Defaults.Exposed › Поправки › Здраве на TLS сертификата
Как да поправите Здраве на TLS сертификата
Вашият SSL/TLS сертификат е дигиталната лична карта, която доказва, че посетителят наистина говори с вашия уебсайт — а не с измамник — и захранва катинара в браузъра. Тази проверка разглежда дали сертификатът е валиден и доверен, дали не предстои да изтече и дали е изграден със силна, съвременна криптография.
Заключение за вашия бизнес: Счупен или изтекъл сертификат замества вашия уебсайт с пълноекранно червено предупреждение 'Вашата връзка не е частна' в Всеки браузър. Повечето посетители напускат незабавно и не се връщат — онлайн продажбите спират, регистрациите спират и връзката, трябвало да бъде частна, може да бъде тихо прихваната.
Какво може да ви струва това
- Вашият сертификат тихо изтича през уикенда; до понеделник всеки посетител вижда пълностраничен сигнал за сигурност, вашите плащания и формуляри за контакт не работят и губите продажби за всеки час, докато не забележите и подновите.
- Клиент, плащащ над WiFi в кафе или хотел, получава предупреждение, че вашият сертификат не съответства на вашия домейн — те предполагат, че сайтът ви е фалшив или хакнат, изоставят покупката и казват на другите, че е изглеждал 'съмнителен'.
- IT екипът на по-голям клиент прави предварителна договорна проверка за сигурност, вижда самоподписан или ненадежден сертификат и ви маркира като риск — сделката спира заради нещо, което не струва нищо за поправяне.
- Вашият сертификат използва остарял метод за подписване или слаб ключ; съвременните браузъри започват да показват предупреждения и проверка за сигурност ви оценява ниско за криптография, извадена от препоръчания списък отпреди години.
- Приемате плащания с карта и вашият доставчик на плащания ви одитира повторно; слаб ключ или изтекъл сертификат нарушава правилата за сигурност на плащанията и вашето онлайн плащане е замразено, докато не се коригира.
Защо има значение. Сертификатът е единственото най-видимо парче от сигурността на вашия уебсайт — когато е здрав, е невидим, и когато се счупи, сваля целия ви сайт с плашещо предупреждение, което изпраща клиентите директно при конкурентите. Изтичането на сертификат е причина номер едно за неочаквани прекъсвания на уебсайтове и е напълно предотвратимо. Получаването на валиден сертификат е безплатно, а поддържането му здрав е предимно въпрос на автоматично подновяване.
Какво е това, с прости думи
Когато някой посещава вашия уебсайт, трябва да се случат две неща, за да се чувства безопасно да въведе парола или номер на карта. Първо, връзката трябва да бъде криптирана, за да не могат непознати да я четат. Второ — и тази е частта, която хората забравят — браузърът на посетителя трябва да е сигурен, че на другия край наистина е вашият уебсайт, а не измамник, който е настроил убедителна фалшификация. Нещото, което прави и двете задачи, е вашият TLS сертификат (често наричан „SSL сертификат”).
Мислете за него като за документ за самоличност, устойчив на фалшифициране, за вашия домейн. Призната власт го издава, маркиран е с вашето ниме на домейн и дата на изтичане и носи криптографския ключ, скремблиращ връзката. Когато всичко се провери, браузърът показва катинара и сайтът ви се зарежда нормално. Когато нещо е грешно с лентата за самоличност, браузърът прави обратното на успокояване на вашия посетител — хвърля пълноекранно предупреждение, което казва в голи линии: „Този сайт може да не е безопасен.”
Тази проверка разглежда здравето на тази лента за самоличност в четири неща, всяко от които независимо го счупва:
- Валиден ли е и доверен ли е? — издаден от призната власт, съвпадащ с точния ви домейн, не самоподписан и не изтекъл.
- На път ли е да изтече? — защото сертификат, чийто срок изтича, сваля целия ви сайт.
- Подписан ли е с силен метод? — старите алгоритми за подпис могат да бъдат фалшифицирани.
- Достатъчно силен ли е ключът му? — слаб ключ може по принцип да бъде пробит.
Добрата новина предварително: получаването на здрав сертификат е безплатно и поддържането му здрав е предимно свързано с автоматично подновяване, за да не се налага никой човек да помни.
Какво може да ви струва това
-
Прекъсването в уикенда. Сертификатът тихо достига датата си на изтичане в петък вечерта. Подновяването, трябвало да се изпълни, не е (сървърът се е преместил, скрипт се е счупил, никой не е забелязал). До събота сутринта всеки посетител — и всеки Google индексатор — вижда пълностранично червено предупреждение вместо началната ви страница. Магазинът ви е затворен и вие дори не знаете. Техническата поправка отнема минути; изгубеният уикенд от продажби и клиентите, решили, че „сте спрели дейността”, не се връщат.
-
Изоставеното плащане. Клиент купува от телефона си в хотелски WiFi. Вашият сертификат не съвсем съвпада с домейна, който са въвели (да речем, обхваща
shop.yourbiz.com, но не и голотоyourbiz.com, което са използвали). Браузърът ги предупреждава, че сайтът „може да имперсонира” вашия. За нетехнически купувач това се чете като измама — те затварят раздела и вие никога не разбирате, че продажбата е съществувала. -
Спрелият договор. Екипът за сигурност на по-голям потенциален клиент прави рутинно сканиране преди подписване. Резултатът показва самоподписан или ненадежден сертификат на един от поддомейните ви. Дори всичко друго да е наред, единственото червено знаме превръща бързото одобрение в двупосочна комуникация, която забавя сделката — заради проблем, за чието поправяне не се плаща нищо.
-
Бавно движещото се предупреждение. Вашият сертификат е технически валиден, но подписан с SHA-1, стар метод, от който браузърите се оттеглят. След обновяване на браузъра, дял от вашите посетители започват да виждат предупреждения, които не можете да воспроизведете на вашата собствена актуална машина. Поддръжката получава тикети, казващи, че сайтът „изглежда счупен” и не можете да разберете защо.
-
Провалът при спазване на изискванията. Приемате плащания с карта. По време на повторен одит проверките на вашия доставчик маркират слаб ключ или изтекъл сертификат. Правилата за сигурност на картите изискват силно, актуално криптиране — така онлайн плащанията ви се спират, докато не преиздадете, замразявайки приходите в най-неподходящия момент.
Какво всъщност е (четирите части)
Сертификатът може да е нездравословен по четири различни начина и тази страница обхваща всички тях. Всяка е отделна проверка под капака, но за вас те са „сертификатът ми наред ли е?“
1. Валиден и доверен
Това е голямото — и единствената part от здравето на сертификата, която е критична проверка с максимално тегло. Сертификатът е „валиден и доверен” само когато всичко следно е вярно:
- Издаден е от призната сертифицираща власт, на която браузърите вече се доверяват (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon и т.н.).
- Съвпада с точния домейн, който посетителят използва — включително поддомейни. Сертификат за
www.yourbiz.com, обхващащ иyourbiz.com, ще предупреждава за голия домейн. - Не е самоподписан — т.е. не е такъв, издаден от вас самите, който криптира, но не доказва нищо за това кои сте.
- В момента е в рамките на своя период на дата — не изтекъл и не (странно, но се случва) датиран да започне в бъдещето.
- Верижката му на доверие е непрекъсната — властта, подписала го, сама е доверена, чак нагоре.
Ако което и да е от тях се провали, браузърите показват страховитата страница „Вашата връзка не е частна” и тази проверка се проваля силно. Добро изглежда като: сертификат от призната власт, обхващащ всеки домейн и поддомейн, реално използван от вас, удобно в рамките на неговите дати.
2. Не е на път да изтече
Всеки сертификат има твърда крайна дата. Безплатните обикновено продължават 90 дни; платените често по година. След датата доверието изчезва незабавно — няма гратисен период. Тази проверка измерва колко дни са останали и как това взаимодейства с кой го е издал:
- Ако вече е изтекъл или изтича в рамките на 7 дни, третира се като критично — признак, че подновяването е неуспешно.
- Ако изтича в рамките на 30 дни и не е автоматично управляван, това е предупреждение за подновяване сега.
- Ако е от автоматично подновяващ се доставчик (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL и подобни) с поне една останала седмица, преминава — защото се очаква да се поднови само преди крайния срок.
- Достатъчен резерв (90+ дни или автоматично управляван) е чисто преминаване.
Добро изглежда като: автоматично управляван сертификат, подновяващ се без никой да го докосва. Единственият най-надежден начин никога да нямате прекъсване поради изтичане е да направите машина, а не човек, отговорна за подновяването.
3. Силен алгоритъм за подпис
Всеки сертификат е „подписан” с криптографски алгоритъм, позволяващ на браузърите да открият фалшифициране. Старите алгоритми — MD5 и SHA-1 — са доказано фалшифицируеми, означавайки, че нападателят може по принцип да изработи измамен сертификат, изглеждащ легитимно ваш. Тази проверка преминава когато сертификатът използва силен, съвременен подпис: SHA-256 или по-силен (SHA-384, SHA-512), съвременен ECDSA или Ed25519/Ed448. MD5 и SHA-1 се провалят. Добро изглежда като: SHA-256 или по-добро — което е по подразбиране на всеки безплатен и съвременен сертификат, така че рядко е проблем на нещо издадено напоследък.
4. Силен ключ
Сертификатът носи криптографски ключ, вършещ реалното скремблиране. Ако той е твърде кратък, съвременната изчислителна мощност може — при достатъчно ресурси — да го пробие, позволявайки на нападателя да имперсонира вашия сайт или да дешифрира трафика. Приетите минимуми са 2048-битов RSA или 256-битов елиптична крива (EC). Тази проверка преминава при тези размери или по-големи и се проваля под тях. Добро изглежда като: 2048-битов (или 4096-битов) RSA или 256-битов EC ключ като P-256 — отново, по подразбиране на съвременни безплатни сертификати.
Бележка относно последните три: валиден-и-доверен е критичният, задвижващ страницата с предупреждение. Силата на подписа и ключа са за бъдеща устойчивост и одити — скорошен безплатен сертификат почти винаги ги преминава автоматично, но те са нещата, което проверката за сигурност ще провери, така че си заслужава да се направят правилно.
Как да го поправите (безплатно, ~15 минути)
Предайте този раздел на когото управлява вашия уебсайт или хостинг — поправката е безплатна. Валиден, силен, автоматично подновяващ се сертификат не струва нищо чрез Let’s Encrypt или всеки съвременен хост. Ние таксуваме само за мониторинг, че остава здрав с течение на времето, не за поправянето му. Ако нямате IT специалист, бележките за платформата по-долу ще доведат повечето собственици до там.
Стъпка 1 — Вземете (или сменете) сертификата с безплатен, доверен. Тази единична стъпка поправя валидността, подписа и силата на ключа наведнъж, тъй като съвременните безплатни сертификати използват SHA-256 и силни ключове по подразбиране.
- Cloudflare: в SSL/TLS → Преглед, задайте режима на Full (Strict). Cloudflare издава и автоматично подновява доверен крайен сертификат за вас; уверете се, че вашият оригинален сървър също има валиден сертификат, за да работи „Strict”.
- Google Workspace / Microsoft 365 хостинг или всеки cPanel хост: потърсете Статус SSL/TLS и стартирайте AutoSSL. Той провизира и подновява безплатни сертификати автоматично.
- Конструктори на сайтове (Squarespace, Wix, Shopify, съвременни WordPress хостове): SSL обикновено е включен по подразбиране — потвърдете, че е активиран в настройките на домейна/сигурността и обхваща и
yourbiz.com, иwww.yourbiz.com. - Вашият собствен Linux сървър (Nginx/Apache): инсталирайте Let’s Encrypt с Certbot —
sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com(или--apache). За съвременен EC ключ добавете--key-type ecdsa. Изброявайте всяко ниме, което обслужвате с-d, за да съвпада сертификатът с всички тях.
Стъпка 2 — Направете подновяването автоматично, за да не изтича никога повече. Тази стъпка предотвратява сценария с прекъсване в уикенда.
- На сървър с Let’s Encrypt потвърдете, че таймерът за подновяване е активен, и го тествайте:
sudo certbot renew --dry-run. Certbot обикновено инсталира автоматичен таймер; ако не, добавете дневно cron задание:0 3 * * * certbot renew --quiet. - На Cloudflare, cPanel AutoSSL и управляван/site-builder хостинг, подновяването се обработва за вас — няма нищо за планиране.
Стъпка 3 — Уверете се, че обхваща правилните нимена. Най-честата причина за „валиден, но предупреждение” е несъответствие на нимената. Сертификатът трябва да обхваща всяко ниме, действително използвано от клиентите — голия домейн, www и всякакви поддомейни като shop. или app.. При генериране на сертификат включете всяко (wildcard като *.yourbiz.com обхваща всички поддомейни в едно).
Стъпка 4 — Ако само силата на подписа или ключа е маркирана, просто преиздайте. Не е нужно да купувате нищо: генерирайте нов сертификат (Стъпка 1) и новият ще използва SHA-256 и силен ключ автоматично. На собствения си сървър можете да закачите изрично съвременен ключ — например openssl ecparam -genkey -name prime256v1 -out server.key за EC или openssl genrsa -out server.key 4096 за RSA — след което преиздайте.
Стъпка 5 — Проверете, след това проверете повторно тук. Потвърдете датите, издателя и ключа с бърза команда — echo | openssl s_client -servername yourbiz.com -connect yourbiz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — след което стартирайте тази проверка отново.
Чести грешки
- Третиране на „веднъж сме инсталирали SSL” като готово. Сертификатите изтичат по часовник. Без автоматично подновяване въпросът не е дали изтича, а кога — обикновено в най-неудобния момент.
- Обхват на
www, но не на голия домейн (или обратното). И двата трябва да са на сертификата, иначе единият хвърля предупреждение за несъответствие на нимена. Същият капан хваща нови поддомейни, добавени по-късно. - Оставяне на самоподписан сертификат на „тестов” поддомейн, който е публично достъпен. Криптира, така че се чувства сигурно — но браузърите (и скенерите за сигурност) го третират като ненадежден и е класически одитен червен флаг.
- Приемане, че платен означава по-безопасен. Безплатен Let’s Encrypt сертификат е точно толкова доверен и криптиран, колкото скъп. Плащането на повече не прави по-силен катинар.
- Подновяване на сертификата, но забравяне за презареждане на сървъра. Нов сертификат, лежащ на диска, не прави нищо, докато уеб сървърът не бъде презареден, за да го вземе — изненадващо честа причина за „поднових го, но все още показва изтекъл.”
- Автоматично подновяване, което тихо се е провалило. Задание за подновяване може да се счупи (преместен файл, DNS промяна, блокиран порт) и да продължи да „успява” тихо. Мониторингът на датата на изтичане — а не само на заданието за подновяване — е това, което всъщност хваща това, преди да ви ухапе.
ЧЗВ
Не съм технически — мога ли да се справя с това сам?
Нямате нужда да разбирате криптографията. Валиден сертификат е безплатен (чрез Let's Encrypt и повечето съвременни хостове) и при управляван хостинг обикновено е автоматичен. Предайте раздела 'Как да го поправите' по-долу на когото управлява вашия уебсайт или хостинг — за огромното мнозинство от бизнесите това е бърза, безплатна работа, а не покупка.
Сайтът ми показва катинар — не означава ли това, че сертификатът ми е наред?
Катинарът означава само, че в момента съществува сигурна връзка. Не ви казва, че сертификатът е на път да изтече, че е изграден на силен ключ или че ще бъде доверен от браузърите утре. Тази проверка гледа зад катинара на четирите неща, които всъщност го поддържат осветен: валиден ли е и доверен ли е сертификатът, предстои ли му изтичане, подписан ли е с силен алгоритъм и достатъчно силен ли е ключът му.
Трябва ли да плащам за SSL сертификат?
Не. Безплатните сертификати от Let's Encrypt (и вградени в Cloudflare, cPanel AutoSSL и повечето съвременни хостинги) са доверени от всеки браузър и са абсолютно толкова сигурни, колкото платените. Платените сертификати главно купуват договори за поддръжка, гаранции или значки за разширена валидация — нито едно от тях не влияе дали вашият сайт е криптиран или доверен. Ние никога не таксуваме за поправяне на това; таксуваме само за мониторинг, че остава здрав.
Как може сертификатът да 'изтече' — и защо това сваля сайта ми?
Всеки сертификат има фиксирана крайна дата (често 90 дни за безплатните). След тази дата браузърите отказват да му се доверят и показват пълностранично предупреждение вместо вашия сайт. Не е постепенен спад — работи перфектно до крайния срок, след което се счупва напълно. Затова автоматичното подновяване е толкова важно: то премахва човека, който иначе би забравил.
Какво е 'самоподписан' сертификат и защо се проваля?
Самоподписан сертификат е такъв, издаден от вас самите, а не получен от призната власт. Той криптира връзката, но нищо не гарантира, че наистина сте вие — така браузърите го третират като ненадежден и предупреждават посетителите, точно както биха го направили за фалшив сертификат на нападател. За публичен уебсайт винаги искате такъв от доверена власт, което е безплатно.
Какво означава 'слаб ключ' и 'слаб алгоритъм за подпис' за моя бизнес?
И двете са начини сертификатът да е технически валиден днес, но криптографски крехък. Слаб ключ (под 2048-битов RSA или 256-битов EC) може по принцип да бъде пробит, позволявайки на нападател да имперсонира вашия сайт. Слаб подпис (SHA-1 или MD5) може да бъде фалшифициран, за да се създаде убедителен фалшив сертификат. Съвременните безплатни сертификати използват силни ключове и подписи по подразбиране, така че поправката почти винаги е просто преиздаване — без разходи.