Defaults.Exposed › Parandused › TLS-sertifikaadi tervis

Kuidas parandada TLS-sertifikaadi tervis

Teie SSL/TLS-sertifikaat on digitaalne isikutunnistus, mis tõendab külastajale, et ta räägib tõepoolest teie veebisaidiga — mitte kehastajaga — ning muudab brauseris tabaluku nähtavaks. See kontroll vaatab, kas see sertifikaat on kehtiv ja usaldusväärne, kas see ei ole varsti aegumas ning kas see on ehitatud tugeva, kaasaegse krüptograafiaga.

Põhijareldus sinu ettevõttele: Katki või aegunud sertifikaat asendab teie veebisaidi täisekraani punase 'Teie ühendus pole privaatne' hoiatusega igas brauseris. Enamik külastajaid lahkub kohe ega tule tagasi — veebimüük peatub, registreerimised peatuvad ning ühendus, mis pidi olema privaatne, saab vaikselt pealt kuulata.

Mida see sulle maksab

• Teie sertifikaat aegub vaikselt nädalavahetusel; esmaspäevaks näevad kõik külastajad täisekraani turvahoiatust, teie kassalaud ja kontaktvormid on surnud ning kaotate müüki iga tunni kohta, mille möödumise jooksul seda märkate ja uuendate.
• Kohviku või hotelli WiFis maksev klient saab hoiatuse, et teie sertifikaat ei vasta teie domeenile — nad eeldavad, et teie sait on võlts või häkitud, loobuvad ostust ja räägivad teistele, et see 'tundus kahtlane'.
• Suurema kliendi IT-meeskond teeb lepingueelse turvanäitaja, näeb isallkirjastatud või ebausaldusväärseid sertifikaati ja märgib teid riskina — tehing peatub millegi pärast, mida on tasuta parandada.
• Teie sertifikaat kasutab aegunud allkirjameetodit või nõrka võtit; kaasaegsed brauserid hakkavad sellel hoiatusi näitama ning turvaaudit märgib teid krüptograafia eest, mis on aastakümneid soovitusloendist väljas olnud.
• Võtate kaardimakseid ja teie makseteenuse pakkuja auditeerib teid uuesti; nõrk võti või aegunud sertifikaat rikub makseturbe eeskirju ning teie veebikassa külmutatakse kuni parandamiseni.

Miks see on oluline. Sertifikaat on teie veebisaidi turvalisuse kõige nähtavam tükk — kui see on terve, on see nähtamatu, ja kui see puruneb, võtab see kogu teie saidi kaasa hirmutava hoiatusega, mis ajab kliente otse konkurentide juurde. Sertifikaadi aegumine on veebisaidi ootamatute seisakute peamine põhjus ning see on täielikult välditav. Kehtiva sertifikaadi saamine on tasuta ning selle terve hoidmine on enamasti ainult automaatse uuendamise lubamise küsimus.

Mis see on lihtsas keeles

Kui keegi külastab teie veebisaiti, peab toimuma kaks asja, et nad tunneksid ennast turvaliselt parooli või kaardisummide sisestamisel. Esiteks peab ühendus olema krüpteeritud, et võõrad ei saaks seda lugeda. Teiseks — ja see on osa, mida inimesed unustavad — peab külastaja brauser olema kindel, et teise pool on tõepoolest teie veebisait, mitte kehastaja, kes on veenva võltsversion loonud. Mõlemat tööd teeb teie TLS-sertifikaat (sageli nimetatakse “SSL-sertifikaadiks”).

Mõelge sellest kui võltsimiskindlast isikutunnistusest teie domeenile. Tunnustatud asutus väljastab selle, see on tembeldatud teie domeeninimi ja aegumiskuupäevaga ning kannab krüptograafilist võtit, mis krüpteerib ühenduse. Kui kõik kontrollub, näitab brauser tabalukku ja teie sait laadib normaalselt. Kui isikutunnistusega on midagi valesti, teeb brauser vastupidist — see kuvab täisekraani hoiatuse, mis ütleb sisuliselt: “See sait ei pruugi olla turvaline.”

See kontroll vaatab selle isikutunnistuse tervist neljas aspektis, millest igaüks on eraldiseisvalt katki:

• Kas see on kehtiv ja usaldusväärne? — Tunnustatud asutuse väljastatud, vastab teie täpsele domeenile, pole isallkirjastatud ega aegunud.
• Kas see aegub varsti? — Sest aegunud sertifikaat võtab kogu teie saidi maha.
• Kas see on allkirjastatud tugeva meetodiga? — Vanad allkirjastamisalgoritmid on võltsitavad.
• Kas selle võti on piisavalt tugev? — Nõrk võti on põhimõtteliselt murtav.

Hea uudis ees: tervisliku sertifikaadi saamine on tasuta ning selle tervena hoidmine puudutab enamasti automaatse uuendamise lubamist, et ükski inimene ei pea meeles pidama.

Mida see võib teile maksma minna

• Nädalavahetuse seisak. Sertifikaat tabab vaikselt oma aegumiskuupäeva reedel hilisõhtul. Uuendamine, mis pidi käima, ei läinud (server liikus, skript katkestati, keegi ei märganud). Laupäeva hommikuks näeb iga külastaja — ja iga Google’i robot — täisekraani punast hoiatust teie avalehe asemel. Teie pood on suletud ja te ei tea isegi. Tehniline parandus võtab minutid; kaotatud nädalavahetuse müük ja kliendid, kes otsustasid, et olete “äri sulgenud”, ei tule tagasi.

• Mahajäetud kassalaud. Klient ostab oma telefonist hotellis WiFis. Teie sertifikaat ei vasta täpselt domeenile, mida nad kirjutasid (öelgem, see katab shop.teiedomeen.com, kuid mitte lihtsat teiedomeen.com-i, mida nad kasutasid). Brauser hoiatab neid, et sait “võib kehastada” teie oma. Mittetehnilistele ostjatele loetakse see pettusena — nad sulgevad kaardi ning te ei tea kunagi, et müük eksisteeris.

• Peatunud leping. Suurema potentsiaalse kliendi turvaülevaatus teeb rutiinse skannimise enne allkirjastamist. See näitab isallkirjastatud või ebausaldusväärseid sertifikaati ühel teie alamdomeenidel. Isegi kui kõik muu on fine, muudab see üksik punane lipp kiire heakskiidu edasitagasisuhtluseks, mis viivitab tehingut — probleemi pärast, mida on tasuta parandada.

• Aeglane hoiatus. Teie sertifikaat on tehniliselt kehtiv, kuid allkirjastatud SHA-1-ga, vana meetod, mida brauserid on lõpetamas. Ühe brauservärskendusega hakkab osa teie külastajate nägemine hoiatusi, mida te ise ei suuda oma ajakohases masinaas reprodutseerida. Tugiteenuste piletid hakkavad sisse tulema, öeldes, et sait “näib katki” ja te ei suuda aru saada, miks.

• Vastavusebaõnnestumine. Võtate kaardimakseid. Uudiauditi ajal märgib teie pakkuja kontrollid nõrga võtme või aegunud sertifikaadi. Kaarditurvaeeskirjad nõuavad tugevat, kaasaegset krüptograafiat — seega peatatakse teie veebimaksed kuni uuesti väljastamiseni, külmutades tulu halvimal võimalikul hetkel.

Mis see tegelikult on (neli osa)

Sertifikaat võib olla ebaterve neljal eraldiseisvalt viisil ning see leht hõlmab kõiki neid. Igaüks on eraldiseisev kontroll kapoti all, kuid teile on need kõik “kas minu sertifikaat on OK?“

1. Kehtiv ja usaldusväärne

See on suurim — ja ainus osa sertifikaadi tervisest, mis on kriitiline, ülimalt tähtis kontroll. Sertifikaat on “kehtiv ja usaldusväärne” ainult siis, kui kõik neist on tõsi:

• Selle väljastas tunnustatud sertifitseerimisasutus, mida brauserid juba usaldavad (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon jne).
• See vastab täpsele domeenile, mida külastaja kasutab — sealhulgas alamdomeenidele. Sertifikaat www.teiedomeen.com jaoks, mis ei kata ka teiedomeen.com, hoiatab lihtsal domeenil.
• See pole isallkirjastatud — st ei ole selline, mille väljastite endale, mis krüpteerib, kuid ei tõenda, kes te olete.
• See on praegu oma kuupäeva aknas — mitte aegunud ega (kummastatult, kuid juhtub) tulevikus alata seadistatud.
• Selle usaldusahel on terve — asutus, kes selle allkirjastas, on ise usaldusväärne, kõik teel üles.

Kui ükski neist ebaõnnestub, näitavad brauserid kardetud “Teie ühendus pole privaatne” lehte ja see kontroll ebaõnnestub ränkalt. Hea näeb välja selline: tunnustatud asutuse sertifikaat, mis katab kõik domeenid ja alamdomeenid, mida tegelikult kasutate, mugavalt oma kuupäevade sees.

2. Aegumata

Igal sertifikaadil on raske lõppkuupäev. Tasuta kestavad tavaliselt 90 päeva; tasulised sageli aasta. Pärast seda kuupäeva kaob usaldus koheselt — puudub armuaeg. See kontroll mõõdab, mitu päeva on järel ja kuidas see suhestub kes selle väljastas:

• Kui see on juba aegunud või aegub alla 7 päeva, loetakse see kriitiliseks — märk, et uuendamine on ebaõnnestunud.
• Kui see aegub 30 päeva jooksul ega ole automaatselt hallatav, on see hoiatus kohe uuendada.
• Kui see pärineb automaatselt uuendavalt pakkujalt (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL ja sarnased) vähemalt nädala järelejäämisega, läbib see — sest see on oodata, et see uuendab end enne tähtaega.
• Palju aega (90+ päeva või automaatselt hallatav) on puhas läbimine.

Hea näeb välja: automaatselt hallatav sertifikaat, mis uuendab end ilma kellelegi puutumata. Ainus kõige usaldusväärne viis, et aegumise seisakut ei juhtuks, on muuta masin, mitte inimene, uuendamise eest vastutavaks.

3. Tugev allkirjastamisalgoritm

Iga sertifikaat on “allkirjastatud” krüptograafilise algoritmiga, mis võimaldab brauseril märgata võltsimist. Vanad algoritmid — MD5 ja SHA-1 — on tõestatud võltsitavaks, tähendades, et ründaja saab põhimõtteliselt luua pettussertifikaadi, mis näib legitiimselt teie omana. See kontroll läbib, kui sertifikaat kasutab tugevat, kaasaegset allkirja: SHA-256 või tugevam (SHA-384, SHA-512), kaasaegne ECDSA või Ed25519/Ed448. MD5 ja SHA-1 ebaõnnestuvad. Hea näeb välja: SHA-256 või parem — mis on vaikimisi igal tasuta ja kaasaegsel sertifikaadil, seega on see harva probleem millegi puhul, mis on välja antud hiljutistel aastatel.

4. Tugev võti

Sertifikaat kannab krüptograafilist võtit, mis teeb tegeliku krüpteerimise. Kui see võti on liiga lühike, saab kaasaegne arvutusvõimsus — piisavate ressurssidega — selle murda, võimaldades ründajal teie saiti kehastada või liiklust dekrüpteerida. Aktsepteeritud minimumid on 2048-bitine RSA või 256-bitine ellipskõver (EC). See kontroll läbib nende suuruste juures või üle ja ebaõnnestub allpool. Hea näeb välja: 2048-bitine (või 4096-bitine) RSA või 256-bitine EC-võti nagu P-256 — jällegi vaikimisi kaasaegsetes tasuta sertifikaatides.

Kuidas seda parandada (tasuta, ~15 minutit)

Andke see jaotis kellelele, kes haldab teie veebisaiti või hostiteenust — parandus on tasuta. Kehtiv, tugev, automaatselt uuenduv sertifikaat ei maksa midagi Let’s Encrypt’i kaudu või mis tahes kaasaegse hostiteenuse kaudu. Me küsime tasu ainult selle tervise jälgimise eest aja jooksul, mitte parandamise eest.

1. samm — Hankige (või asendage) sertifikaat tasuta, usaldusväärnega. See üksainus samm parandab kehtivuse, allkirja ja võtme tugevuse kõik korraga, sest kaasaegsed tasuta sertifikaadid kasutavad vaikimisi SHA-256 ja tugevaid võtmeid.

• Cloudflare: jaotises SSL/TLS → Ülevaade, seadke režiimiks Täielik (range). Cloudflare väljastab ja uuendab automaatselt teile usaldusväärse servakiri; veenduge, et teie algserveri serveril on ka kehtiv sertifikaat, nii et “range” töötab.
• Google Workspace / Microsoft 365 hostimine või mis tahes cPanel-host: otsige SSL/TLS olek ja käivitage AutoSSL. See eraldab ja uuendab automaatselt tasuta sertifikaate.
• Saidiehitajad (Squarespace, Wix, Shopify, kaasaegsed WordPressi hostid): SSL on tavaliselt vaikimisi — kinnitage, et see on lubatud teie domeeni/turvaseadetes, ja et see katab nii teiedomeen.com kui ka www.teiedomeen.com.
• Teie enda Linuxi server (Nginx/Apache): installige Let’s Encrypt koos Certbot’iga — sudo certbot --nginx -d teiedomeen.com -d www.teiedomeen.com (või --apache). Kaasaegse EC-võtme jaoks lisage --key-type ecdsa. Loetlege iga hostnime, mida teenindate, koos -d-ga, nii et sertifikaat sobib kõigiga.

2. samm — Tehke uuendamine automaatseks, et see ei aeguks kunagi uuesti.

• Let’s Encrypt serveril kinnitage, et uuenduse taimeri on aktiivne ja testige seda: sudo certbot renew --dry-run. Certbot installib tavaliselt automaatse taimeri; kui mitte, lisage igapäevane cron-töö: 0 3 * * * certbot renew --quiet.
• Cloudflare’il, cPanel AutoSSL-il ja hallatavatel/saidiehitaja hostidel hallatakse uuendamist teie eest — midagi ajakavasse ei pea panema.

3. samm — Veenduge, et see katab õiged nimed. Kõige levinum “kehtiv, kuid hoiatus” põhjus on nime mittevastavus. Sertifikaat peab katma iga hostnime, mida kliendid tegelikult kasutavad — alus domeen, www ning kõik alamdomeenid nagu shop. või app.. Sertifikaadi genereerimisel lisage igaüks (metamärk nagu *.teiedomeen.com katab ühe sammuga kõik alamdomeenid).

4. samm — Kui ainult allkiri või võtme tugevus on märgitud, lihtsalt väljastage uuesti. Te ei pea midagi ostma: genereerige värske sertifikaat (1. samm) ja uus kasutab SHA-256 ja tugevat võtit automaatselt.

5. samm — Kinnitage, seejärel kontrollige siin uuesti. Kinnitage kuupäevad, väljaandja ja võti kiire käsuga — echo | openssl s_client -servername teiedomeen.com -connect teiedomeen.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — seejärel käivitage see kontroll uuesti.

Levinud vead

• Käsitlemine ‘installisime SSL-i kord’ kui lõpetatum. Sertifikaadid aeguvad kellaga. Ilma automaatse uuendamiseta pole küsimus kui see aegub, vaid millal — tavaliselt kõige ebasobivamal hetkel.
• www katmine, kuid mitte alus domeen (või vastupidi). Mõlemad peavad olema sertifikaadil, muidu üks neist annab nime mittevastavuse hoiatuse. Sama lõks tabab hiljem lisatud uusi alamdomeene.
• Isallkirjastatud sertifikaadi jätmine “testi” alamdomeenile, mis on tegelikult avalik. See krüpteerib, seega tundub turvaline — kuid brauserid (ja turvaskannerid) käsitlevad seda ebausaldusväärsena, ja see on klassikaline auditipunane lipp.
• Eeldamine, et tasuline on turvalisem. Tasuta Let’s Encrypt sertifikaat on täpselt sama usaldusväärne ja krüpteeritud kui kallis. Rohkem maksmine ei tee tugevamat tabalukku.
• Sertifikaadi uuendamine, kuid serveri uuesti laadimise unustamine. Uus sertifikaat kettal ei tee midagi, kuni veebiserverit selle valimiseks ei laeta uuesti — üllatavalt levinud põhjus, miks “uuendasin, kuid see näitab endiselt aegunud.”
• Automaatne uuendus, mis ebaõnnestus vaikselt. Uuendamistöö võib katkesta (liigutud fail, DNS-muutus, blokeeritud port) ja jätkab “edukalt” vaikselt. Aegumiskuupäeva jälgimine — mitte ainult uuendamistöö — on see, mis seda tegelikult kätte saab enne, kui see teie kätte saab.

KKK