Defaults.Exposed › Διορθώσεις › Υγεία TLS πιστοποιητικού

Πώς να διορθώσετε Υγεία TLS πιστοποιητικού

Το SSL/TLS πιστοποιητικό σας είναι η ψηφιακή ταυτότητα που αποδεικνύει ότι ο επισκέπτης μιλά πραγματικά με τον ιστότοπό σας — όχι με απομίμηση — και τροφοδοτεί το λουκέτο στο πρόγραμμα περιήγησης. Αυτός ο έλεγχος εξετάζει αν αυτό το πιστοποιητικό είναι έγκυρο και αξιόπιστο, δεν πρόκειται να λήξει σύντομα, και κατασκευάστηκε με ισχυρή, σύγχρονη κρυπτογραφία.

Ουσία για την επιχείρησή σας: Ένα κατεστραμμένο ή ληγμένο πιστοποιητικό αντικαθιστά τον ιστότοπό σας με κόκκινη προειδοποίηση πλήρους οθόνης 'Η σύνδεσή σας δεν είναι ιδιωτική' σε κάθε πρόγραμμα περιήγησης. Οι περισσότεροι επισκέπτες φεύγουν αμέσως και δεν επιστρέφουν — οι ηλεκτρονικές πωλήσεις σταματούν, οι εγγραφές σταματούν, και η σύνδεση που υποτίθεται ότι ήταν ιδιωτική μπορεί να παρακολουθείται αθόρυβα.

Τι μπορεί να σας κοστίσει αυτό

Το πιστοποιητικό σας λήγει αθόρυβα ένα Σαββατοκύριακο· τη Δευτέρα κάθε επισκέπτης αντιμετωπίζει προειδοποίηση ασφαλείας πλήρους σελίδας, το ταμείο και οι φόρμες επικοινωνίας είναι νεκρά, και χάνετε πωλήσεις για κάθε ώρα που χρειάζεται να το παρατηρήσετε και να το ανανεώσετε.
Ένας πελάτης που πληρώνει μέσω Wi-Fi καφέ ή ξενοδοχείου λαμβάνει προειδοποίηση ότι το πιστοποιητικό δεν ταιριάζει με το domain σας — υποθέτει ότι ο ιστότοπός σας είναι ψεύτικος ή παραβιασμένος, εγκαταλείπει την αγορά, και λέει σε άλλους ότι «έδειχνε ύποπτος.»
Η ομάδα ΙΤ ενός μεγαλύτερου πελάτη εκτελεί σάρωση ασφαλείας πριν τη σύμβαση, βλέπει αυτο-υπογεγραμμένο ή μη αξιόπιστο πιστοποιητικό, και σας επισημαίνει ως κίνδυνο — η συμφωνία αργεί εξαιτίας κάτι που δεν κοστίζει τίποτα να διορθωθεί.
Το πιστοποιητικό σας χρησιμοποιεί παρωχημένη μέθοδο υπογραφής ή αδύναμο κλειδί· τα σύγχρονα προγράμματα περιήγησης αρχίζουν να εμφανίζουν προειδοποιήσεις, και μια ελεγκτική επιθεώρηση σας βαθμολογεί αρνητικά για κρυπτογραφία που βρίσκεται εκτός των συνιστώμενων λιστών εδώ και χρόνια.
Δέχεστε πληρωμές με κάρτα και ο πάροχος πληρωμών σας σας επανελέγχει· ένα αδύναμο κλειδί ή ληγμένο πιστοποιητικό σπάει τους κανόνες ασφαλείας πληρωμών και το ηλεκτρονικό ταμείο σας παγώνει μέχρι να διορθωθεί.

Γιατί έχει σημασία. Το πιστοποιητικό είναι το πιο ορατό κομμάτι ασφαλείας του ιστότοπού σας — όταν είναι υγιές είναι αόρατο, και όταν σπάει παίρνει μαζί του ολόκληρο τον ιστότοπό σας με ανησυχητική προειδοποίηση που οδηγεί πελάτες κατευθείαν σε ανταγωνιστές. Η λήξη πιστοποιητικού είναι η πρωταρχική αιτία απροσδόκητων διακοπών ιστότοπου, και είναι εντελώς αποτρέψιμη. Η απόκτηση έγκυρου πιστοποιητικού είναι δωρεάν, και η διατήρηση της υγείας του είναι κυρίως θέμα αυτόματης ανανέωσής του.

Τι είναι αυτό, σε απλά λόγια

Όταν κάποιος επισκέπτεται τον ιστότοπό σας, δύο πράγματα πρέπει να συμβούν ώστε να νιώσει ασφαλής να πληκτρολογήσει κωδικό ή αριθμό κάρτας. Πρώτον, η σύνδεση πρέπει να κρυπτογραφηθεί ώστε αγνώστοι να μην μπορούν να τη διαβάσουν. Δεύτερον — και αυτό είναι το μέρος που οι άνθρωποι ξεχνούν — το πρόγραμμα περιήγησης του επισκέπτη πρέπει να είναι σίγουρο ότι μιλά πραγματικά με τον δικό σας ιστότοπο στο άλλο άκρο, και όχι με απατεώνα που έχει στήσει πειστικό ψεύτικο. Αυτό που κάνει και τις δύο δουλειές είναι το TLS πιστοποιητικό σας (συχνά ονομάζεται «SSL πιστοποιητικό»).

Σκεφτείτε το ως ταυτότητα που δεν μπορεί να παραχαραχθεί για το domain σας. Αναγνωρισμένη αρχή το εκδίδει, φέρει το domain name σας και ημερομηνία λήξης, και κρατά το κρυπτογραφικό κλειδί που διαμελίζει τη σύνδεση. Όταν όλα ελέγχονται, το πρόγραμμα περιήγησης εμφανίζει το λουκέτο και ο ιστότοπος φορτώνει κανονικά. Όταν κάτι πάει στραβά με την ταυτότητα, το πρόγραμμα περιήγησης κάνει το αντίθετο — εμφανίζει προειδοποίηση πλήρους οθόνης που λέει, ουσιαστικά, «αυτός ο ιστότοπος μπορεί να μην είναι ασφαλής.»

Αυτός ο έλεγχος εξετάζει την υγεία αυτής της ταυτότητας σε τέσσερα πράγματα που το καθένα ανεξάρτητα μπορεί να τη σπάσει:

Είναι έγκυρο και αξιόπιστο; — εκδόθηκε από αναγνωρισμένη αρχή, αντιστοιχεί στο ακριβές domain σας, δεν είναι αυτο-υπογεγραμμένο, και δεν έχει λήξει.
Πρόκειται να λήξει; — επειδή ένα πιστοποιητικό που λήγει ρίχνει ολόκληρο τον ιστότοπό σας.
Υπογράφεται με ισχυρή μέθοδο; — παλαιοί αλγόριθμοι υπογραφής μπορούν να πλαστογραφηθούν.
Έχει ισχυρό κλειδί; — ένα αδύναμο κλειδί μπορεί, κατ’ αρχήν, να σπαστεί.

Τα καλά νέα εκ των προτέρων: η απόκτηση υγιούς πιστοποιητικού είναι δωρεάν, και η διατήρησή του στην υγεία του αφορά κυρίως το να το ανανεώνετε αυτόματα ώστε κανένας άνθρωπος να μην πρέπει να θυμάται.

Τι μπορεί να σας κοστίσει

Η διακοπή του Σαββατοκύριακου. Ένα πιστοποιητικό φτάνει αθόρυβα την ημερομηνία λήξης του αργά Παρασκευή. Η ανανέωση που υποτίθεται να εκτελεστεί δεν εκτελέστηκε. Το Σαββατοκύριακο κάθε επισκέπτης — και κάθε crawler Google — βλέπει κόκκινη προειδοποίηση πλήρους σελίδας αντί της αρχικής σελίδας σας. Το μαγαζί σας είναι κλειστό και δεν το ξέρετε καν.
Η εγκαταλελειμμένη ταμεία. Ένας πελάτης αγοράζει από το τηλέφωνό του σε Wi-Fi ξενοδοχείου. Το πιστοποιητικό σας δεν καλύπτει ακριβώς το domain που πληκτρολόγησε (π.χ. καλύπτει shop.yourbiz.com αλλά όχι το κενό yourbiz.com). Το πρόγραμμα περιήγησης τους προειδοποιεί ότι ο ιστότοπος «μπορεί να υποδύεται» τον δικό σας. Σε έναν μη τεχνικό αγοραστή αυτό διαβάζεται ως απάτη — κλείνουν την καρτέλα, και εσείς δεν γνωρίζετε ποτέ ότι η πώληση υπήρξε.
Η ανακοπείσα σύμβαση. Η ομάδα ασφαλείας ενός μεγαλύτερου υποψήφιου εκτελεί τακτική σάρωση πριν υπογράψουν. Επιστρέφει εμφανίζοντας αυτο-υπογεγραμμένο ή μη αξιόπιστο πιστοποιητικό σε ένα από τα υποdomains σας. Αυτή η μόνη κόκκινη σημαία μετατρέπει μια γρήγορη έγκριση σε πίσω-και-μπρος που καθυστερεί τη συμφωνία — για πρόβλημα που δεν κοστίζει τίποτα να διορθωθεί.
Η αργόσυρτη προειδοποίηση. Το πιστοποιητικό σας είναι τεχνικά έγκυρο αλλά υπογεγραμμένο με SHA-1, παλιά μέθοδος που τα προγράμματα περιήγησης ξεκινούν να απαξιώνουν. Μια ενημέρωση αργότερα, ένα μέρος των επισκεπτών σας αρχίζει να βλέπει προειδοποιήσεις που δεν μπορείτε να αναπαράγετε στο δικό σας ενημερωμένο μηχάνημα.
Η αποτυχία συμμόρφωσης. Δέχεστε πληρωμές με κάρτα. Κατά τον επανέλεγχο, οι έλεγχοι του παρόχου σας επισημαίνουν αδύναμο κλειδί ή πιστοποιητικό που έληξε. Οι κανόνες ασφαλείας καρτών απαιτούν ισχυρή, τρέχουσα κρυπτογράφηση — οπότε οι ηλεκτρονικές πληρωμές σας αναστέλλονται μέχρι να επανεκδώσετε.

Τι είναι στην πραγματικότητα (τα τέσσερα μέρη)

Ένα πιστοποιητικό μπορεί να μην είναι υγιές με τέσσερις διαφορετικούς τρόπους, και αυτή η σελίδα καλύπτει όλους.

1. Έγκυρο και αξιόπιστο

Αυτό είναι το βασικό — και το μόνο μέρος υγείας πιστοποιητικού που είναι κρίσιμος έλεγχος υψηλότερου βάρους. Ένα πιστοποιητικό είναι «έγκυρο και αξιόπιστο» μόνο όταν όλα αυτά ισχύουν:

Εκδόθηκε από αναγνωρισμένη αρχή πιστοποίησης που ήδη εμπιστεύονται τα προγράμματα περιήγησης (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, κ.λπ.).
Αντιστοιχεί ακριβώς στο domain που χρησιμοποιεί ο επισκέπτης — συμπεριλαμβανομένων των subdomain.
Δεν είναι αυτο-υπογεγραμμένο — δηλαδή όχι ένα που εκδώσατε στον εαυτό σας.
Βρίσκεται επί του παρόντος εντός της χρονικής περιόδου — δεν έχει λήξει.
Η αλυσίδα εμπιστοσύνης είναι άθικτη — η αρχή που το υπέγραψε είναι και αυτή αξιόπιστη.

Καλό μοιάζει: πιστοποιητικό από αναγνωρισμένη αρχή, που καλύπτει κάθε domain και subdomain που χρησιμοποιείτε πραγματικά, άνετα εντός των ημερομηνιών του.

2. Δεν πρόκειται να λήξει σύντομα

Κάθε πιστοποιητικό έχει σκληρή ημερομηνία λήξης. Τα δωρεάν διαρκούν συνήθως 90 ημέρες· τα πληρωμένα συχνά ένα χρόνο. Μετά την ημερομηνία, η εμπιστοσύνη εξαφανίζεται αμέσως — δεν υπάρχει περίοδος χάριτος. Αυτός ο έλεγχος μετρά πόσες ημέρες απομένουν:

Αν έχει ήδη λήξει ή λήγει σε λιγότερες από 7 ημέρες, αντιμετωπίζεται ως κρίσιμο.
Αν λήγει σε 30 ημέρες και δεν διαχειρίζεται αυτόματα, είναι προειδοποίηση για άμεση ανανέωση.
Αν προέρχεται από αυτο-ανανεούμενο πάροχο (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL και παρόμοια) με τουλάχιστον μια εβδομάδα εναπομείναντος, περνά.
Άφθονο περιθώριο (90+ ημέρες, ή αυτοδιαχειριζόμενο) είναι καθαρή βαθμολογία.

Καλό μοιάζει: αυτο-διαχειριζόμενο πιστοποιητικό που ανανεώνεται χωρίς να αγγίζει κανείς. Ο πιο αξιόπιστος τρόπος να μην έχετε ποτέ διακοπή λήξης είναι να κάνετε μηχάνημα, όχι άνθρωπο, υπεύθυνο για ανανέωση.

3. Ισχυρός αλγόριθμος υπογραφής

Κάθε πιστοποιητικό «υπογράφεται» χρησιμοποιώντας κρυπτογραφικό αλγόριθμο. Παλαιοί αλγόριθμοι — MD5 και SHA-1 — έχει αποδειχθεί ότι μπορούν να πλαστογραφηθούν. Αυτός ο έλεγχος περνά όταν το πιστοποιητικό χρησιμοποιεί ισχυρή, σύγχρονη υπογραφή: SHA-256 ή ισχυρότερη (SHA-384, SHA-512), σύγχρονη ECDSA, ή Ed25519/Ed448. Καλό μοιάζει: SHA-256 ή καλύτερο — που είναι το προεπιλεγμένο σε κάθε δωρεάν και σύγχρονο πιστοποιητικό.

4. Ισχυρό κλειδί

Το πιστοποιητικό φέρει κρυπτογραφικό κλειδί. Αν αυτό το κλειδί είναι πολύ κοντό, η σύγχρονη υπολογιστική ισχύς μπορεί — με αρκετούς πόρους — να το σπάσει. Τα αποδεκτά ελάχιστα είναι 2048-bit RSA ή 256-bit elliptic-curve (EC). Καλό μοιάζει: 2048-bit (ή 4096-bit) RSA, ή ένα κλειδί EC 256-bit όπως P-256 — και πάλι, το προεπιλεγμένο στα σύγχρονα δωρεάν πιστοποιητικά.

Πώς να το διορθώσετε (δωρεάν, ~15 λεπτά)

Δώστε αυτή την ενότητα σε αυτόν που εκτελεί τον ιστότοπο ή τη φιλοξενία σας — η διόρθωση είναι δωρεάν. Ένα έγκυρο, ισχυρό, αυτο-ανανεούμενο πιστοποιητικό δεν κοστίζει τίποτα μέσω Let’s Encrypt ή οποιουδήποτε σύγχρονου host. Χρεώνουμε μόνο για παρακολούθηση ότι παραμένει υγιές με την πάροδο του χρόνου, όχι για να το διορθώσουμε.

Βήμα 1 — Αποκτήστε (ή αντικαταστήστε) το πιστοποιητικό με ένα δωρεάν, αξιόπιστο. Αυτό το ένα βήμα διορθώνει εγκυρότητα, υπογραφή και ισχύ κλειδιού ταυτόχρονα, επειδή τα σύγχρονα δωρεάν πιστοποιητικά χρησιμοποιούν SHA-256 και ισχυρά κλειδιά από προεπιλογή.

Cloudflare: στο SSL/TLS → Overview, ρυθμίστε τη λειτουργία σε Full (Strict). Το Cloudflare εκδίδει και αυτόματα ανανεώνει αξιόπιστο πιστοποιητικό για εσάς.
Google Workspace / Microsoft 365 hosting ή οποιοδήποτε cPanel host: αναζητήστε SSL/TLS Status και εκτελέστε AutoSSL.
Site builders (Squarespace, Wix, Shopify, σύγχρονοι WordPress hosts): το SSL είναι συνήθως ενεργοποιημένο από προεπιλογή — επιβεβαιώστε ότι είναι ενεργό στις ρυθμίσεις domain/ασφαλείας σας.
Δικός σας διακομιστής Linux (Nginx/Apache): εγκαταστήστε Let’s Encrypt με Certbot — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (ή --apache). Για σύγχρονο EC κλειδί, προσθέστε --key-type ecdsa.

Βήμα 2 — Κάντε την ανανέωση αυτόματη ώστε να μη λήγει ποτέ ξανά. Αυτό είναι το βήμα που αποτρέπει το σενάριο διακοπής Σαββατοκύριακου.

Σε διακομιστή Let’s Encrypt, επιβεβαιώστε ότι το timer ανανέωσης είναι ενεργό και δοκιμάστε: sudo certbot renew --dry-run.
Στο Cloudflare, cPanel AutoSSL, και managed/site-builder hosts, η ανανέωση γίνεται για εσάς — δεν χρειάζεται να προγραμματίσετε τίποτα.

Βήμα 3 — Βεβαιωθείτε ότι καλύπτει τα σωστά ονόματα. Το πιστοποιητικό πρέπει να καλύπτει κάθε hostname που χρησιμοποιούν πραγματικά οι πελάτες — το κενό domain, www, και τυχόν subdomain όπως shop. ή app..

Βήμα 4 — Αν επισημαίνεται μόνο ισχύς υπογραφής ή κλειδιού, απλώς επανεκδώστε. Δεν χρειάζεται να αγοράσετε τίποτα: δημιουργήστε νέο πιστοποιητικό (Βήμα 1) και το νέο θα χρησιμοποιεί SHA-256 και ισχυρό κλειδί αυτόματα.

Βήμα 5 — Επαληθεύστε, μετά ελέγξτε ξανά εδώ. Επιβεβαιώστε τις ημερομηνίες, εκδότη και κλειδί, μετά εκτελέστε ξανά αυτόν τον έλεγχο.

Συνηθισμένα λάθη

Αντιμετώπιση του «εγκαταστήσαμε SSL μία φορά» ως τελικού. Τα πιστοποιητικά λήγουν σε ρολόι. Χωρίς αυτόματη ανανέωση, το ερώτημα δεν είναι αν θα λήξει αλλά πότε — συνήθως τη λιγότερο κατάλληλη στιγμή.
Κάλυψη www αλλά όχι του κενού domain (ή το αντίστροφο). Και τα δύο πρέπει να βρίσκονται στο πιστοποιητικό, αλλιώς το ένα προκαλεί προειδοποίηση αναντιστοιχίας ονόματος.
Αφήνοντας αυτο-υπογεγραμμένο πιστοποιητικό σε «δοκιμαστικό» subdomain που είναι στην πραγματικότητα δημόσιο. Κρυπτογραφεί, οπότε αισθάνεται ασφαλές — αλλά τα προγράμματα περιήγησης (και τα σαρωτικά ασφαλείας) το αντιμετωπίζουν ως μη αξιόπιστο.
Υπόθεση ότι πληρωμένο σημαίνει πιο ασφαλές. Ένα δωρεάν πιστοποιητικό Let’s Encrypt είναι ακριβώς τόσο αξιόπιστο και κρυπτογραφημένο όσο ένα ακριβό. Περισσότερα χρήματα δεν κάνουν ισχυρότερο λουκέτο.
Ανανέωση πιστοποιητικού αλλά ξεχνώντας επαναφόρτωση διακομιστή. Ένα νέο πιστοποιητικό στο δίσκο δεν κάνει τίποτα μέχρι ο web server να επαναφορτωθεί για να το παραλάβει.
Αυτόματη ανανέωση που αποτυγχάνει αθόρυβα. Μια εργασία ανανέωσης μπορεί να σπάσει και να συνεχίζει να «πετυχαίνει» αθόρυβα. Η παρακολούθηση της ημερομηνίας λήξης — όχι μόνο της εργασίας ανανέωσης — είναι αυτό που πραγματικά το πιάνει πριν σας δαγκώσει.

Συχνές Ερωτήσεις

Δεν είμαι τεχνικός — μπορώ να το διευθετήσω μόνος μου;

Δεν χρειάζεται να κατανοείτε την κρυπτογραφία. Ένα έγκυρο πιστοποιητικό είναι δωρεάν (μέσω Let's Encrypt και οι περισσότεροι σύγχρονοι hosts), και σε managed hosting συνήθως είναι αυτόματο. Δώστε την ενότητα 'Πώς να το διορθώσετε' παρακάτω σε αυτόν που εκτελεί τον ιστότοπο ή τη φιλοξενία σας — για τη συντριπτική πλειοψηφία των επιχειρήσεων είναι γρήγορη, δωρεάν δουλειά, όχι αγορά.

Ο ιστότοπός μου εμφανίζει λουκέτο — δεν σημαίνει ότι το πιστοποιητικό μου είναι εντάξει;

Το λουκέτο σημαίνει μόνο ότι αυτή τη στιγμή υπάρχει ασφαλής σύνδεση. Δεν σας λέει ότι το πιστοποιητικό πρόκειται να λήξει, ότι είναι κατασκευασμένο με ισχυρό κλειδί, ή ότι θα εξακολουθεί να εμπιστεύεται από τα προγράμματα περιήγησης του αύριο. Αυτός ο έλεγχος κοιτάζει πέρα από το λουκέτο στα τέσσερα πράγματα που πραγματικά το κρατούν αναμμένο.

Πρέπει να πληρώσω για πιστοποιητικό SSL;

Όχι. Δωρεάν πιστοποιητικά από Let's Encrypt (και ενσωματωμένα στο Cloudflare, cPanel AutoSSL, και τους περισσότερους σύγχρονους hosts) εμπιστεύεται κάθε πρόγραμμα περιήγησης και είναι εξίσου ασφαλή με τα πληρωμένα. Τα πληρωμένα πιστοποιητικά αγοράζουν κυρίως συμβόλαια υποστήριξης, εγγυήσεις ή badges επεκτεταμένης επαλήθευσης — κανένα από αυτά δεν επηρεάζει αν ο ιστότοπός σας είναι κρυπτογραφημένος ή αξιόπιστος.

Πώς μπορεί ένα πιστοποιητικό να 'λήξει' — και γιατί αυτό ρίχνει τον ιστότοπό μου;

Κάθε πιστοποιητικό έχει σταθερή ημερομηνία λήξης (συχνά 90 ημέρες για δωρεάν). Μετά από αυτή την ημερομηνία τα προγράμματα περιήγησης αρνούνται να το εμπιστευτούν και εμφανίζουν προειδοποίηση πλήρους σελίδας αντί για τον ιστότοπό σας. Δεν είναι σταδιακή παρακμή — λειτουργεί τέλεια μέχρι την προθεσμία, μετά σπάει εντελώς. Γι' αυτό η αυτόματη ανανέωση έχει τόση σημασία: αφαιρεί τον άνθρωπο που αλλιώς θα ξεχνούσε.

Τι είναι πιστοποιητικό 'αυτο-υπογεγραμμένο' και γιατί αποτυγχάνει;

Ένα αυτο-υπογεγραμμένο πιστοποιητικό είναι ένα που εκδώσατε στον εαυτό σας αντί να το αποκτήσετε από αναγνωρισμένη αρχή. Κρυπτογραφεί τη σύνδεση, αλλά τίποτα δεν εγγυάται ότι είστε πραγματικά εσείς — οπότε τα προγράμματα περιήγησης το αντιμετωπίζουν ως μη αξιόπιστο και προειδοποιούν τους επισκέπτες. Για δημόσιο ιστότοπο θέλετε πάντα ένα από αξιόπιστη αρχή, το οποίο είναι δωρεάν.

Τι σημαίνουν «αδύναμο κλειδί» και «αδύναμος αλγόριθμος υπογραφής» για την επιχείρησή μου;

Και τα δύο είναι τρόποι που ένα πιστοποιητικό μπορεί να είναι τεχνικά έγκυρο σήμερα αλλά κρυπτογραφικά εύθραυστο. Ένα αδύναμο κλειδί (κάτω από 2048-bit RSA ή 256-bit EC) μπορεί αρχικά να σπαστεί, επιτρέποντας σε εισβολέα να υποδυθεί τον ιστότοπό σας. Μια αδύναμη υπογραφή (SHA-1 ή MD5) μπορεί να πλαστογραφηθεί για να δημιουργηθεί πειστικό ψεύτικο πιστοποιητικό. Τα σύγχρονα δωρεάν πιστοποιητικά χρησιμοποιούν ισχυρά κλειδιά και υπογραφές από προεπιλογή, οπότε η διόρθωση είναι σχεδόν πάντα απλώς επανέκδοση — χωρίς κόστος.