Defaults.Exposed › Javítások › TLS-tanúsítvány állapota

Hogyan javítsd ki: TLS-tanúsítvány állapota

Az SSL/TLS-tanúsítvány az a digitális személyazonosság, amely bizonyítja a látogató számára, hogy valóban a te weboldaladon jár – nem egy csalón –, és ez hajtja a böngésző lakatát. Ez az ellenőrzés azt nézi meg, hogy a tanúsítvány érvényes és megbízható-e, nem közelít-e a lejárathoz, és erős, modern kriptográfiával van-e megépítve.

Az üzleted szempontjából lényeg: Egy hibás vagy lejárt tanúsítvány minden böngészőben teljes képernyős, piros 'A kapcsolatod nem privát' figyelmeztetéssel helyettesíti a weboldaladat. A legtöbb látogató azonnal elhagyja, és nem tér vissza – az online értékesítés leáll, a feliratkozások leállnak, és a privátnak szánt kapcsolatot csendben el lehet fognii.

Mibe kerülhet ez neked

• A tanúsítvány csendben lejár egy hétvégén; hétfőre minden látogató teljes oldalas biztonsági figyelmeztetést lát, a fizetési és kapcsolatfelvételiűrlapok halottak, és minden egyes órányi veszteséget szenvedsz el, amelyet nem veszel észre és nem javítasz.
• Egy kávézói vagy szállodai Wi-Fi-n fizető ügyfél figyelmeztetést kap, hogy a tanúsítvány nem egyezik a domaineddel – feltételezik, hogy a webhely hamis vagy feltört, elhagyják a vásárlást, és másoknak azt mondják, 'gyanúsnak tűnt.'
• Egy nagyobb ügyfél IT-csapata szerződés előtti biztonsági vizsgálatot végez, önaláírt vagy nem megbízható tanúsítványt lát, és kockázatként jelöl meg – az üzlet megakad valami miatt, amelynek javítása semmibe sem kerül.
• A tanúsítványod elavult aláírási módszert vagy gyenge kulcsot használ; a modern böngészők elkezdik figyelmeztetéseket megjeleníteni rajta, és egy biztonsági audit jelzi azt a kriptográfiát, amely már évek óta az ajánlottlista alatt van.
• Kártyás fizetéseket fogadsz, és a fizetési szolgáltatód újra auditál; egy gyenge kulcs vagy lejárt tanúsítvány megtöri a fizetési biztonsági szabályokat, és az online pénztáradat befagyasztja, amíg ki nem javítod.

Miért fontos. A tanúsítvány a webhely biztonságának egyetlen legláthatóbb eleme – ha egészséges, láthatatlan, és ha megszakad, teljes figyelmeztetéssel veszi el az egész oldaladat, amely az ügyfeleket egyenesen a versenytársakhoz hajtja. A tanúsítvány lejárata a nem várt webhelykimaradások első számú oka, és teljesen megelőzhető. Egy érvényes tanúsítvány ingyenes, és az egészségének megőrzése nagyrészt az automatikus megújítás engedélyezéséből áll.

Mi ez egyszerű szavakkal

Amikor valaki meglátogatja a weboldaladat, két dolognak kell megtörténnie, hogy biztonságban érezzék magukat jelszó vagy kártyaszám beírásánál. Először a kapcsolatnak titkosítottnak kell lennie, hogy idegenek ne olvashassák el. Másodszor – és ezt az emberek elfelejtik – a látogató böngészőjének biztosnak kell lennie abban, hogy valóban a te weboldaladon van, és nem egy meggyőző hamisítványon. Az a dolog, amely mindkét feladatot elvégzi, a TLS-tanúsítvány (amelyet gyakran „SSL-tanúsítványnak” hívnak).

Gondolj rá, mint egy hamisításbiztos személyazonosságra a domainedhöz. Egy elismert hatóság adja ki, tartalmazza a domained nevét és egy lejárati dátumot, és viseli a kriptográfiai kulcsot, amely titkosítja a kapcsolatot. Ha minden rendben van, a böngésző mutatja a lakatot, és az oldal normálisan tölt. Ha valami nem stimmel az igazolással, a böngésző az ellenkezőjét teszi annak, hogy megnyugtassa a látogatódat – teljes képernyős figyelmeztetést dob fel, amely lényegében azt mondja: „Ez az oldal esetleg nem biztonságos.”

Ez az ellenőrzés az igazolvány állapotát nézi meg négy területen, amelyek mindegyike önállóan tönkreteheti:

• Érvényes és megbízható-e? – elismert hatóság adta ki, megfelel a pontos domainednek, nem önaláírt és nem lejárt.
• Hamarosan lejár-e? – mert egy lejárt tanúsítvány az egész oldaladat leveszi.
• Erős módszerrel van-e aláírva? – a régi aláírási algoritmusok hamisíthatók.
• Elég erős-e a kulcsa? – egy gyenge kulcs elvben feltörhető.

Az előre jó hír: egy egészséges tanúsítvány megszerzése ingyenes, és az egészségének megőrzése nagyrészt abból áll, hogy hagyod automatikusan megújítani magát, hogy ne kelljen emberi emlékezetre hagyatkozni.

Mibe kerülhet ez neked

• A hétvégi leállás. Egy tanúsítvány csendben eléri a lejárati dátumát egy péntek este. A megújítás, amelynek futnia kellett volna, nem futott (a szerver elmozdult, egy szkript elromlott, senki sem vette észre). Szombat reggelig minden látogató – és minden Google-kereső robot – teljes oldalas piros figyelmeztetést lát a kezdőlap helyett. A boltod zárva, és te nem is tudod. A technikai javítás perceket vesz igénybe; az elveszett hétvégi értékesítés és az ügyfelek, akik úgy döntöttek, hogy ‘megszűntél’, nem jönnek vissza.

• Az elhagyott pénztár. Egy ügyfél telefonon vásárol a szállodai Wi-Fi-ről. A tanúsítványod nem egészen egyezik a domainnévvel, amelyet beírt (pl. lefedi a shop.yourbiz.com-ot, de nem a yourbiz.com csupasz verziót, amelyet ő használt). A böngésző figyelmezteti, hogy az oldal ‘lehet, hogy megszemélyesíti’ az oldaladat. Egy nem technikai vevő számára ez átverésnek olvasódik – bezárja a fület, és soha nem tudod meg, hogy a vásárlás létezett.

• Az elakadt szerződés. Egy nagyobb lehetséges ügyfél biztonsági csapata rutin vizsgálatot végez az aláírás előtt. Az eredmény önaláírt vagy nem megbízható tanúsítványt mutat az egyik aldomaineden. Még ha minden más rendben is van, ez az egyetlen vörös zászló egy gyors jóváhagyást hosszadalmas diskurzusba változtat, amely késlelteti az üzletet – egy probléma miatt, amelynek javítása semmibe sem kerül.

• A lassú figyelmeztetés. A tanúsítványod technikailag érvényes, de SHA-1-gyel van aláírva, egy régi módszerrel, amelyet a böngészők fokozatosan kivonnak. Egy böngészőfrissítéssel a látogatóid egy része figyelmeztetéseket lát, amelyeket a saját naprakész gépeden nem tudsz reprodukálni. A supportjegyek lassan érkeznek, hogy az oldal ‘törve tűnik’, és nem tudod kideríteni, miért.

• A megfelelési hiba. Kártyás fizetéseket fogadsz. Egy újraaudit során a szolgáltatód ellenőrzései gyenge kulcsot vagy lejárt tanúsítványt jeleznek. A kártyabiztonsági szabályok erős, aktuális titkosítást igényelnek – tehát az online fizetéseid felfüggesztésre kerülnek, amíg ki nem bocsátod újra, a legrosszabb lehetséges pillanatban befagyasztva a bevételt.

Mi is ez pontosan (a négy rész)

Egy tanúsítvány négy különböző módon lehet egészségtelen, és ez az oldal mindegyikkel foglalkozik. Mindegyik külön ellenőrzés a motorháztető alatt, de számodra mind a „rendben van-e a tanúsítványom?” kérdés.

1. Érvényes és megbízható

Ez a nagy – és az egyetlen rész a tanúsítvány egészségéből, amely kritikus, legnagyobb súlyú ellenőrzés. Egy tanúsítvány „érvényes és megbízható” csak akkor, ha mindegyik igaz:

• Egy elismert tanúsítványkibocsátó hatóság adta ki, amelyet a böngészők már megbíznak (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon stb.).
• Megfelel a pontos domainnek, amelyet a látogató használ – beleértve az aldomaineket. Egy tanúsítvány a www.yourbiz.com-hoz, amely nem fedi a yourbiz.com-ot is, a csupasz domainre figyelmeztetni fog.
• Nem önaláírt – vagyis nem olyat adtál ki magadnak, amely titkosít, de semmit nem bizonyít arról, hogy ki vagy.
• Jelenlegi dátumablakán belül van – nem lejárt, és nem (furán, de előfordul) a jövőben kezdődő dátumra van datálva.
• A bizalmi lánca ép – a kibocsátó hatóság maga is megbízott, egészen felfele.

Ha ezek bármelyike meghibásodik, a böngészők megmutatják a félelmetes „A kapcsolatod nem privát” oldalt, és ez az ellenőrzés megbukik. Jó beállítás: tanúsítvány egy elismert hatóságtól, amely minden domainedet és aldomainedet lefedi, amelyeket ténylegesen használsz, kényelmesen a dátumain belül.

2. Nem közelít a lejárathoz

Minden tanúsítványnak kemény lejárati dátuma van. Az ingyenesek általában 90 napig érvényesek; a fizetősek gyakran egy évig. A dátum elmúltával a bizalom azonnal elpárolog – nincs türelmi idő. Ez az ellenőrzés méri, hány nap van hátra, és hogyan kapcsolódik ez a kibocsátójához:

• Ha már lejárt, vagy 7 napon belül lejár, kritikusnak minősül – a megújítás meghibásodásának jele.
• Ha 30 napon belül lejár és nem automatikusan kezelt, figyelmeztetés az azonnali megújításra.
• Ha egy automatikusan megújuló szolgáltatótól (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL és hasonlók) legalább egy héttel maradt, megfelel – mert várhatóan megújítja magát a határidő előtt.
• Bőséges idő (90+ nap, vagy automatikusan kezelt) tiszta megfelelés.

Jó beállítás: automatikusan kezelt tanúsítvány, amely emberi beavatkozás nélkül megújítja magát. A lejárati leállás elkerülésének egyetlen legmegbízhatóbb módja, ha egy gép és nem egy ember felelős a megújításért.

3. Erős aláírási algoritmus

Minden tanúsítvány „aláírva” van egy kriptográfiai algoritmussal, amely lehetővé teszi a böngészők számára az illetéktelen módosítás felderítését. A régi algoritmusok – MD5 és SHA-1 – hamisíthatónak bizonyultak, ami azt jelenti, hogy egy támadó elvben olyan hamis tanúsítványt állíthat elő, amely hitelesen a tiédnek tűnik. Ez az ellenőrzés megfelel, ha a tanúsítvány erős, modern aláírást használ: SHA-256 vagy erősebb (SHA-384, SHA-512), modern ECDSA vagy Ed25519/Ed448. Az MD5 és SHA-1 megbukik. Jó beállítás: SHA-256 vagy jobb – ami az alapértelmezett minden ingyenes és modern tanúsítványon, tehát ez ritkán probléma bármin, amelyet az elmúlt években bocsátottak ki.

4. Erős kulcs

A tanúsítvány kriptográfiai kulcsot hordoz, amely elvégzi a tényleges titkosítást. Ha a kulcs túl rövid, a modern számítógépes erő – elegendő erőforrás esetén – feltörheti, lehetővé téve egy támadónak, hogy megszemélyesítse az oldaladat vagy visszafejtse a forgalmat. Az elfogadott minimumok 2048 bites RSA vagy 256 bites elliptikus görbe (EC). Ez az ellenőrzés ezeken a méreteken vagy azon felül megfelel, és azon alul megbukik. Jó beállítás: 2048 bites (vagy 4096 bites) RSA, vagy 256 bites EC kulcs, mint a P-256 – ismét az alapértelmezett modern ingyenes tanúsítványokon.

Hogyan javítsd ki (ingyenes, ~15 perc)

Add át ezt a részt annak, aki a weboldaladat vagy tárhelyedet kezeli – a javítás ingyenes. Egy érvényes, erős, automatikusan megújuló tanúsítvány a Let’s Encrypt vagy bármely modern host révén semmibe sem kerül. Mi csak azért számítunk fel díjat, hogy figyeljük, hogy idővel egészséges marad-e, a javításért soha nem.

1. lépés – Szerezz (vagy cseréld le) a tanúsítványt egy ingyenes, megbízott tanúsítványra. Ez az egyetlen lépés egyszerre javítja az érvényességet, az aláírást és a kulcserősséget, mert a modern ingyenes tanúsítványok alapból SHA-256-ot és erős kulcsokat használnak.

• Cloudflare: az SSL/TLS → Overview részben állítsd a módot Full (Strict) értékre. A Cloudflare kiad és automatikusan megújít egy megbízott élkapú-tanúsítványt; ügyelj arra, hogy az eredeti szervernek is érvényes tanúsítványa legyen, hogy a „Strict” működjön.
• Google Workspace / Microsoft 365 tárhely vagy bármely cPanel host: keresd az SSL/TLS Status részt, és futtasd az AutoSSL-t. Automatikusan biztosítja és megújítja az ingyenes tanúsítványokat.
• Site builderek (Squarespace, Wix, Shopify, modern WordPress hostok): az SSL általában alapból be van kapcsolva – erősítsd meg, hogy engedélyezve van a domain/biztonsági beállításaiban, és lefedi mind a yourbiz.com, mind a www.yourbiz.com domaineket.
• Saját Linux szervered (Nginx/Apache): telepítsd a Let’s Encryptet a Certbottal – sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (vagy --apache). Modern EC-kulcshoz add hozzá a --key-type ecdsa paramétert. Sorolj fel minden hosztnevet a -d paraméterrel, amelyet kiszolgálsz, hogy a tanúsítvány mindet lefedje.

2. lépés – Tedd automatikussá a megújítást, hogy soha ne járjon le. Ez az a lépés, amely megakadályozza a hétvégi leállás forgatókönyvét.

• Let’s Encrypt szerveren erősítsd meg, hogy a megújítási időzítő aktív, és teszteld: sudo certbot renew --dry-run. A Certbot általában automatikus időzítőt telepít; ha nem, adj hozzá napi cron jobbot: 0 3 * * * certbot renew --quiet.
• Cloudflare-en, cPanel AutoSSL-en és kezelt/site-builder hoston a megújítás neked kezelt – nincs ütemezési teendő.

3. lépés – Ügyelj arra, hogy a megfelelő neveket fedje. A leggyakoribb „érvényes, de figyelmeztet” ok egy néveltérés. A tanúsítványnak le kell fednie minden hosztnevet, amelyet az ügyfelek ténylegesen használnak – a csupasz domaint, www-t és minden aldomaint, mint shop. vagy app.. Tanúsítvány generálásakor mindegyiket add meg (egy helyettesítő, mint *.yourbiz.com, egy lépésben fedi az összes aldomaint).

4. lépés – Ha csak az aláírás vagy a kulcserősség jelölve, egyszerűen bocsásd ki újra. Nem kell semmit venni: generálj egy friss tanúsítványt (1. lépés), és az új automatikusan SHA-256-ot és erős kulcsot fog használni.

5. lépés – Ellenőrizd, majd vizsgáld meg újra itt. Erősítsd meg a dátumokat, kibocsátót és kulcsot egy gyors paranccsal, majd futtasd újra ezt az ellenőrzést.

Gyakori hibák

• Az ‘egyszer telepítettük az SSL-t’ befejezettnek kezelése. A tanúsítványok órán futnak. Automatikus megújítás nélkül nem az a kérdés, ha lejár, hanem mikor – általában a legkényelmetlenebb pillanatban.
• A www lefedése a csupasz domain nélkül (vagy fordítva). Mindkettőnek rajta kell lennie a tanúsítványon, vagy az egyik néveltérési figyelmeztetést dob. Ugyanez a csapda elkapja a később hozzáadott új aldomaineket.
• Önaláírt tanúsítvány hagyása egy ‘teszt’ aldomainon, amely valójában nyilvános. Titkosít, tehát biztonságosnak tűnik – de a böngészők (és a biztonsági vizsgálók) nem megbízhatóként kezelik, és klasszikus audit vörös zászló.
• Feltételezni, hogy a fizetős biztonságosabb. Egy ingyenes Let’s Encrypt tanúsítvány pontosan annyira megbízható és titkosított, mint egy drága. Többet fizetni nem tesz erősebb lakatot.
• A tanúsítvány megújítása, de a szerver újratöltésének elfelejtése. Egy lemezen lévő új tanúsítvány semmit sem tesz, amíg a webszerver újra nem töltődik, hogy felvegye – meglepően gyakori ok a ‘megújítottam, de még mindig lejártnak mutatja’ jelenségre.
• Automatikus megújítás, amely csendben meghibásodott. Egy megújítási feladat elromolhat (áthelyezett fájl, DNS-módosítás, blokkolt port), és tovább ‘sikeresnek’ mutathat csendben. A lejárati dátum figyelése – nem csak a megújítási feladaté – az, ami valóban elkapja ezt, mielőtt megkísértene.

GYIK