HTTPS ve SSL Sertifikaları: Web Sitenizi Güvenli Hale Getirin (ve Neden Yapmalısınız)

Nasıl

TarafındanJack Busch

Son Güncelleme Tarihi:20 Nisan 2018

İnternet üzerinden kişisel bilgi gönderme söz konusu olduğunda - iletişim bilgileri, giriş bilgileri, hesap bilgileri, konum bilgisi veya istismar edilebilecek herhangi bir şey - kamuoyu, genellikle, bilgisayar korsanları ve kimlik hakkında düpedüz bir paranoyaktır hırsızlar. Ve haklı olarak. Bilgilerinizin çalınması, tahrif edilmesi veya kötüye kullanılması korkusu mantıksız olmaktan çok uzaktır. Son birkaç on yılda sızıntılar ve güvenlik ihlalleri hakkındaki başlıklar bunu kanıtlıyor. Ancak bu korkuya rağmen, insanlar bankacılık, alışveriş, günlük kaydı, flört, sosyalleşme ve web üzerindeki diğer kişisel ve profesyonel işlerini yapmaya devam ediyorlar. Ve onlara bunu yapma konusunda güven veren küçük bir şey var. Size göstereceğim:

Hepsi nasıl çalıştığını anlayamasa da, adres çubuğundaki bu küçük asma kilit web kullanıcılarına meşru bir web sitesine güvenilir bir bağlantıya sahip olduklarını gösterir. Ziyaretçiler web sitenizi çektiklerinde adres çubuğunda bunu görmezlerse, işlerini almazsınız ve almazsınız.

Web siteniz için bu küçük adres çubuğu asma kilidini almak için bir SSL sertifikanız olması gerekir. Nasıl alırsın? Öğrenmek için okumaya devam edin.

Makale Özeti:

• SSL / TLS nedir?
• HTTPS Nasıl Kullanılır?
• SSL Sertifikası nedir ve nasıl alabilirim?
• SSL Sertifikası Alışveriş Rehberi
• • Sertifika yetkilisi
  • Alan Adı Doğrulaması vs. Genişletilmiş Doğrulama
  • Paylaşılan SSL ile karşılaştırması Özel SSL
  • Güven Mühürleri
  • Wildcard SSL Sertifikaları
  • Garantiler
  • Ücretsiz SSL Sertifikaları ve Kendinden İmzalı SSL Sertifikaları
• SSL Sertifikası Yükleme
• HTTPS Artıları ve Eksileri

SSL / TLS nedir?

Web'de veriler Köprü Metni Aktarım Protokolü kullanılarak aktarılır. Bu nedenle tüm web sayfası URL'lerinde “ http://” veya “https://" onların önünde.

Http ve https arasındaki fark nedir? Ekstra küçük S'nin büyük sonuçları var: Güvenlik.

Açıklamama izin ver.

HTTP, bilgisayarınızın ve sunucunun birbiriyle konuşmak için kullandığı “dildir”. Bu dil evrensel olarak anlaşılmıştır, bu da uygundur, ancak aynı zamanda dezavantajları vardır. Siz ve bir sunucu arasında İnternet üzerinden veri aktarıldığında, son hedefine ulaşmadan önce bazı duraklamalar yapılır. Bu üç büyük risk oluşturur:

• Birisinin Eavesdrop (bir tür dijital telefon dinleme gibi).

• Birisinin impersonate her iki taraftaki taraflardan biri (veya her ikisi).

• Birisinin kurcalamaya iletiler aktarılır.

Bilgisayar korsanları ve gerizekalılar, kimlik avı tuzakları, ortadaki adam saldırıları ve iyi eski moda reklamlar dahil olmak üzere bir dizi dolandırıcılık ve soygun için yukarıdakilerin bir kombinasyonunu kullanır. Kötü amaçlı saldırılar, şifrelenmemiş çerezleri (gizlice dinleme) ele geçirerek Facebook kimlik bilgilerini koklamak kadar basit olabilir veya daha karmaşık olabilir. Örneğin, bankanıza şunları söylediğinizi düşünebilirsiniz: “Lütfen ISP'ime 100 ABD doları aktarın”, ancak ortadaki biri şu mesajı okumak için değiştirebilir: $100tüm param için benim İSSSibirya'da Peggy”(Veri kurcalama ve kimliğe bürünme).

HTTP ile ilgili problemler bunlar. Bu sorunları çözmek için HTTP, bir güvenlik protokolü ile katmanlanabilir ve HTTP Güvenli (HTTPS) ile sonuçlanabilir. En yaygın olarak, HTTPS'deki S, Güvenli Yuva Katmanı (SSL) protokolü veya daha yeni Aktarım Katmanı Güvenliği (TLS) protokolü tarafından sağlanır. Dağıtıldığında, HTTPS çift yönlü sunar şifreleme (gizlice dinlemeyi önlemek için), sunucukimlik doğrulama (kimliğe bürünmeyi önlemek için) ve mesaj kimlik doğrulaması (verilerin kurcalanmasını önlemek için).

HTTPS Nasıl Kullanılır

Konuşulan bir dil gibi, HTTPS yalnızca her iki tarafın da konuşmayı seçmesi durumunda çalışır. İstemci tarafında, HTTPS kullanma seçeneği URL'den önce tarayıcı adres çubuğuna "https" yazarak yapılabilir (ör. Yazmak yerine) http://www.facebook.com, yazın https://www.facebook.com) veya HTTPS gibi otomatik olarak HTTPS'yi zorlayan bir uzantı yükleyerek Firefox ve Krom. Web tarayıcınız HTTPS kullanırken, bir asma kilit simgesi, yeşil tarayıcı çubuğu, başparmak yukarı veya başka bir güven verici sunucu ile bağlantınızın güvenli olduğunu belirten bir işaret görürsünüz.

Ancak, HTTPS'yi kullanmak için web sunucusunun onu desteklemesi gerekir. Bir web yöneticisiyseniz ve web ziyaretçilerinize HTTPS sunmak istiyorsanız, bir SSL Sertifikası veya TLS Sertifikası gerekir. Nasıl SSL veya TLS Sertifikası alırsınız? Okumaya devam et.

Daha fazla okuma: Bazı popüler web uygulamaları, kullanıcı ayarlarınızda HTTPS'yi seçmenize izin verir. Şu konu hakkındaki yazıları okuyun: Facebook, Gmail, ve heyecan.

SSL Sertifikası nedir ve nasıl alabilirim?

HTTPS'yi kullanabilmek için web sunucunuzda bir SSL sertifikası veya TLS sertifikası yüklü olmalıdır. SSL / TLS sertifikası, web siteniz için bir çeşit fotoğraflı kimliktir. HTTPS kullanan bir tarayıcı web sayfanıza eriştiğinde, istemci bilgisayarın SSL sertifikası istediği bir "el sıkışma" gerçekleştirir. SSL sertifikası daha sonra sunucunun söylediği kişi olduğunu doğrulayan güvenilir bir sertifika yetkilisi (CA) tarafından doğrulanır. Her şey kontrol edilirse, web ziyaretçiniz güven verici yeşil onay işareti veya kilit simgesini alır. Bir şeyler ters giderse, web tarayıcısından sunucunun kimliğinin onaylanamadığını belirten bir uyarı alırlar.

SSL Sertifikası için Alışveriş Yapma

Web sitenize bir SSL sertifikası yüklemek söz konusu olduğunda, karar verilecek çok sayıda parametre vardır. En önemlilerini gözden geçirelim:

Sertifika yetkilisi

Sertifika yetkilisi (CA), SSL sertifikanızı veren şirkettir ve bir ziyaretçi web sitenize her geldiğinde sertifikanızı doğrulayacak olan şirkettir. Her bir SSL sertifika sağlayıcısı fiyat ve özelliklerle rekabet edecek olsa da, veterinerlik yaparken göz önünde bulundurulması gereken bir numaralı şey sertifika yetkilileri, en popüler web'de önceden yüklenmiş olarak gelen sertifikalara sahip olup olmadıklarıdır tarayıcılar. SSL sertifikanızı veren sertifika yetkilisi bu listede yoksa, kullanıcıdan sitenin güvenlik sertifikasına güvenilmediğini belirten bir uyarı verilir. Tabii ki, bu web sitenizin gayri meşru olduğu anlamına gelmez - sadece CA'nızın listede olmadığı anlamına gelir (henüz). Bu bir sorundur, çünkü çoğu kullanıcı uyarıyı okumaya veya tanınmayan CA'yı araştırmaya zahmet etmeyecektir. Muhtemelen sadece tıklayacaklardır.

Neyse ki, büyük tarayıcılarda önceden yüklenmiş CA'ların listesi oldukça büyük. Bazı büyük marka isimlerinin yanı sıra daha az bilinen ve daha uygun fiyatlı CA'lar içerir. Hanehalkı isimleri Verisign, Git Baba, Comodo, Thawte, Geotrust'tır, ve emanet etmek.

Hangi sertifika yetkililerinin önceden yüklendiğini görmek için kendi tarayıcınızın ayarlarına da bakabilirsiniz.

• Chrome için Ayarlar -> Gelişmiş ayarları göster… -> Sertifikaları Yönet'e gidin.
• Firefox için Seçenekler -> Gelişmiş -> Sertifikaları Görüntüle seçeneklerini belirleyin.
• IE için, İnternet Seçenekleri -> İçerik -> Sertifikalar.
• Safari için Finder'a gidin ve Git -> Yardımcı Programlar -> KeyChain Erişimi'ni seçin ve Sistem'i tıklayın.

Hızlı başvuru için, Google Checkout için kabul edilebilir SSL sertifikaları.

Alan Adı Doğrulaması vs. Genişletilmiş Doğrulama

SSL sertifikası, bilgi gönderdiğiniz web sitesinin kimliğini kanıtlamak içindir. İnsanların doğru bir şekilde kontrol etmedikleri alanlar için sahte SSL sertifikaları almadığından emin olmak için, sertifika yetkilisi, sertifikayı isteyen kişinin gerçekten alan adının sahibi olduğunu doğrular adlandırın. Genellikle bu, bir web sitesinin size hesap onay bağlantısı içeren bir e-posta gönderdiğinde olduğu gibi hızlı bir e-posta veya telefon görüşmesi doğrulaması yoluyla yapılır. Buna bir alan adı doğrulandı SSL sertifikası. Bunun yararı, SSL sertifikalarının hemen verilmesine izin vermesidir. Muhtemelen bu blog gönderisini okumanız için gereken süreden daha kısa sürede alan adı onaylı SSL sertifikası alabilirsiniz. Alan adı onaylı SSL sertifikası ile asma kilit ve web sitenizin trafiğini şifreleme olanağına sahip olursunuz.

Etki alanı onaylı SSL sertifikasının avantajları, hızlı, kolay ve ucuz olmalarıdır. Bu onların dezavantajı. Tahmin edebileceğiniz gibi, otomatik bir sistemi göz kırpmak, canlı insanlar tarafından çalıştırılan sistemden daha kolaydır. Bir çeşit lise çocuğu, Barack Obama olduğunu ve hükümet tarafından verilen bir kimlik almak istediğini söyleyerek DMV'ye girmiş gibi. Masadaki kişi ona bir göz atar ve Fed'leri (veya loony kutusu) arar. Ama eğer fotoğraflı kiosk kullanan bir robot olsaydı, şansı olabilir. Benzer şekilde, kimlik avcıları alan adı doğrulama sistemlerini kandırarak Paypal, Amazon veya Facebook gibi web siteleri için "sahte kimlikler" alabilirler. 2009 yılında, Dan Kaminsky bir yol örneği yayınladı sertifika almak için CA'ları dolandır kimlik avı web sitesini güvenli ve meşru bir bağlantı gibi gösterecektir. Bir insan için, bu aldatmaca tespit etmek kolay olurdu. Ancak o sırada otomatik alan adı doğrulaması, böyle bir şeyi önlemek için gerekli kontrollerden yoksundu.

SSL ve etki alanı onaylı SSL sertifikalarının güvenlik açıklarına yanıt olarak, sektör Genişletilmiş Doğrulama belgesi. EV SSL sertifikası almak için şirketinizin veya kuruluşunuzun aşağıdakileri sağlamak için titiz bir şekilde denetlenmesi gerekir: hükümetinizle iyi durumda olduğunu ve uyguladığınız alanı doğru bir şekilde kontrol ettiğini için. Bu kontroller, diğerlerinin yanı sıra, bir insan unsuru gerektirir ve bu nedenle daha uzun sürer ve daha pahalıdır.

Bazı endüstrilerde EV sertifikası gerekir. Ancak diğerleri için, fayda yalnızca ziyaretçilerinizin tanıyacağı kadar ileri gider. Günlük web ziyaretçileri için fark çok ince. Asma kilit simgesine ek olarak, adres çubuğu yeşile döner ve şirketinizin adını görüntüler. Daha fazla bilgi için tıklatırsanız, yalnızca web sitesinin değil, şirketin kimliğinin de doğrulandığını görürsünüz.

Aşağıda normal bir HTTPS sitesi örneği:

İşte EV sertifikası HTTPS sitesine bir örnek:

Sektörünüze bağlı olarak bir EV sertifikası buna değmeyebilir. Ayrıca, bir işletme veya kuruluş olmanız gerekir. Büyük şirketler EV sertifikasyonuna yönelmekle birlikte, HTTPS sitelerinin çoğunun hala EV dışı lezzeti kullandığını göreceksiniz. Google, Facebook ve Dropbox için yeterince iyiyse, belki de sizin için yeterince iyidir.

Bir şey daha var: yol seçeneğinin ortasında bir onaylanmış kuruluş veya iş doğrulandı belgelendirme. Bu, otomatik alan adı doğrulamasından daha kapsamlı bir denetleme yöntemidir, ancak sektörle tanışmak kadar ileri gitmez Genişletilmiş Doğrulama sertifikası için düzenlemeler (Genişletilmiş Doğrulamanın nasıl büyük harfle ve "kurumsal doğrulama "değil mi?). Bir OV veya işletme tarafından onaylanmış sertifikalandırma daha pahalıya mal olur ve daha uzun sürer, ancak size yeşil adres çubuğunu ve şirket kimliği doğrulanmış bilgileri sağlamaz. Açıkçası, bir OV sertifikası için ödeme yapmak için bir neden düşünemiyorum. Birini düşünebilirseniz, lütfen yorumlarda beni aydınlatın.

Paylaşılan SSL ile karşılaştırması Özel SSL

Bazı web barındırıcıları, genellikle özel bir SSL'den daha uygun fiyatlı paylaşılan bir SSL hizmeti sunar. Fiyattan başka, paylaşılan bir SSL'nin avantajı, özel bir IP adresi veya özel bir ana bilgisayar almanıza gerek olmamasıdır. Dezavantajı, kendi alan adınızı kullanamamanızdır. Bunun yerine, sitenizin güvenli kısmı aşağıdaki gibi olacaktır:

https://www.hostgator.com/~yourdomain/secure.php

Bunu özel bir SSL adresiyle karşılaştırın:

https://www.yourdomain.com/secure.php

E-ticaret siteleri ve sosyal ağ siteleri gibi halka açık siteler için bu, ana siteden yönlendirilmiş gibi göründüğünüz için açık bir şekilde sürüklenecektir. Ancak, genellikle bir posta sisteminin veya yönetici alanının iç kısımları gibi genel halk tarafından görülmeyen alanlar için, paylaşılan bir SSL iyi bir anlaşma olabilir.

Güven Mühürleri

Birçok sertifika yetkilisi, sertifikalarından birine kaydolduktan sonra web sayfanıza güven damgası koymanıza izin verir. Bu, tarayıcı penceresindeki asma kilit tıklatmayla hemen hemen aynı bilgileri verir, ancak daha yüksek görünürlükle. Güven mührü eklemek gerekmez ve güvenliğinizi artırmaz, ancak ziyaretçilerinize SSL sertifikasını kimin verdiğini bilen sıcak tüyler verirse, kesinlikle oraya atın.

Wildcard SSL Sertifikaları

SSL sertifikası bir alanın kimliğini doğrular. Dolayısıyla, birden fazla alt alanda HTTPS olmasını istiyorsanız (ör. Groovypost.com, mail.groovypost.com ve answers.groovypost.com—Üç farklı SSL sertifikası satın almanız gerekir. Belirli bir noktada, joker karakterli SSL sertifikası daha ekonomik hale gelir. Yani, bir alan adını ve tüm alt alan adlarını kapsayan bir sertifika, yani * .groovypost.com.

Garantiler

Bir şirketin itibarının ne kadar uzun sürerse sürsün, güvenlik açıkları vardır. Güvenilir CA'lar bile bilgisayar korsanları tarafından hedeflenebilir. 2010 yılında bildirilmeyen VeriSign ihlali. Ayrıca, bir CA’nın güvenilir listedeki durumu, DigiNotar Snafu 2011 yılında. Bir şeyler olur.

SSL ahlaksızlığının bu tür rastgele eylemlerinin potansiyeli üzerindeki herhangi bir tedirginliği kabul etmek için, birçok CA artık garanti veriyor. Kapsama alanı birkaç bin dolar ile bir milyon dolar arasında değişir ve sertifikanızın kötüye kullanılmasından veya diğer aksaklıklardan kaynaklanan kayıpları içerir. Bu garantilerin gerçekten değer katıp katmadığı veya hiç kimse başarılı bir şekilde hak talebinde bulunup bulunmadığı hakkında hiçbir fikrim yok. Ama sizin dikkatiniz için oradalar.

Ücretsiz SSL Sertifikaları ve Kendinden İmzalı SSL Sertifikaları

İki tür ücretsiz SSL sertifikası vardır. Önceden özel bir test ve geçerli bir Sertifika Yetkilisi tarafından yayınlanan halka açık SSL Sertifikaları için kullanılan, kendinden imzalı. İyi haber, 2018'de, her ikisinden% 100 ücretsiz, geçerli 90 günlük SSL sertifikası almak için birkaç seçenek var. Ücretsiz SSL veya Şifreleyelim. Ücretsiz SSL, Let Let Encrypt API için bir GUI'dir. SSL for Free sitesinin avantajı, güzel bir GUI'ye sahip olması nedeniyle kullanımı basit olmasıdır. Bununla birlikte, Let's Encrypt, onlardan SSL sertifikaları talep etmeyi tamamen otomatikleştirebileceğiniz için iyi. Birden çok web sitesi / sunucu için SSL sertifikalarına ihtiyacınız varsa idealdir.

Kendinden imzalı bir SSL sertifikası sonsuza dek ücretsizdir. Kendinden imzalı bir sertifika ile, kendi CA'nızsınız. Ancak, web tarayıcılarında yerleşik olarak bulunan güvenilir CA'lar arasında olmadığınız için, ziyaretçiler yetkilinin işletim sistemi tarafından tanınmadığına dair bir uyarı alır. Bu nedenle, söylediğiniz kişi olduğunuza dair hiçbir güvence yoktur (kendinize bir fotoğraflı kimlik vermek ve içki dükkanında dağıtmaya çalışmak gibi). Ancak, kendinden imzalı bir SSL sertifikasının yararı, web trafiği için şifrelemeye olanak vermesidir. Uyarı mesajından kurtulmak ve İnternet üzerinden güvenli bir bağlantı üzerinde çalışmak için personelinizin kuruluşunuzu güvenilir bir CA olarak eklemesini sağlayabileceğiniz dahili kullanım için iyi olabilir.

Kendinden imzalı bir SSL sertifikası oluşturma talimatları için aşağıdaki belgelere bakın: OpenSSL. (Veya yeterli talep varsa, bir eğitim yazacağım.)

SSL Sertifikası Yükleme

SSL sertifikanızı satın aldıktan sonra, web sitenize yüklemeniz gerekir. İyi bir web barındırma bunu sizin için sunacak. Hatta bazıları sizin için satın almak kadar ileri gidebilir. Çoğu zaman bu, faturalandırmayı basitleştirdiği ve web sunucunuz için düzgün bir şekilde ayarlandığından emin olduğu için gitmenin en iyi yoludur.

Yine de, her zaman kendi başına satın aldığınız bir SSL sertifikası yükleme seçeneğiniz vardır. Bunu yaparsanız, web barındırıcınızın bilgi bankasına danışmaya veya bir yardım masası bileti açmaya başlamak isteyebilirsiniz. Sizi SSL sertifikanızı yüklemek için en iyi talimatlara yönlendirirler. CA tarafından sağlanan talimatlara da başvurmalısınız. Bunlar, size burada verebileceğim herhangi bir genel tavsiyeden daha iyi rehberlik edecektir.

Bir SSL sertifikası yüklemek için aşağıdaki talimatları da kontrol etmek isteyebilirsiniz:

• SSL Sertifikası Yükleme ve Etki Alanını cPanel'de Kurma
• IIS'de SSL nasıl uygulanır (Windows Server)
• Apache SSL / TLS Şifrelemesi

Bu talimatların tümü bir SSL Sertifikası İmzalama İsteği (CSR) oluşturulmasını içerecektir. Aslında, yalnızca bir SSL sertifikası almak için bir CSR'ye ihtiyacınız olacaktır. Yine, web barındırma bu konuda size yardımcı olabilir. CSR oluşturma hakkında daha spesifik DIY bilgileri için bu yazıyı inceleyin DigiCert.

HTTPS'nin Artıları ve Eksileri

HTTPS'nin profesyonellerini çoktan kurduk: güvenlik, güvenlik, güvenlik. Bu sadece veri ihlali riskini azaltmakla kalmaz, aynı zamanda güveni de aşılar ve web sitenize itibar kazandırır. Bilgili müşteriler, " http://” giriş sayfasında.

Ancak, HTTPS için bazı eksileri vardır. Belirli türdeki web siteleri için HTTPS'nin gerekliliği göz önüne alındığında, bunları “Eksilerinegatifler değil.

• HTTPS'nin maliyeti. Yeni başlayanlar için, yıllık geçerliliği sağlamak için SSL sertifikanızı satın alma ve yenileme maliyeti vardır. Ancak HTTPS için, özel bir IP adresi veya paylaşılan bir barındırma paketinden daha maliyetli olabilecek özel bir barındırma planı gibi belirli “sistem gereksinimleri” de vardır.
• HTTPS sunucu yanıtını yavaşlatabilir. SSL / TLS ile ilgili olarak, sayfa yükleme hızlarınızı yavaşlatabilecek iki sorun vardır. İlk olarak, web sitenizle ilk kez iletişim kurmaya başlamak için kullanıcının tarayıcısının gitmesi gerekir onaylamak için sertifika yetkilisinin web sitesine geri dönen el sıkışma işlemi aracılığıyla belgesi. CA’nın web sunucusu yavaş çalışıyorsa, sayfanızı yüklerken gecikme olur. Bu büyük ölçüde sizin kontrolünüz dışında. İkincisi, HTTPS daha fazla işlem gücü gerektiren şifreleme kullanır. Bu, içeriğinizi bant genişliği için optimize ederek ve sunucunuzdaki donanımı yükselterek ele alınabilir. CloudFlare SSL'nin web sitenizi nasıl ve neden yavaşlatabileceğine dair iyi bir blog yazısı vardır.
• HTTPS SEO çabalarını etkileyebilir HTTP'den HTTPS'ye geçiş yaptığınızda; yeni bir web sitesine geçiyorsunuz. Örneğin, https://www.groovypost.com ile aynı olmaz http://www.groovypost.com. Değerli bağlantı suyunu kaybetmemek için eski bağlantılarınızı yeniden yönlendirdiğinizden ve sunucunuzun başlığı altında uygun kuralları yazdığınızdan emin olmanız önemlidir.
• Karışık içerik sarı bayrak atabilir. Bazı tarayıcılarda, bir web sayfasının ana bölümünün HTTPS'den yüklendiği halde resimler ve diğer öğeler (ör. stil sayfaları veya komut dosyaları) bir HTTP URL'sinden yüklendiğinde, sayfanın güvenli olmadığını içerdiğini belirten bir açılır pencere görüntülenebilir içeriği. Tabii ki, biraz güvenli içerik, bir pop-up ile sonuçlanmasa bile, hiçbirine sahip olmaktan iyidir. Ancak yine de, sayfalarınızda "karışık içerik" bulunmamasını sağlamak faydalı olabilir.
• Bazen üçüncü taraf bir ödeme işlemcisi almak daha kolaydır. Google Checkout, Paypal veya Amazon tarafından Checkout'un ödemelerinizi gerçekleştirmesine izin vermekten utanmazsınız. Yukarıdakilerin tümü kavga etmek için çok fazla görünüyorsa, müşterilerinizin Paypal’ın güvenli sitesinde veya Google’ın güvenli sitesinde ödeme bilgileri alışverişine izin verebilir ve sorunu kendinizden kurtarabilirsiniz.

HTTPS ve SSL / TLS sertifikaları hakkında başka sorularınız veya yorumlarınız mı var? Yorumlarda dinleyeyim.