Defaults.Exposed

Defaults.ExposedПоправки › Здраве на TLS сертификата

Как да поправите Здраве на TLS сертификата

Вашият SSL/TLS сертификат е дигиталната лична карта, която доказва, че посетителят наистина говори с вашия уебсайт — а не с измамник — и захранва катинара в браузъра. Тази проверка разглежда дали сертификатът е валиден и доверен, дали не предстои да изтече и дали е изграден със силна, съвременна криптография.

Заключение за вашия бизнес: Счупен или изтекъл сертификат замества вашия уебсайт с пълноекранно червено предупреждение 'Вашата връзка не е частна' в Всеки браузър. Повечето посетители напускат незабавно и не се връщат — онлайн продажбите спират, регистрациите спират и връзката, трябвало да бъде частна, може да бъде тихо прихваната.

Какво може да ви струва това

Защо има значение. Сертификатът е единственото най-видимо парче от сигурността на вашия уебсайт — когато е здрав, е невидим, и когато се счупи, сваля целия ви сайт с плашещо предупреждение, което изпраща клиентите директно при конкурентите. Изтичането на сертификат е причина номер едно за неочаквани прекъсвания на уебсайтове и е напълно предотвратимо. Получаването на валиден сертификат е безплатно, а поддържането му здрав е предимно въпрос на автоматично подновяване.

Какво е това, с прости думи

Когато някой посещава вашия уебсайт, трябва да се случат две неща, за да се чувства безопасно да въведе парола или номер на карта. Първо, връзката трябва да бъде криптирана, за да не могат непознати да я четат. Второ — и тази е частта, която хората забравят — браузърът на посетителя трябва да е сигурен, че на другия край наистина е вашият уебсайт, а не измамник, който е настроил убедителна фалшификация. Нещото, което прави и двете задачи, е вашият TLS сертификат (често наричан „SSL сертификат”).

Мислете за него като за документ за самоличност, устойчив на фалшифициране, за вашия домейн. Призната власт го издава, маркиран е с вашето ниме на домейн и дата на изтичане и носи криптографския ключ, скремблиращ връзката. Когато всичко се провери, браузърът показва катинара и сайтът ви се зарежда нормално. Когато нещо е грешно с лентата за самоличност, браузърът прави обратното на успокояване на вашия посетител — хвърля пълноекранно предупреждение, което казва в голи линии: „Този сайт може да не е безопасен.”

Тази проверка разглежда здравето на тази лента за самоличност в четири неща, всяко от които независимо го счупва:

Добрата новина предварително: получаването на здрав сертификат е безплатно и поддържането му здрав е предимно свързано с автоматично подновяване, за да не се налага никой човек да помни.

Какво може да ви струва това

Какво всъщност е (четирите части)

Сертификатът може да е нездравословен по четири различни начина и тази страница обхваща всички тях. Всяка е отделна проверка под капака, но за вас те са „сертификатът ми наред ли е?“

1. Валиден и доверен

Това е голямото — и единствената part от здравето на сертификата, която е критична проверка с максимално тегло. Сертификатът е „валиден и доверен” само когато всичко следно е вярно:

Ако което и да е от тях се провали, браузърите показват страховитата страница „Вашата връзка не е частна” и тази проверка се проваля силно. Добро изглежда като: сертификат от призната власт, обхващащ всеки домейн и поддомейн, реално използван от вас, удобно в рамките на неговите дати.

2. Не е на път да изтече

Всеки сертификат има твърда крайна дата. Безплатните обикновено продължават 90 дни; платените често по година. След датата доверието изчезва незабавно — няма гратисен период. Тази проверка измерва колко дни са останали и как това взаимодейства с кой го е издал:

Добро изглежда като: автоматично управляван сертификат, подновяващ се без никой да го докосва. Единственият най-надежден начин никога да нямате прекъсване поради изтичане е да направите машина, а не човек, отговорна за подновяването.

3. Силен алгоритъм за подпис

Всеки сертификат е „подписан” с криптографски алгоритъм, позволяващ на браузърите да открият фалшифициране. Старите алгоритми — MD5 и SHA-1 — са доказано фалшифицируеми, означавайки, че нападателят може по принцип да изработи измамен сертификат, изглеждащ легитимно ваш. Тази проверка преминава когато сертификатът използва силен, съвременен подпис: SHA-256 или по-силен (SHA-384, SHA-512), съвременен ECDSA или Ed25519/Ed448. MD5 и SHA-1 се провалят. Добро изглежда като: SHA-256 или по-добро — което е по подразбиране на всеки безплатен и съвременен сертификат, така че рядко е проблем на нещо издадено напоследък.

4. Силен ключ

Сертификатът носи криптографски ключ, вършещ реалното скремблиране. Ако той е твърде кратък, съвременната изчислителна мощност може — при достатъчно ресурси — да го пробие, позволявайки на нападателя да имперсонира вашия сайт или да дешифрира трафика. Приетите минимуми са 2048-битов RSA или 256-битов елиптична крива (EC). Тази проверка преминава при тези размери или по-големи и се проваля под тях. Добро изглежда като: 2048-битов (или 4096-битов) RSA или 256-битов EC ключ като P-256 — отново, по подразбиране на съвременни безплатни сертификати.

Бележка относно последните три: валиден-и-доверен е критичният, задвижващ страницата с предупреждение. Силата на подписа и ключа са за бъдеща устойчивост и одити — скорошен безплатен сертификат почти винаги ги преминава автоматично, но те са нещата, което проверката за сигурност ще провери, така че си заслужава да се направят правилно.

Как да го поправите (безплатно, ~15 минути)

Предайте този раздел на когото управлява вашия уебсайт или хостинг — поправката е безплатна. Валиден, силен, автоматично подновяващ се сертификат не струва нищо чрез Let’s Encrypt или всеки съвременен хост. Ние таксуваме само за мониторинг, че остава здрав с течение на времето, не за поправянето му. Ако нямате IT специалист, бележките за платформата по-долу ще доведат повечето собственици до там.

Стъпка 1 — Вземете (или сменете) сертификата с безплатен, доверен. Тази единична стъпка поправя валидността, подписа и силата на ключа наведнъж, тъй като съвременните безплатни сертификати използват SHA-256 и силни ключове по подразбиране.

Стъпка 2 — Направете подновяването автоматично, за да не изтича никога повече. Тази стъпка предотвратява сценария с прекъсване в уикенда.

Стъпка 3 — Уверете се, че обхваща правилните нимена. Най-честата причина за „валиден, но предупреждение” е несъответствие на нимената. Сертификатът трябва да обхваща всяко ниме, действително използвано от клиентите — голия домейн, www и всякакви поддомейни като shop. или app.. При генериране на сертификат включете всяко (wildcard като *.yourbiz.com обхваща всички поддомейни в едно).

Стъпка 4 — Ако само силата на подписа или ключа е маркирана, просто преиздайте. Не е нужно да купувате нищо: генерирайте нов сертификат (Стъпка 1) и новият ще използва SHA-256 и силен ключ автоматично. На собствения си сървър можете да закачите изрично съвременен ключ — например openssl ecparam -genkey -name prime256v1 -out server.key за EC или openssl genrsa -out server.key 4096 за RSA — след което преиздайте.

Стъпка 5 — Проверете, след това проверете повторно тук. Потвърдете датите, издателя и ключа с бърза команда — echo | openssl s_client -servername yourbiz.com -connect yourbiz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — след което стартирайте тази проверка отново.

Чести грешки

ЧЗВ

Не съм технически — мога ли да се справя с това сам?

Нямате нужда да разбирате криптографията. Валиден сертификат е безплатен (чрез Let's Encrypt и повечето съвременни хостове) и при управляван хостинг обикновено е автоматичен. Предайте раздела 'Как да го поправите' по-долу на когото управлява вашия уебсайт или хостинг — за огромното мнозинство от бизнесите това е бърза, безплатна работа, а не покупка.

Сайтът ми показва катинар — не означава ли това, че сертификатът ми е наред?

Катинарът означава само, че в момента съществува сигурна връзка. Не ви казва, че сертификатът е на път да изтече, че е изграден на силен ключ или че ще бъде доверен от браузърите утре. Тази проверка гледа зад катинара на четирите неща, които всъщност го поддържат осветен: валиден ли е и доверен ли е сертификатът, предстои ли му изтичане, подписан ли е с силен алгоритъм и достатъчно силен ли е ключът му.

Трябва ли да плащам за SSL сертификат?

Не. Безплатните сертификати от Let's Encrypt (и вградени в Cloudflare, cPanel AutoSSL и повечето съвременни хостинги) са доверени от всеки браузър и са абсолютно толкова сигурни, колкото платените. Платените сертификати главно купуват договори за поддръжка, гаранции или значки за разширена валидация — нито едно от тях не влияе дали вашият сайт е криптиран или доверен. Ние никога не таксуваме за поправяне на това; таксуваме само за мониторинг, че остава здрав.

Как може сертификатът да 'изтече' — и защо това сваля сайта ми?

Всеки сертификат има фиксирана крайна дата (често 90 дни за безплатните). След тази дата браузърите отказват да му се доверят и показват пълностранично предупреждение вместо вашия сайт. Не е постепенен спад — работи перфектно до крайния срок, след което се счупва напълно. Затова автоматичното подновяване е толкова важно: то премахва човека, който иначе би забравил.

Какво е 'самоподписан' сертификат и защо се проваля?

Самоподписан сертификат е такъв, издаден от вас самите, а не получен от призната власт. Той криптира връзката, но нищо не гарантира, че наистина сте вие — така браузърите го третират като ненадежден и предупреждават посетителите, точно както биха го направили за фалшив сертификат на нападател. За публичен уебсайт винаги искате такъв от доверена власт, което е безплатно.

Какво означава 'слаб ключ' и 'слаб алгоритъм за подпис' за моя бизнес?

И двете са начини сертификатът да е технически валиден днес, но криптографски крехък. Слаб ключ (под 2048-битов RSA или 256-битов EC) може по принцип да бъде пробит, позволявайки на нападател да имперсонира вашия сайт. Слаб подпис (SHA-1 или MD5) може да бъде фалшифициран, за да се създаде убедителен фалшив сертификат. Съвременните безплатни сертификати използват силни ключове и подписи по подразбиране, така че поправката почти винаги е просто преиздаване — без разходи.