Apa itu SSL, dan jenis sijil mana yang sesuai untuk anda

Artikel ini ditaja oleh Gogetssl. Terima kasih kerana menyokong rakan kongsi yang membuat SitePoint mungkin.

Kejadian jenayah siber telah meningkat dengan ketara sejak sedekad yang lalu. Banyak organisasi korporat yang terkenal dan agensi kerajaan yang belum melaksanakan langkah-langkah keselamatan siber yang mencukupi telah mengalami kerugian. Google telah mula mengambil pendirian yang sukar di laman web yang tidak menggunakan HTTPS. Sekiranya pelawat hendak mengemukakan sebarang maklumat melalui sambungan yang tidak selamat, amaran akan dikeluarkan.

Artikel ini akan membimbing anda tentang cara melindungi pelanggan dan perniagaan dari pelanggaran privasi dan kecurian data. Anda akan belajar bagaimana menggunakan teknologi SSL untuk melindungi laman web dan aplikasi anda daripada membocorkan data sensitif kepada eavesdroppers.

Artikel ini tidak akan menjelaskan cara memasang SSL, kerana ini adalah topik lanjutan. Anda boleh mendapatkan lebih banyak maklumat mengenai proses pemasangan di sini.

mata utama

SSL (Secure Socket Layer) adalah protokol penyulitan yang direka untuk melindungi komunikasi di rangkaian komputer. Ia amat penting untuk melindungi maklumat sensitif yang dihantar melalui Internet, seperti kelayakan log masuk dan butiran kad kredit.
Sijil SSL dikeluarkan oleh Pihak Berkuasa Sijil (CA) untuk mengesahkan identiti Laman Web dan membolehkan komunikasi yang selamat dan disulitkan. Sijil ini biasanya mengandungi nama subjek, kunci awam, tandatangan digital, penerbit, dan tarikh yang sah.
Terdapat pelbagai jenis sijil SSL untuk memenuhi keperluan yang berbeza, termasuk sijil SSL pengesahan domain, IP awam SAN SSL, Wildcard SSL, dan Sijil SSL Multi-domain. Pilihan sijil bergantung kepada faktor -faktor seperti bilangan domain dan subdomain yang anda ingin melindungi, dan sama ada anda ingin melindungi alamat IP awam.
Pengenal entiti undang -undang (LEI) adalah kod unik yang digunakan untuk mengenal pasti mana -mana syarikat global yang terlibat dalam urus niaga kewangan. Ia boleh digunakan untuk memudahkan dan mempercepat proses pengesahan perniagaan untuk sijil SSL.

Penjelasan ringkas SSL

Bayangkan anda berada di bilik hotel, menggunakan komputer riba anda untuk menyambung ke wifi hotel. Anda akan log masuk ke portal dalam talian bank tidak lama lagi. Sementara itu, penggodam berniat jahat dengan bijak menempah bilik di sebelah anda dan menubuhkan sebuah stesen yang mudah untuk mendengar semua trafik rangkaian di bangunan hotel. Semua lalu lintas menggunakan protokol HTTP boleh dilihat dalam teks biasa oleh penggodam.

Katakan laman web bank hanya menggunakan HTTP, maka butiran borang seperti nama pengguna dan kata laluan akan dilihat oleh penggodam sebaik sahaja anda menekan butang Hantar. Jadi bagaimana kita melindungi data ini? Jawapannya jelas penyulitan. Penyulitan data melibatkan penukaran data teks biasa ke dalam sesuatu yang kelihatannya dihiasi -iaitu, data yang disulitkan. Untuk menyulitkan data teks biasa, anda memerlukan apa yang dipanggil algoritma penyulitan dan kunci kata laluan.

Katakan anda ingin menyulitkan data berikut:

<code>Come on over for hot dogs and soda!</code>

Borang yang disulitkan adalah seperti berikut:

<code>Come on over for hot dogs and soda!</code>

Menggunakan kuasa pengkomputeran semasa, menyahsulit mesej di atas tanpa kekunci kata laluan mungkin mengambil lebih dari seumur hidup. Kecuali mereka mempunyai kunci kata laluan untuk menyulitkannya, tiada siapa yang boleh membacanya. Penyulitan jenis ini dipanggil penyulitan simetri. Sekarang kita telah mengetahui cara melindungi data, kita memerlukan cara yang selamat untuk memindahkan kunci kata laluan dengan selamat kepada penerima mesej. Kita boleh melakukan ini dengan menggunakan sistem penyulitan asimetrik yang dipanggil penyulitan kunci awam.

penyulitan kunci awam menggunakan sepasang kekunci kata laluan yang berkaitan dengan matematik:

• Kunci Awam: Boleh dikongsi dengan selamat dengan sesiapa sahaja
• Kunci peribadi: Ia tidak boleh dihantar, ia mesti disimpan sulit.

Apabila satu kunci digunakan untuk penyulitan, kunci lain digunakan untuk penyahsulitan. Kunci yang sama tidak boleh digunakan untuk menyahsulit kandungan yang disulitkan. Berikut adalah perihalan bagaimana ia berfungsi:

Walau bagaimanapun, kami tidak boleh mempercayai sebarang kunci awam yang dihantar kepada kami, kerana mereka boleh dihasilkan oleh sesiapa sahaja. Untuk memastikan kesahihan kunci awam, mereka perlu dibungkus ke dalam sijil SSL yang dipanggil. Ini adalah fail digital yang ditandatangani yang mengandungi maklumat berikut:

Nama Tubject: Nama Peribadi, Organisasi atau Mesin

Kunci Awam
tandatangan digital (cap jari sijil)
penerbit (entiti yang menandatangani sijil)
tarikh tamat tempoh (tarikh permulaan dan tarikh tamat tempoh)
• Saya hanya menyenaraikan item yang diperlukan. Sijil SSL biasanya mengandungi lebih banyak maklumat. Berikut adalah contoh sebenar:

seperti yang anda lihat, sijil di atas ditandatangani (lihat bahagian kecil). Tandatangan digital hanya disulitkan hash fail. Mari kita jelaskan apa hash. Katakan anda mempunyai dokumen dengan 100 perkataan dan anda menjalankannya melalui program hashing. Anda akan mendapat hash berikut:

Jika anda menukar apa -apa dalam dokumen, walaupun anda menambah tempoh, nilai hash baru dijana apabila anda menjalankan fungsi hash lagi:

<code>wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw
q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi
N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7/2THg2iDrW3NGQZfz3SSWviwCe7G
mNIvp5jEkGPCGcla4Fgdp/xuyewPk6NDlBewftLtHJVf
=PAb3</code>

Hash yang dihantar tidak sepadan dengan hash yang dihasilkan, yang bermaksud bahawa fail telah diubah. Ini adalah barisan pertahanan pertama untuk memastikan sijil SSL belum diubah. Walau bagaimanapun, kita perlu mengesahkan bahawa nilai hash yang dihantar dibuat oleh penerbit sijil. Ini dilakukan dengan menyulitkan nilai hash menggunakan kunci peribadi penerbit. Apabila kami melakukan hash tempatan pada sijil dan kemudian nyahimati tandatangan sijil untuk mendapatkan nilai hash yang dihantar, kami dapat membandingkan kedua -duanya. Jika ia sepadan, ini bermakna:

<code>46798b5cfca45c46a84b7419f8b74735</code>

sijil belum diubah oleh orang lain

kami mempunyai bukti bahawa sijil adalah dari penerbit kerana kami telah berjaya menyahsulit tandatangan menggunakan kunci awam

• kita boleh mempercayai kesahihan kunci awam yang dilampirkan pada sijil SSL.

• Sekarang, anda mungkin tertanya -tanya di mana kita mendapat kunci awam penerbit dan mengapa kita harus mempercayainya. Kunci awam penerbit telah dipasang di sistem operasi dan penyemak imbas kami. Penerbit adalah Pihak Berkuasa Sijil yang Dipercayai (CA) yang menandatangani sijil mengikut Panduan Forum CA/Pelayar rasmi dan cadangan NIST. Sebagai contoh, di sini adalah senarai beberapa penerbit/CAS yang dipercayai yang anda akan dapati pada sistem operasi Microsoft anda. Malah telefon pintar dan tablet, sistem operasi dan pelayar mempunyai senarai yang sama.

  Menurut tinjauan yang dijalankan oleh W3Techs pada bulan Mei 2018, pihak berkuasa berikut menyumbang kira -kira 90% sijil sah yang dikeluarkan di seluruh dunia:

  • identrust
  • comodo
  • digicert (diperoleh oleh Symantec)
  • Godaddy
  • Globalsign

  Sekarang bahawa anda telah belajar tentang penyulitan dan teknologi SSL, sebaiknya mengkaji cara dengan selamat log masuk ke portal bank menggunakan HTTPS tanpa mempunyai trafik anda membaca penggodam sebelah.

  1. Pelayar komputer riba anda mula -mula meminta sijil SSL dari pelayan bank.
  2. Pelayan menghantarnya. Penyemak imbas kemudian memeriksa sama ada sijil itu benar berdasarkan senarai CA yang dipercayai. Ia juga memeriksa bahawa sijil tidak tamat tempoh dan belum dibatalkan.
  3. Jika semua cek lulus, penyemak imbas akan menghasilkan kunci kata laluan baru (juga dikenali sebagai kunci sesi). Gunakan kunci awam yang terdapat pada sijil SSL, menyulitkannya, dan hantar ke pelayan.
  4. Pelayan menggunakan kunci peribadi untuk menyahsulit kunci sesi.
  5. mulai sekarang, semua komunikasi bolak -balik akan disulitkan menggunakan kunci sesi. Penyulitan simetri lebih cepat daripada penyulitan asimetrik.

  Ini bermakna data bentuk yang dihantar dari komputer riba dan data HTML dari pelayan akan disulitkan menggunakan kekunci kata laluan yang tidak dapat diakses oleh penggodam. Apa yang anda lihat dalam log trafik yang ditangkap akan hanya huruf dan nombor yang dihiasi. Maklumat anda kini dilindungi dari mata pengintipan.

  Sekarang anda memahami bagaimana SSL berfungsi secara umum, mari kita beralih ke bahagian seterusnya untuk mengetahui tentang pelbagai jenis sijil SSL yang boleh kita gunakan.

  jenis ssl

  Pengesahan Domain Sijil SSL

  Pengesahan domain adalah jenis sijil SSL yang paling berpatutan dan biasa yang boleh dikeluarkan kepada sesiapa sahaja untuk melindungi laman web domain awam. Untuk membeli sijil SSL jenis ini, anda perlu membuktikan bahawa anda adalah pemilik domain yang anda ingin lindungi. Itulah sebabnya ia dipanggil pengesahan domain. Ini dilakukan dalam satu atau lebih cara berikut:

  • Buat rekod TXT DNS
  • membalas kenalan e -mel yang dihantar ke rekod Whois domain untuk e -mel berdaftar
  • Balas e-mel yang dihantar ke kenalan pentadbiran yang terkenal di domain anda (seperti admin@domain.com)
  • menerbitkan nombor rawak yang disediakan oleh sistem penerbitan sijil automatik

  Sehingga September 2019, Google Chrome kini merupakan pelayar web yang paling popular, menyumbang kira -kira 70% daripada bahagian pasaran Pelayar Desktop Global. Google baru -baru ini mengukuhkan pendiriannya pada pemilik tapak yang menguatkuasakan protokol keselamatan untuk memastikan privasi pengguna akhir dilindungi. Laman web yang tidak dilindungi akan ditandakan sebagai tidak selamat. Jika pengguna cuba menghantar borang ke tapak yang tidak dilindungi, mereka juga akan dinasihatkan untuk tidak melakukannya. Jika sijil SSL laman web tamat atau tidak sah, Laman Web akan disekat buat sementara waktu.

  Jika anda tidak mahu kehilangan trafik yang berharga kerana laman web anda tidak dilindungi, anda perlu memastikan anda mendapat sekurang-kurangnya sijil SSL yang disahkan domain. Ia hanya mengambil masa 5-8 minit untuk mendapatkan sijil.

  public ip san ssl

  Sijil SSL sering digunakan untuk melindungi nama domain yang berkelayakan, seperti www.domain.com. Jika anda ingin melindungi alamat IP awam, anda perlu mendapatkan sijil IP SAN SSL awam. SAN mewakili nama alternatif utama, yang merupakan medan di medan sijil yang boleh digunakan untuk menyimpan alamat IP.

  Wildcard SSL

  Sijil SSL biasa hanya tersedia untuk domain tunggal, seperti www.domain.com. Jika anda ingin melindungi subdomain, anda mesti membeli sijil SSL baru untuk ini. Daripada membeli sijil SSL baru untuk setiap subdomain yang anda uruskan, anda hanya boleh membeli sijil SSL wildcard, yang akan berfungsi untuk subdomain anda, iaitu *.domain.com. Ia lebih kos efektif daripada membeli beberapa sijil SSL. Menggunakan sijil SSL juga lebih mudah untuk dikendalikan.

  Walau bagaimanapun, jika subdomain dikompromikan, ini bermakna semua subdomain menggunakan sijil yang sama dikompromikan. Anda perlu membatalkannya dan meminta sijil baru. Jika anda tidak mahu menghadapi masalah tersebut, anda juga boleh membeli secara berasingan.
  Sijil SSL Multi-domain
  seperti namanya, anda boleh membeli sijil SSL pelbagai domain, yang boleh melindungi sehingga 250 domain dan subdomain. Sijil jenis ini amat berguna untuk melindungi beratus -ratus pelayan komunikasi pejabat yang boleh merangkumi kawasan geografi yang berbeza. Walaupun lalu lintas terhad kepada rangkaian syarikat, lebih baik menggunakan SSL untuk perlindungan, kerana pekerja Rogue dapat dengan mudah memantau dan merekodkan trafik semua orang.
  Pengesahan Perniagaan Mudah dengan Kod Lei
  Sejak 2019, organisasi boleh disahkan di seluruh dunia menggunakan kod LEI (Pengenal Entiti Undang -Undang). Ini memudahkan dan mempercepatkan proses pengesahan dengan ketara. Perusahaan boleh mendapatkan kod LEI melalui agensi pendaftaran GLEIF rasmi.
  Pengenal entiti undang -undang (LEI) adalah kod unik yang digunakan untuk mengenal pasti mana -mana syarikat global yang terlibat dalam urus niaga kewangan. Proses ini dijalankan mengikut piawaian antarabangsa ISO 17442. Matlamatnya adalah untuk membantu memantau dan mengukur risiko sistemik dan dengan berkesan dan secara murah menyokong pematuhan terhadap keperluan pelaporan pengawalseliaan.

  Ringkasan

  Saya harap anda mempunyai maklumat yang cukup sekarang untuk menentukan sijil SSL yang hendak dibeli. Sila ambil perhatian bahawa sijil SSL sah hanya selama dua tahun. Ini adalah ciri keselamatan yang memastikan maklumat mengenai sijil masih terkini. Ia juga memastikan bahawa sebarang kunci yang hilang tidak digunakan untuk menembusi lalu lintas. Sijil SSL percuma biasanya sah selama 90 hari. Jika anda ingin memastikan anda tidak lupa untuk membeli pembaharuan, anda boleh mendapatkan pelan langganan 3 tahun atau 4 tahun. Sila ambil perhatian bahawa kadar had dua tahun terpakai. Anda akan menerima kenalan pada akhir tarikh tamat tempoh untuk menggantikan sijil dengan yang baru. Kelebihan memilih pelan langganan yang lebih lama ialah anda boleh menjimatkan wang berbanding dengan pembelian tahunan.

  SSL FAQ

  Apa itu SSL? SSL (Secure Sockets Layer) adalah protokol penyulitan yang direka untuk menyediakan komunikasi yang selamat pada rangkaian komputer. Ia biasanya digunakan untuk melindungi pemindahan data antara pelayar pengguna dan pelayan laman web.

  Mengapa SSL penting? SSL adalah penting untuk melindungi maklumat sensitif yang dihantar melalui Internet, seperti kelayakan log masuk, butiran kad kredit, dan data peribadi yang lain. Ia menyulitkan data untuk mengelakkan akses dan evesdropping yang tidak dibenarkan.

  Apakah sijil SSL? Sijil SSL adalah sijil digital yang digunakan untuk mengesahkan identiti laman web dan membolehkan komunikasi yang selamat dan disulitkan. Ia dikeluarkan oleh pihak berkuasa sijil (CA) dan mengandungi maklumat mengenai pemegang sijil.

  Bagaimana untuk mendapatkan sijil SSL untuk laman web saya? Untuk mendapatkan sijil SSL, anda boleh membeli satu dari Pihak Berkuasa Sijil (CA), atau menggunakan sijil yang disediakan oleh CA yang dipercayai, seperti Let's Encrypt. Selepas anda memperoleh sijil, anda perlu memasangnya di pelayan web anda.

  Apa itu https? HTTPS (Keselamatan Protokol Pemindahan Hypertext) adalah versi HTTP yang selamat. Ia menggunakan protokol SSL/TLS untuk menyulitkan data yang dihantar antara pelayar pengguna dan pelayan laman web. Laman web menggunakan simbol kunci paparan HTTPS di bar alamat.

Atas ialah kandungan terperinci Apa itu SSL, dan jenis sijil mana yang sesuai untuk anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!