Defaults.Exposed › Pembaikan › Kesihatan sijil TLS

Cara memperbaiki Kesihatan sijil TLS

Sijil SSL/TLS anda ialah kad pengenalan digital yang membuktikan pengunjung sedang bercakap dengan laman web anda yang sebenar — bukan peniru — dan menggerakkan ikon kunci dalam pelayar. Semakan ini melihat sama ada sijil itu sah dan dipercayai, tidak akan tamat tempoh, dan dibina dengan kriptografi yang kukuh dan moden.

Kesimpulan untuk perniagaan anda: Sijil yang rosak atau tamat tempoh menggantikan laman web anda dengan amaran merah skrin penuh 'Sambungan anda tidak peribadi' dalam setiap pelayar. Kebanyakan pengunjung pergi serta-merta dan tidak kembali — jualan dalam talian berhenti, pendaftaran berhenti, dan sambungan yang sepatutnya peribadi boleh dipintas secara senyap.

Apakah kos yang boleh timbul

• Sijil anda tamat tempoh secara senyap pada hujung minggu; menjelang Isnin setiap pengunjung mendapat amaran keselamatan skrin penuh, borang checkout dan kenalan anda tidak berfungsi, dan anda kehilangan jualan bagi setiap jam yang diperlukan untuk menyedari dan memperbaharui.
• Pelanggan yang membayar melalui WiFi kafe atau hotel mendapat amaran bahawa sijil anda tidak sepadan dengan domain anda — mereka menganggap laman anda palsu atau digodam, meninggalkan pembelian, dan memberitahu orang lain ia 'kelihatan mencurigakan'.
• Pasukan IT klien yang lebih besar menjalankan imbasan keselamatan pra-kontrak, melihat sijil yang ditandatangani sendiri atau tidak dipercayai, dan menanda anda sebagai risiko — urusan perniagaan tertangguh atas sesuatu yang tidak memerlukan kos untuk dibetulkan.
• Sijil anda menggunakan kaedah penandatanganan yang lapuk atau kunci yang lemah; pelayar moden mula menunjukkan amaran padanya, dan audit keselamatan menandai anda untuk kriptografi yang sudah bertahun-tahun berada di luar senarai yang disyorkan.
• Anda menerima pembayaran kad dan pembekal pembayaran mengaudit semula anda; kunci yang lemah atau sijil yang tamat tempoh melanggar peraturan keselamatan pembayaran dan checkout dalam talian anda dibekukan sehingga ia diperbetulkan.

Mengapa ia penting. Sijil adalah bahagian paling kelihatan keselamatan laman web anda — apabila ia sihat ia tidak kelihatan, dan apabila ia rosak ia membawa turun seluruh laman anda dengan amaran menakutkan yang menghalaukan pelanggan terus kepada pesaing. Tamat tempoh sijil adalah punca nombor satu gangguan laman web yang tidak dijangka, dan ia sepenuhnya boleh dicegah. Mendapatkan sijil yang sah adalah percuma, dan memastikannya sihat sebahagian besarnya adalah perkara membiarkannya memperbaharui secara automatik.

Apa ini, dalam bahasa mudah

Apabila seseorang melawati laman web anda, dua perkara perlu berlaku supaya mereka berasa selamat menaip kata laluan atau nombor kad. Pertama, sambungan mesti disulitkan supaya orang asing tidak boleh membacanya. Kedua — dan ini adalah bahagian yang orang lupa — pelayar pengunjung mesti pasti ia benar-benar laman web anda di hujung yang lain, dan bukan peniru yang telah menyediakan tiruan yang meyakinkan. Perkara yang melakukan kedua-dua kerja ialah sijil TLS anda (sering dipanggil “sijil SSL”).

Anggap ia sebagai kad pengenalan kalis gangguan untuk domain anda. Pihak berkuasa yang diiktiraf mengeluarkannya, ia dicap dengan nama domain anda dan tarikh tamat tempoh, dan ia membawa kunci kriptografi yang mengelirukan sambungan. Apabila semua diperiksa, pelayar menunjukkan kunci dan laman anda dimuatkan secara normal. Apabila ada yang salah dengan kad pengenalan, pelayar melakukan yang berlawanan daripada meyakinkan pengunjung anda — ia memunculkan amaran skrin penuh yang berkata, secara berkesan, “laman ini mungkin tidak selamat.”

Semakan ini melihat kesihatan kad pengenalan itu merentas empat perkara yang masing-masing secara bebas memecahkannya:

• Adakah ia sah dan dipercayai? — dikeluarkan oleh pihak berkuasa yang diiktiraf, sepadan dengan domain tepat anda, bukan ditandatangani sendiri, dan tidak tamat tempoh.
• Adakah ia akan tamat tempoh tidak lama lagi? — kerana sijil yang luput membawa turun seluruh laman anda.
• Adakah ia ditandatangani dengan kaedah yang kukuh? — algoritma penandatanganan lama boleh dipalsukan.
• Adakah kuncinya cukup kuat? — kunci yang lemah boleh, secara prinsip, dipecahkan.

Berita baiknya terlebih dahulu: mendapatkan sijil yang sihat adalah percuma, dan memastikannya sihat sebahagian besarnya adalah tentang membiarkannya memperbaharui sendiri secara automatik supaya tiada manusia yang perlu ingat.

Apa yang ini boleh koskan anda

• Gangguan hujung minggu. Sijil secara senyap mencapai tarikh tamat tempohnya pada Jumaat lewat. Pembaharuan yang sepatutnya berjalan tidak berlaku (pelayan dipindahkan, skrip rosak, tiada yang menyedari). Menjelang pagi Sabtu setiap pengunjung — dan setiap crawler Google — melihat amaran merah skrin penuh dan bukannya halaman utama anda. Kedai anda tutup dan anda tidak pun tahu. Pembetulan teknikal mengambil masa minit; hujung minggu jualan yang hilang dan pelanggan yang memutuskan anda “sudah keluar dari perniagaan” tidak kembali.

• Checkout yang ditinggalkan. Pelanggan membeli dari telefon mereka di WiFi hotel. Sijil anda tidak cukup sepadan dengan domain yang mereka taip (katakan ia merangkumi shop.yourbiz.com tetapi bukan yourbiz.com bare yang mereka gunakan). Pelayar memberi amaran kepada mereka bahawa laman itu “mungkin sedang menyamar” laman anda. Bagi pembeli bukan teknikal itu dibaca sebagai penipuan — mereka menutup tab, dan anda tidak pernah tahu jualan itu wujud.

• Kontrak yang tertangguh. Pasukan keselamatan prospek yang lebih besar menjalankan imbasan rutin sebelum menandatangani. Ia kembali menunjukkan sijil yang ditandatangani sendiri atau tidak dipercayai pada satu subdomain anda. Walaupun segalanya baik-baik sahaja, satu bendera merah tunggal itu mengubah kelulusan cepat menjadi bolak-balik yang menangguhkan urusan perniagaan — atas masalah yang tidak memerlukan kos untuk dibetulkan.

• Amaran gerak lambat. Sijil anda sah secara teknikal tetapi ditandatangani dengan SHA-1, kaedah lama yang pelayar sedang memfasakan. Satu kemas kini pelayar kemudian, sebahagian pengunjung anda mula melihat amaran yang tidak dapat anda reproduksi pada mesin terkini anda sendiri. Tiket sokongan menetes masuk mengatakan laman kelihatan “rosak” dan anda tidak dapat mengetahui sebabnya.

• Kegagalan pematuhan. Anda menerima pembayaran kad. Semasa audit semula, semakan pembekal menanda kunci yang lemah atau sijil yang luput. Peraturan keselamatan kad memerlukan penyulitan yang kukuh dan terkini — jadi pembayaran dalam talian anda digantung sehingga anda mengeluarkan semula, membekukan hasil pada masa yang paling tidak sesuai.

Apa yang ia sebenarnya (empat bahagian)

Sijil boleh tidak sihat dalam empat cara yang berbeza, dan halaman ini merangkumi semuanya. Setiap satu adalah semakan berasingan di bawah, tetapi bagi anda ia semua “adakah sijil saya OK?“

1. Sah dan dipercayai

Inilah yang utama — dan satu-satunya bahagian kesihatan sijil yang merupakan semakan kritikal dengan berat tertinggi. Sijil adalah “sah dan dipercayai” hanya apabila semua ini adalah benar:

• Ia dikeluarkan oleh pihak berkuasa sijil yang diiktiraf yang pelayar sudah percaya (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, dan sebagainya).
• Ia sepadan dengan domain tepat yang pengunjung gunakan — termasuk subdomain. Sijil untuk www.yourbiz.com yang tidak juga merangkumi yourbiz.com akan memberi amaran pada domain bare.
• Ia bukan ditandatangani sendiri — iaitu bukan yang anda keluarkan kepada diri sendiri, yang menyulitkan tetapi tidak membuktikan siapa anda.
• Ia kini dalam tetingkap tarikh — tidak tamat tempoh, dan tidak (pelik tetapi berlaku) bertarikh untuk bermula pada masa hadapan.
• Rantai kepercayaannya utuh — pihak berkuasa yang menandatanganinya sendiri dipercayai, sehingga ke atas.

Jika mana-mana satu ini gagal, pelayar menunjukkan halaman “Sambungan anda tidak peribadi” yang ditakuti, dan semakan ini gagal teruk. Baik kelihatan seperti: sijil dari pihak berkuasa yang diiktiraf, merangkumi setiap domain dan subdomain yang sebenarnya anda gunakan, selesa dalam tarihnya.

2. Tidak akan tamat tempoh tidak lama lagi

Setiap sijil mempunyai tarikh tamat yang keras. Yang percuma biasanya berlangsung 90 hari; yang berbayar selalunya setahun. Selepas tarikh itu, kepercayaan serta-merta hilang — tiada tempoh masa lapang. Semakan ini mengukur berapa hari yang tinggal dan bagaimana ia berinteraksi dengan siapa yang mengeluarkannya:

• Jika ia sudah tamat tempoh, atau tamat tempoh dalam kurang dari 7 hari, itu dianggap kritikal — tanda pembaharuan telah gagal.
• Jika ia tamat tempoh dalam 30 hari dan tidak diurus secara automatik, itu adalah amaran untuk memperbaharui sekarang.
• Jika ia dari pembekal pembaharuan automatik (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL dan yang serupa) dengan sekurang-kurangnya seminggu lagi, ia lulus — kerana dijangkakan ia memperbaharui sendiri sebelum tarikh akhir.
• Lebihan masa yang banyak (90+ hari, atau diurus secara automatik) adalah lulus yang bersih.

Baik kelihatan seperti: sijil diurus secara automatik yang memperbaharui sendiri tanpa sesiapa yang menyentuhnya. Cara paling boleh dipercayai tunggal untuk tidak pernah mengalami gangguan tamat tempoh adalah untuk membuat mesin, bukan manusia, bertanggungjawab untuk pembaharuan.

3. Algoritma tandatangan yang kukuh

Setiap sijil “ditandatangani” menggunakan algoritma kriptografi yang membolehkan pelayar mengesan gangguan. Algoritma lama — MD5 dan SHA-1 — telah ditunjukkan boleh dipalsukan, bermakna penyerang boleh secara prinsip mencipta sijil palsu yang kelihatan sah milik anda. Semakan ini lulus apabila sijil menggunakan tandatangan moden yang kukuh: SHA-256 atau lebih kuat (SHA-384, SHA-512), ECDSA moden, atau Ed25519/Ed448. MD5 dan SHA-1 gagal. Baik kelihatan seperti: SHA-256 atau lebih baik — yang merupakan lalai pada setiap sijil percuma dan moden, jadi ini jarang menjadi masalah pada apa-apa yang dikeluarkan dalam beberapa tahun kebelakangan ini.

4. Kunci yang kukuh

Sijil membawa kunci kriptografi yang melakukan pengeliruan sebenar. Jika kunci itu terlalu pendek, kuasa pengkomputeran moden boleh — dengan sumber yang mencukupi — memecahkannya, membolehkan penyerang menyamar laman anda atau menyahsulit trafik. Minimum yang diterima ialah 2048-bit RSA atau 256-bit lengkung eliptik (EC). Semakan ini lulus pada saiz tersebut atau ke atas dan gagal di bawahnya. Baik kelihatan seperti: 2048-bit (atau 4096-bit) RSA, atau kunci EC 256-bit seperti P-256 — sekali lagi, lalai pada sijil percuma moden.

Nota tentang tiga yang terakhir: sah-dan-dipercayai adalah yang kritikal yang memacu halaman amaran. Kekuatan tandatangan dan kunci adalah tentang pembuktian masa hadapan dan audit — sijil percuma terkini hampir selalu lulus secara automatik, tetapi ia adalah perkara yang semakan keselamatan akan periksa, jadi ia berbaloi untuk dibetulkan.

Cara membetulkannya (percuma, ~15 minit)

Berikan bahagian ini kepada sesiapa yang menjalankan laman web atau pengehosan anda — pembetulan adalah percuma. Sijil yang sah, kukuh, dan memperbaharui secara automatik tidak memerlukan kos melalui Let’s Encrypt atau mana-mana hos moden. Kami hanya mengenakan bayaran untuk memantau bahawa ia kekal sihat dari masa ke masa, bukan untuk membetulkannya. Jika anda tidak mempunyai orang IT, nota platform di bawah akan membawa kebanyakan pemilik ke sana.

Langkah 1 — Dapatkan (atau gantikan) sijil dengan yang percuma dan dipercayai. Langkah tunggal ini membetulkan kesahihan, tandatangan, dan kekuatan kunci sekaligus, kerana sijil percuma moden menggunakan SHA-256 dan kunci yang kukuh secara lalai.

• Cloudflare: dalam SSL/TLS → Overview, tetapkan mod kepada Full (Strict). Cloudflare mengeluarkan dan memperbaharui secara automatik sijil tepi yang dipercayai untuk anda; pastikan pelayan asal anda juga mempunyai sijil yang sah supaya “Strict” berfungsi.
• Google Workspace / Microsoft 365 atau mana-mana hos cPanel: cari SSL/TLS Status dan jalankan AutoSSL. Ia memperuntukkan dan memperbaharui sijil percuma secara automatik.
• Pembina laman (Squarespace, Wix, Shopify, hos WordPress moden): SSL biasanya aktif secara lalai — sahkan ia diaktifkan dalam tetapan domain/keselamatan anda, dan ia merangkumi yourbiz.com dan www.yourbiz.com.
• Pelayan Linux anda sendiri (Nginx/Apache): pasang Let’s Encrypt dengan Certbot — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (atau --apache). Untuk kunci EC moden, tambah --key-type ecdsa. Senaraikan setiap nama hos yang anda layani dengan -d supaya sijil sepadan semuanya.

Langkah 2 — Jadikan pembaharuan automatik supaya ia tidak pernah tamat tempoh lagi. Ini adalah langkah yang menghalang senario gangguan hujung minggu.

• Pada pelayan Let’s Encrypt, sahkan pemasa pembaharuan aktif dan ujinya: sudo certbot renew --dry-run. Certbot biasanya memasang pemasa automatik; jika tidak, tambah kerja cron harian: 0 3 * * * certbot renew --quiet.
• Pada Cloudflare, cPanel AutoSSL, dan hos terurus/pembina laman, pembaharuan dikendalikan untuk anda — tiada apa yang perlu dijadualkan.

Langkah 3 — Pastikan ia merangkumi nama yang betul. Punca paling biasa “sah tetapi memberi amaran” ialah ketidakpadanan nama. Sijil mesti merangkumi setiap nama hos yang pelanggan sebenarnya gunakan — domain bare, www, dan mana-mana subdomain seperti shop. atau app.. Semasa menjana sijil, sertakan setiap satu (wildcard seperti *.yourbiz.com merangkumi semua subdomain dalam sekali jalan).

Langkah 4 — Jika hanya kekuatan tandatangan atau kunci yang ditandakan, hanya keluarkan semula. Anda tidak perlu membeli apa-apa: jana sijil segar (Langkah 1) dan yang baru akan menggunakan SHA-256 dan kunci yang kukuh secara automatik. Pada pelayan anda sendiri anda boleh menyemat kunci moden secara eksplisit — cth. openssl ecparam -genkey -name prime256v1 -out server.key untuk EC, atau openssl genrsa -out server.key 4096 untuk RSA — kemudian keluarkan semula.

Langkah 5 — Sahkan, kemudian semak semula di sini. Sahkan tarikh, pengeluar dan kunci dengan arahan pantas — echo | openssl s_client -servername yourbiz.com -connect yourbiz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — kemudian jalankan semula semakan ini.

Kesilapan biasa

• Menganggap “kami pasang SSL sekali” sudah selesai. Sijil tamat tempoh pada jam. Tanpa pembaharuan automatik, soalannya bukan jika ia luput tetapi bila — biasanya pada masa yang paling tidak sesuai.
• Merangkumi www tetapi bukan domain bare (atau sebaliknya). Kedua-duanya mesti ada pada sijil, atau satu daripadanya memberi amaran ketidakpadanan nama. Perangkap yang sama menangkap subdomain baru yang ditambah kemudian.
• Meninggalkan sijil yang ditandatangani sendiri pada subdomain “ujian” yang sebenarnya awam. Ia menyulitkan, jadi ia terasa selamat — tetapi pelayar (dan pengimbas keselamatan) menganggapnya tidak dipercayai, dan ia adalah bendera merah audit yang klasik.
• Menganggap berbayar bermakna lebih selamat. Sijil Let’s Encrypt percuma adalah sama dipercayai dan sama disulitkan dengan yang mahal. Membayar lebih tidak membuat kunci yang lebih kuat.
• Memperbaharui sijil tetapi terlupa untuk muat semula pelayan. Sijil baru yang duduk di disk tidak membuat apa-apa sehingga pelayan web dimuat semula untuk mengambilnya — punca “saya memperbaharuinya tetapi ia masih menunjukkan tamat tempoh” yang mengejutkan biasa.
• Pembaharuan automatik yang secara senyap gagal. Kerja pembaharuan boleh rosak (fail yang dipindahkan, perubahan DNS, port disekat) dan terus “berjaya” secara senyap. Memantau tarikh tamat tempoh — bukan hanya kerja pembaharuan — adalah yang sebenarnya menangkap ini sebelum ia menggigit.

Soalan Lazim