Defaults.Exposed › Taisymai › TLS sertifikato sveikata

Kaip ištaisyti TLS sertifikato sveikata

Jūsų SSL/TLS sertifikatas yra skaitmeninė tapatybės kortelė, įrodanti lankytojui, kad jis tikrai kalba su jūsų svetaine – ne su apsimetėliu – ir įjungia naršyklės spyną. Šis tikrinimas vertina, ar tas sertifikatas yra galiojantis ir patikimas, ar netrukus nesibaigia ir ar sukurtas su stipria, šiuolaikine kriptografija.

Praktinė reikšmė jūsų verslui: Sugedęs arba pasibaigęs sertifikatas pakeičia jūsų svetainę visu ekranu rodoma raudona 'Jūsų ryšys nėra privatus' kiekvienos naršyklės įspėjime. Dauguma lankytojų iškart išeina ir negrįžta – internetiniai pardavimai sustoja, registracijos sustoja, o ryšys, kuris turėjo būti privatus, gali būti tyliai perimamas.

Ką tai gali kainuoti

• Jūsų sertifikatas tyliai baigiasi per savaitgalį; iki pirmadienio kiekvienas lankytojas mato viso puslapio saugumo įspėjimą, jūsų atsiskaitymų kasa ir kontaktų formos neveikia, ir jūs prarandate pardavimus kiekvieną valandą, kol tai pastebite ir atnaujinate.
• Klientas, mokantis kavinėje ar viešbučio Wi-Fi, gauna įspėjimą, kad jūsų sertifikatas nesutampa su jūsų domenu – jie mano, kad jūsų svetainė yra netikra ar nulaužta, palieka pirkimą ir sako kitiems, kad ji 'atrodė įtartinai'.
• Didesnio kliento IT komanda prieš sutartį atlieka saugumo nuskaitymą, mato savęs pasirašytą ar nepatikimą sertifikatą ir pažymi jus kaip riziką – sandoris stringa dėl kažko, ką ištaisyti nieko nekainuoja.
• Jūsų sertifikatas naudoja pasenusį pasirašymo metodą ar silpną raktą; šiuolaikinės naršyklės pradeda rodyti ant jo įspėjimus ir saugumo auditas pažymi jus dėl kriptografijos, kuri buvo rekomenduojama sąraše jau seniai.
• Jūs priimate kortelių mokėjimus ir jūsų mokėjimo tiekėjas vėl audituoja jus; silpnas raktas ar pasibaigęs sertifikatas laužo mokėjimo saugumo taisykles ir jūsų internetinė kasa užšaldyta, kol tai ištaisoma.

Kodėl tai svarbu. Sertifikatas yra vienas labiausiai matomų jūsų svetainės saugumo elementų – kai jis sveikas, jis nematomas, ir kai jis lūžta, jis nuneša visą jūsų svetainę su baugiu įspėjimu, kuris varo klientus tiesiai pas konkurentus. Sertifikato galiojimo pabaiga yra pagrindinė netikėtų svetainės priklausomybių nuo prieinamumo priežastis ir yra visiškai išvengiama. Galiojantį sertifikatą gauti yra nemokama, o jį sveiką išlaikyti dažniausiai yra tik klausimas leisti jam atsinaujinti automatiškai.

Kas tai yra, paprastais žodžiais

Kai kas nors apsilanko jūsų svetainėje, turi įvykti du dalykai, kad jie jaustųsi saugiai įvesdami slaptažodį ar kortelės numerį. Pirma, ryšys turi būti šifruotas, kad pašaliniai negalėtų jo skaityti. Antra – ir tai yra dalis, kurią žmonės pamiršta – lankytojo naršyklė turi būti tikra, kad kitame gale yra jūsų svetainė, o ne apsimetėlis, sukūręs įtikinamą netikrą. Dalykas, kuris atlieka abu darbus, yra jūsų TLS sertifikatas (dažnai vadinamas „SSL sertifikatu”).

Galvokite apie jį kaip apie jūsų domeno apsaugotą nuo sugadinimo tapatybės kortelę. Pripažinta institucija ją išduoda, ji antspauduota jūsų domeno vardu ir galiojimo data ir laiko kriptografinį raktą, kuris maišo ryšį. Kai viskas patikrina, naršyklė rodo spyną ir jūsų svetainė įkraunama normaliai. Kai kažkas negerai su tapatybės kortele, naršyklė daro priešingą lankytojo nuraminimui – ji išmeta viso ekrano įspėjimą, sakantį iš esmės „ši svetainė gali būti nesaugi.”

Šis tikrinimas vertina tos tapatybės kortelės sveikatą keturiais dalykais, kurie kiekvienas atskirai ją sulaužo:

• Ar ji galiojanti ir patikima? – išduota pripažintos institucijos, atitinkanti jūsų tikslų domeną, nepasirašyta savęs, nepasibaigiusi.
• Ar ji tuoj baigiasi? – nes sertifikatas, kurio galiojimas pasibaigia, numuša visą jūsų svetainę.
• Ar ji pasirašyta stipriu metodu? – seni pasirašymo algoritmai gali būti suklastoti.
• Ar jos raktas pakankamai stiprus? – silpnas raktas gali būti principinai nulaužtas.

Gera žinia iš anksto: gauti sveiką sertifikatą yra nemokama, o jį sveiką išlaikyti dažniausiai yra tik klausimas leisti jam atsinaujinti automatiškai, kad žmogui nereikėtų prisiminti.

Kiek tai gali jus kainuoti

• Savaitgalio nutrūkimas. Sertifikatas tyliai pasiekia galiojimo pabaigą vėlai penktadienį. Atnaujinimas, kuris turėjo vykti, neįvyko (serveris persikėlė, scenarijus sugedęs, niekas nepastebėjo). Iki šeštadienio ryto kiekvienas lankytojas – ir kiekvienas Google nuskaitytuvas – mato viso puslapio raudoną įspėjimą vietoj jūsų pagrindinio puslapio. Jūsų parduotuvė uždaryta ir jūs to net nežinote. Techninis pataisymas užtrunka minutes; prarasto savaitgalio pardavimai ir klientai, nusprendę, kad jūs „nuėjote iš verslo”, negrįžta.

• Palikta kasa. Klientas perka iš savo telefono viešbučio Wi-Fi. Jūsų sertifikatas tiksliai nesutampa su jų įvestu domenu (tarkime, jis apima parduotuve.jusvardas.com, bet ne jusvardas.com, kurį jie naudojo). Naršyklė įspėja, kad svetainė „gali apsimesti” jūsų. Ne techniniam pirkėjui tai skaitoma kaip sukčiavimas – jie uždaro skirtuką, ir jūs niekada nesužinate, kad pardavimas egzistavo.

• Stabdomas sandoris. Didesnio perspektyvaus kliento saugumo komanda atlieka įprastą nuskaitymą prieš pasirašydama. Jis grįžta rodydamas savęs pasirašytą ar nepatikimą sertifikatą viename iš jūsų subdomenų. Net jei viskas kita yra gerai, ta viena raudona vėliavėlė paverčia greitą patvirtinimą ilgais pasikeitimais, kurie atideda sandorį – dėl problemos, kuri nieko nekainuoja ištaisyti.

• Lėtas judesio įspėjimas. Jūsų sertifikatas techniškai galiojantis, bet pasirašytas su SHA-1, senu metodu, kurį naršyklės laipsniškai naikina. Po vieno naršyklės atnaujinimo dalis jūsų lankytojų pradeda matyti įspėjimus, kurių negalite atkurti savo atnaujintoje mašinoje. Palaikymo bilietai kaupiasi, sakantys, kad svetainė „atrodo sugedusi” ir negalite suprasti kodėl.

• Atitikties nesėkmė. Jūs priimate kortelių mokėjimus. Per pakartotinį auditą jūsų tiekėjo patikrinimai pažymi silpną raktą ar pasibaigusį sertifikatą. Kortelių saugumo taisyklės reikalauja stipraus, dabartinio šifravimo – todėl jūsų internetiniai mokėjimai sustabdyti, kol jį iš naujo išduodate, užšaldydami pajamas blogiausiu įmanomu momentu.

Kas tai iš tikrųjų yra (keturios dalys)

Sertifikatas gali būti nesveikas keturiais skirtingais būdais, ir šis puslapis apima juos visus. Kiekvienas yra atskiras tikrinimas po gaubtu, bet jums jie visi yra „ar mano sertifikatas yra gerai?“

1. Galiojantis ir patikimas

Tai yra svarbiausia – ir vienintelė sertifikato sveikatos dalis, kuri yra kritinis, aukščiausio svorio tikrinimas. Sertifikatas yra „galiojantis ir patikimas” tik kai visi šie yra teisingi:

• Jis išduotas pripažintos sertifikatų institucijos, kurią naršyklės jau pasitiki („Let’s Encrypt”, DigiCert, Sectigo, Google, Amazon ir pan.).
• Jis atitinka tikslų domeną, kurį lankytojas naudoja – įskaitant subdomenus. Sertifikatas www.jus.com, kuris neapima jus.com, įspės apie pliko domeno.
• Jis nėra savęs pasirašytas – t.y. ne toks, kurį išdavėte sau, kuris šifruoja, bet nieko neįrodo apie tai, kas esate.
• Jis šiuo metu yra jo datos lange – nepasibaigiamas ir ne (keistai, bet taip nutinka) datuotas prasidėti ateityje.
• Jo pasitikėjimo grandinė yra nepažeista – institucija, kuri ją pasirašė, pati yra patikima, visą kelią aukštyn.

Jei kuri nors iš jų nepavyksta, naršyklės rodo bauginantį „Jūsų ryšys nėra privatus” puslapį ir šis tikrinimas nepavyksta. Gerai atrodo kaip: sertifikatas iš pripažintos institucijos, apimantis kiekvieną domeną ir subdomeną, kurį iš tikrųjų naudojate, komfortabiliai savo datų lange.

2. Netrukus nesibaigia

Kiekvienas sertifikatas turi kietą pabaigos datą. Nemokami paprastai trunka 90 dienų; mokami dažnai metus. Praėjus datai, pasitikėjimas akimirksniu išnyksta – nėra malonės laikotarpio. Šis tikrinimas matuoja, kiek dienų liko ir kaip tai sąveikauja su kas jį išdavė:

• Jei jis jau pasibaigęs arba baigiasi per 7 dienas, tai laikoma kritiniu – ženklu, kad atnaujinimas nepavyko.
• Jei jis baigiasi per 30 dienų ir nėra automatiškai valdomas, tai perspėjimas atnaujinti dabar.
• Jei jis yra iš automatiškai atnaujinamo tiekėjo („Let’s Encrypt”, „Cloudflare”, Google, Amazon, ZeroSSL ir panašūs) su bent savaitę liko, jis praeina – nes tikimasi, kad jis atsinaujins prieš terminą.
• Daug likusio laiko (90+ dienų, arba automatiškai valdoma) yra švari praeja.

Gerai atrodo kaip: automatiškai valdomas sertifikatas, kuris atsinaujina pats be nieko liečiančiojo. Vienintelis patikimiausias būdas niekada neturėti galiojimo pabaigos nutrūkimo yra padaryti mašiną, ne žmogų, atsakingą už atnaujinimą.

3. Stiprus parašo algoritmas

Kiekvienas sertifikatas yra „pasirašytas” kriptografiniu algoritmu, leidžiančiu naršyklėms aptikti klastojimą. Seni algoritmai – MD5 ir SHA-1 – buvo parodyta, kad juos galima suklastoti, reiškia, kad užpuolikas teoriškai galėtų sukurti apgaulingą sertifikatą, atrodantį teisėtai jūsų. Šis tikrinimas praeina, kai sertifikatas naudoja stiprų, šiuolaikinį parašą: SHA-256 arba stipresnį (SHA-384, SHA-512), šiuolaikinį ECDSA arba Ed25519/Ed448. MD5 ir SHA-1 nepavyksta. Gerai atrodo kaip: SHA-256 arba geresnis – kuris yra numatytasis kiekvienam nemokamam ir šiuolaikiniam sertifikatui, todėl tai retai yra problema su kažkuo išduotu pastaraisiais metais.

4. Stiprus raktas

Sertifikatas laiko kriptografinį raktą, kuris atlieka tikrąjį maišymą. Jei tas raktas yra per trumpas, šiuolaikiniai kompiuteriniai pajėgumai – turint pakankamai išteklių – gali jį nulaužti, leidžiant užpuolikui apsimesti jūsų svetaine ar iššifruoti srautą. Priimtini minimumui yra 2048 bitų RSA arba 256 bitų elipsinė kreivė (EC). Šis tikrinimas praeina tais dydžiais ar aukščiau ir nepavyksta žemiau jų. Gerai atrodo kaip: 2048 bitų (arba 4096 bitų) RSA, arba 256 bitų EC raktas kaip P-256 – vėlgi, numatytasis šiuolaikiniuose nemokamos sertifikatuose.

Pastaba apie paskutinius tris: galiojantis ir patikimas yra kritinis, kuris varo įspėjimo puslapį. Parašo ir rakto stiprumas yra apie ateities apsaugą ir auditus – naujausias nemokamas sertifikatas beveik visada automatiškai juos praeina, bet jie yra dalykai, kuriuos patikrins saugumo peržiūra, todėl verta juos teisingai gauti.

Kaip tai ištaisyti (nemokama, ~15 minučių)

Perduokite šį skyrių tam, kas valdo jūsų svetainę ar prieglobą – pataisymas yra nemokamas. Galiojantis, stiprus, automatiškai atsinaujinantis sertifikatas nieko nekainuoja per „Let’s Encrypt” arba bet kurią šiuolaikinę prieglobą. Mes imame mokestį tik už stebėseną, kad jis išliktų sveikas laikui bėgant, o ne jam ištaisyti.

1 žingsnis – gaukite (arba pakeiskite) sertifikatą nemokamuoju, patikimuoju. Šis vienas žingsnis ištaiso galiojimą, parašą ir rakto stiprumą vienu metu, nes šiuolaikiniai nemokami sertifikatai pagal nutylėjimą naudoja SHA-256 ir stiprius raktus.

• Cloudflare: SSL/TLS → Apžvalga, nustatykite režimą į Full (Strict). Cloudflare išduoda ir automatiškai atnaujina patikimą briaunų sertifikatą jums; įsitikinkite, kad jūsų kilmės serveris taip pat turi galiojantį sertifikatą, kad „Strict” veiktų.
• Google Workspace / Microsoft 365 priegloba arba bet kuri cPanel priegloba: ieškokite SSL/TLS būsenos ir paleiskite AutoSSL. Ji automatiškai suteikia ir atnaujina nemokamus sertifikatus.
• Svetainių kūrėjai (Squarespace, Wix, Shopify, šiuolaikinės WordPress prieglobos): SSL paprastai yra numatytasis – patvirtinkite, kad jis įjungtas domeno / saugumo nustatymuose ir apima tiek jus.com, tiek www.jus.com.
• Jūsų pačių Linux serveris (Nginx / Apache): įdiekite „Let’s Encrypt” su „Certbot” – sudo certbot --nginx -d jus.com -d www.jus.com (arba --apache). Šiuolaikiniam EC raktui pridėkite --key-type ecdsa. Išvardykite kiekvieną prieglobos vardą, kuriam tarnaujate, su -d, kad sertifikatas juos visus atitiktų.

2 žingsnis – padarykite atnaujinimą automatišku, kad jis niekada nebaigtų. Tai yra žingsnis, kuris neleidžia savaitgalio nutrūkimo scenarijui.

• Ant „Let’s Encrypt” serverio patvirtinkite, kad atnaujinimo laikmatis yra aktyvus ir jį išbandykite: sudo certbot renew --dry-run. Certbot paprastai įdiegia automatinį laikmatį; jei ne, pridėkite dieninę cron užduotį: 0 3 * * * certbot renew --quiet.
• Cloudflare, cPanel AutoSSL ir valdomos / svetainių kūrėjų prieglobos atnaujinimas tvarkomas jums – nereikia nieko planuoti.

3 žingsnis – įsitikinkite, kad jis apima teisingus vardus. Dažniausia „galiojantis, bet įspėja” priežastis yra vardo neatitikimas. Sertifikatas turi apimti kiekvieną prieglobos vardą, kurį klientai iš tikrųjų naudoja – plikąjį domeną, www, ir bet kokius subdomenus kaip parduotuve. ar programa.. Generuodami sertifikatą, įtraukite kiekvieną (žvaigždelė kaip *.jus.com apima visus subdomenus iš karto).

4 žingsnis – jei pažymėtas tik parašo ar rakto stiprumas, tiesiog iš naujo išduokite. Jums nereikia nieko pirkti: sugeneruokite naują sertifikatą (1 žingsnis) ir naujas automatiškai naudos SHA-256 ir stiprų raktą. Ant savo serverio galite aiškiai pritvirtinti šiuolaikinį raktą – pvz., openssl ecparam -genkey -name prime256v1 -out server.key EC, arba openssl genrsa -out server.key 4096 RSA – tada iš naujo išduokite.

5 žingsnis – patikrinkite, tada iš naujo tikrinkite čia. Patvirtinkite datas, išdavėją ir raktą greitai komanda – echo | openssl s_client -servername jus.com -connect jus.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject – tada paleiskite šį tikrinimą iš naujo.

Dažnos klaidos

• Laiko „mes kartą įdiegėme SSL” kaip baigtą. Sertifikatai baigiasi laikrodžio principu. Be automatinio atnaujinimo, klausimas nėra jei jis baigiasi, bet kada – paprastai mažiausiai patogiausiu momentu.
• www apėmimas, bet ne pliko domeno (arba atvirkščiai). Abu turi būti ant sertifikato, arba vienas iš jų išmeta vardo neatitikimo įspėjimą. Ta pati spąstai sugauna naujus subdomenus, pridėtus vėliau.
• Savęs pasirašyto sertifikato palikimas „bandomajame” subdomeene, kuris iš tikrųjų yra viešas. Jis šifruoja, todėl jaučiasi saugus – bet naršyklės (ir saugumo skeneriai) laiko jį nepatikimu ir tai yra klasikinė audito raudona vėliavėlė.
• Manant, kad mokami yra saugesni. Nemokamas „Let’s Encrypt” sertifikatas yra lygiai taip pat patikimas ir šifruotas kaip brangus. Mokant daugiau negaunamas stipresnis spyna.
• Sertifikato atnaujinimas, bet serverio perkrovimo pamiršimas. Naujas sertifikatas, gulintis diske, nieko nedaro, kol žiniatinklio serveris neperkraunamas jį paimti – netikėtai dažna „atnaujinau, bet vis tiek rodo pasibaigusį” priežastis.
• Automatinis atnaujinimas, kuris tyliai nepavyko. Atnaujinimo darbas gali sugedinti (perkeltas failas, DNS pakeitimas, užblokuotas prievadas) ir toliau „sėkmingai” tyliai. Galiojimo datos stebėjimas – ne tik atnaujinimo darbas – yra tai, kas iš tikrųjų tai pagauna prieš kandant.

DUK