det här för dig. Vissa kan till och med gå så långt som att köpa det för dig. Ofta är det här det bästa sättet att gå, eftersom det förenklar fakturering och säkerställer att den är korrekt inställd för din webbserver.
Ändå har du alltid möjlighet att installera ett SSL-certifikat som du köpt själv. Om du gör det kanske du vill börja samråda med webbhotellens kunskapsbas eller genom att öppna en helpdeskbiljett. De leder dig till de bästa instruktionerna för att installera ditt SSL-certifikat. Du bör också läsa instruktionerna från CA. Dessa kommer att ge dig bättre vägledning än några generiska råd som jag kan ge dig här.
Du kanske också vill kolla in följande instruktioner för att installera ett SSL-certifikat:
- Installera ett SSL-certifikat och konfigurera domänen i cPanel
- Så här implementerar du SSL i IIS (Windows Server)
- Apache SSL / TLS-kryptering
Alla dessa instruktioner innebär att du skapar en SSL-certifikatsigneringsansökan (CSR). Faktum är att du behöver en CSR bara för att få ett SSL-certifikat utfärdat. Återigen kan din webbhotell hjälpa dig med detta. För mer specifik DIY info om att skapa en CSR, kolla in denna skrivning från DigiCert.
Fördelar och nackdelar med HTTPS
Vi har redan etablerat HTTPS-proffsen: säkerhet, säkerhet och säkerhet. Detta minskar inte bara risken för dataskydd, det fördriver också förtroende och lägger till ansvarsfullhet för din webbplats. Kundiga kunder kanske inte ens stör om att anmäla sig om de ser en "http: //" på inloggningssidan.
Det finns emellertid vissa nackdelar med HTTPS. Med tanke på behovet av HTTPS för vissa typer av webbplatser är det mer meningsfullt att tänka på dessa som "nackdelariderations "snarare än negativ.
- HTTPS kostar pengar. Till att börja med finns det kostnaden för att köpa och förnya ditt SSL-certifikat för att garantera giltighet från år till år. Men det finns också vissa "systemkrav" för HTTPS, till exempel en dedikerad IP-adress eller dedikerad värdplan, vilket kan vara dyrare än ett delat hostingpaket.
- HTTPS kan sakta ner serverns svar. Det finns två problem relaterade till SSL / TLS som kan sakta ner sidhastigheten. För att börja med att kommunicera med din webbplats för första gången måste användarens webbläsare gå igenom handslagsprocessen, som studsar tillbaka till certifikatmyndighetens webbplats för att verifiera certifikatet. Om CA: s webbserver är trög, kommer det att bli en försening när du laddar din sida. Detta är till stor del bortom din kontroll. För det andra använder HTTPS kryptering, vilket kräver mer bearbetningseffekt. Detta kan lösas genom att optimera ditt innehåll för bandbredd och uppgradera hårdvaran på din server. CloudFare har ett bra blogginlägg om hur och varför SSL kan sakta ner din webbplats.
- HTTPS kan påverka SEO-ansträngningarna När du övergår från HTTP till HTTPS; du flyttar till en ny webbplats. Till exempel skulle https://www.groovypost.com inte vara detsamma som http://www.groovypost.com. Det är viktigt att du har omdirigerat dina gamla länkar och skrivit de rätta reglerna under huven på din server för att undvika att du förlorar någon värdefull länkjuice.
- Blandat innehåll kan kasta en gul flagga. För vissa webbläsare, om du har huvuddelen av en webbsida laddad från HTTPS, men bilder och andra element (till exempel stilark eller skript) laddade från en HTTP-URL, kan en popup visas som varning om att sidan innehåller oskyddat innehåll. Naturligtvis har några säkert innehåll är bättre än att ha ingen, även om det senare inte leder till en popup. Men det kan ändå vara värt att se till att du inte har något "blandat innehåll" på dina sidor.
- Ibland är det lättare att få en betalningsbehandling från tredje part. Det är ingen skam att låta Google Checkout, Paypal eller Checkout av Amazon hantera dina betalningar. Om alla ovanstående verkar som för mycket för att rysa, kan du låta dina kunder utbyta betalningsinformation på Paypals säkra webbplats eller Googles säkra webbplats och spara dig själv besväret.
Har du några andra frågor eller kommentarer om HTTPS- och SSL / TLS-certifikat? Låt mig höra det i kommentarerna.