Defaults.Exposed › Remedieri › Sănătatea certificatului TLS

Cum să remediezi Sănătatea certificatului TLS

Certificatul SSL/TLS este cartea de identitate digitală care dovedește unui vizitator că vorbește cu adevărat cu site-ul tău web — nu cu un impostor — și alimentează lacătul din browser. Această verificare analizează dacă acel certificat este valid și de încredere, nu pe punctul de a expira și construit cu criptografie puternică și modernă.

Concluzia pentru afacerea ta: Un certificat defect sau expirat înlocuiește site-ul tău cu un avertisment roșu pe tot ecranul 'Conexiunea ta nu este privată' în fiecare browser. Cei mai mulți vizitatori pleacă instantaneu și nu se mai întorc — vânzările online se opresc, înregistrările se opresc, iar conexiunea care ar fi trebuit să fie privată poate fi interceptată în tăcere.

Ce te poate costa

• Certificatul tău expiră în tăcere în weekend; până luni fiecare vizitator vede un avertisment de securitate pe toată pagina, formularul de plată și de contact sunt moarte, și pierzi vânzări pentru fiecare oră care trece până observi și reînnoiești.
• Un client care plătește prin Wi-Fi de cafenea sau hotel primește un avertisment că certificatul tău nu se potrivește cu domeniul tău — presupun că site-ul tău este fals sau piratat, abandonează achiziția și le spun altora că 'părea dubios'.
• Echipa IT a unui client mai mare rulează o scanare de securitate pre-contract, vede un certificat auto-semnat sau neîncrezut și te marchează ca risc — tranzacția se blochează din ceva care nu costă nimic să remediezi.
• Certificatul tău folosește o metodă de semnare depășită sau o cheie slabă; browserele moderne încep să afișeze avertismente pe el, iar un audit de securitate te marchează pentru criptografie care este de ani de zile în afara listei recomandate.
• Iei plăți cu cardul și furnizorul de plăți te re-auditează; o cheie slabă sau un certificat expirat încalcă regulile de securitate a plăților și plata online este înghețată până este corectată.

De ce contează. Certificatul este cel mai vizibil element de securitate al site-ului tău web — când este sănătos este invizibil, iar când se strică îți ia tot site-ul cu un avertisment înspăimântător care trimite clienții direct la concurenți. Expirarea certificatelor este cauza numărul unu a întreruperilor neașteptate ale site-urilor web și este complet prevenibilă. Obținerea unui certificat valid este gratuită, iar menținerea lui sănătos este în mare parte o chestiune de a-i permite să se reînnoiască automat.

Ce este, în cuvinte simple

Când cineva vizitează site-ul tău, două lucruri trebuie să se întâmple pentru ca ei să se simtă în siguranță tastând o parolă sau un număr de card. Mai întâi, conexiunea trebuie criptată astfel că străinii nu o pot citi. În al doilea rând — și aceasta este partea pe care oamenii o uită — browserul vizitatorului trebuie să fie sigur că este cu adevărat site-ul tău la celălalt capăt și nu un impostor care a configurat un fals convingător. Lucrul care face ambele sarcini este certificatul TLS (adesea numit “certificat SSL”).

Gândește-te la el ca la o carte de identitate inviolabilă pentru domeniul tău. O autoritate recunoscută îl emite, este ștampilat cu numele domeniului tău și o dată de expirare și poartă cheia criptografică care amestecă conexiunea. Când totul este verificat, browserul arată lacătul și site-ul tău se încarcă normal. Când ceva nu este în regulă cu cartea de identitate, browserul face opusul de a-ți asigura vizitatorii — aruncă un avertisment pe tot ecranul care spune, în esență, “acest site poate să nu fie sigur.”

Această verificare analizează sănătatea acelei cărți de identitate pe patru dimensiuni care fiecare o pot strica independent:

• Este validă și de încredere? — emisă de o autoritate recunoscută, care se potrivește cu exact domeniul tău, nu auto-semnată și nu expirată.
• Este pe punctul de a expira? — deoarece un certificat care expiră îți ia tot site-ul offline.
• Este semnat cu o metodă puternică? — algoritmii de semnare vechi pot fi falsificați.
• Este cheia sa suficient de puternică? — o cheie slabă poate, în principiu, fi spartă.

Vestea bună din start: obținerea unui certificat sănătos este gratuită, iar menținerea lui sănătos este în mare parte despre a-l lăsa să se reînnoiască singur automat astfel că niciun om nu trebuie să-și amintească.

Ce te poate costa

• Întreruperea de weekend. Un certificat atinge în tăcere data sa de expirare vineri seara. Reînnoirea care ar fi trebuit să ruleze nu a rulat (un server mutat, un script defect, nimeni nu a observat). Până sâmbătă dimineața fiecare vizitator — și fiecare crawler Google — vede un avertisment roșu pe toată pagina în loc de pagina ta de start. Magazinul tău este închis și nici nu știi. Remedierea tehnică durează minute; weekend-ul pierdut de vânzări și clienții care au decis că “ai dat faliment” nu se întorc.

• Checkout-ul abandonat. Un client cumpără de pe telefon prin Wi-Fi de hotel. Certificatul tău nu se potrivește exact cu domeniul pe care l-au tastat (să zicem că acoperă shop.afacereataa.com dar nu afacereataa.com gol pe care l-au folosit). Browserul îi avertizează că site-ul “poate impersona” pe al tău. Pentru un cumpărător non-tehnic aceasta se citește ca înșelătorie — închid tab-ul, și tu nu știi niciodată că a existat vânzarea.

• Contractul blocat. Echipa de securitate a unui prospect mai mare rulează o scanare de rutină înainte de semnare. Revine arătând un certificat auto-semnat sau neîncrezut pe unul din subdomeniile tale. Chiar dacă totul altceva este bine, acel singur semnal roșu transformă o aprobare rapidă într-un dus-întors care amână tranzacția — pentru o problemă care nu costă nimic să remediezi.

• Avertismentul cu mișcare lentă. Certificatul tău este tehnic valid dar semnat cu SHA-1, o metodă veche pe care browserele o elimină treptat. O actualizare de browser mai târziu, o parte din vizitatorii tăi încep să vadă avertismente pe care nu le poți reproduce pe propria mașină actualizată. Tichetele de suport vin treptat spunând că site-ul “pare defect” și nu poți înțelege de ce.

• Eșecul de conformitate. Iei plăți cu cardul. În timpul unui re-audit, verificările furnizorului tău semnalează o cheie slabă sau un certificat care a expirat. Regulile de securitate a cardurilor necesită criptare puternică, actuală — deci plățile tale online sunt suspendate până reemiți, înghețând veniturile la cel mai prost moment posibil.

Ce este de fapt (cele patru componente)

Un certificat poate fi nesănătos în patru moduri distincte, iar această pagină le acoperă pe toate. Fiecare este o verificare separată sub capotă, dar pentru tine sunt toate “certificatul meu este OK?“

1. Valid și de încredere

Aceasta este cea mai importantă — și singura parte a sănătății certificatelor care este o verificare critică, de greutate maximă. Un certificat este “valid și de încredere” numai când toate acestea sunt adevărate:

• A fost emis de o autoritate de certificare recunoscută pe care browserele o au deja de încredere (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon etc.).
• Se potrivește cu exact domeniul pe care îl folosește vizitatorul — inclusiv subdomeniile.
• Nu este auto-semnat — adică nu unul emis de tine însuți, care criptează dar nu dovedește nimic despre cine ești.
• Este în prezent în fereastra sa de dată — nu expirat și nu (ciudat dar se întâmplă) datat să înceapă în viitor.
• Lanțul de încredere este intact — autoritatea care l-a semnat este ea însăși de încredere, tot drumul în sus.

Dacă oricare din acestea eșuează, browserele afișează temuta pagină “Conexiunea ta nu este privată”, iar această verificare eșuează grav. Bine arată ca: un certificat de la o autoritate recunoscută, care acoperă fiecare domeniu și subdomeniu pe care clienții tăi îl folosesc de fapt, confortabil în interiorul datelor sale.

2. Nu pe punctul de a expira

Fiecare certificat are o dată fixă de expirare. Cele gratuite durează de obicei 90 de zile; cele plătite adesea un an. Dincolo de dată, încrederea dispare instantaneu — nu există perioadă de grație. Această verificare măsoară câte zile au mai rămas și cum interacționează cu cine l-a emis:

• Dacă a expirat deja sau expiră în sub 7 zile, aceasta este tratată ca critică — un semn că reînnoirea a eșuat.
• Dacă expiră în 30 de zile și nu este auto-gestionat, aceasta este un avertisment să reînnoiești acum.
• Dacă este de la un furnizor auto-reînnoit (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL și similar) cu cel puțin o săptămână rămasă, trece — deoarece se așteaptă să se reînnoiască înainte de termenul limită.
• Timp sufficient (90+ zile sau auto-gestionat) este o trecere curată.

Bine arată ca: un certificat auto-gestionat care se reînnoiește singur fără ca cineva să îl atingă. Cel mai sigur mod de a nu mai avea niciodată o întrerupere de expirare este să faci o mașină, nu o persoană, responsabilă pentru reînnoire.

3. Algoritm de semnare puternic

Fiecare certificat este “semnat” folosind un algoritm criptografic care permite browserelor să detecteze falsificarea. Algoritmii vechi — MD5 și SHA-1 — s-au dovedit a fi falsificabile. Această verificare trece când certificatul folosește o semnătură puternică, modernă: SHA-256 sau mai puternică (SHA-384, SHA-512), ECDSA modernă sau Ed25519/Ed448. MD5 și SHA-1 eșuează. Bine arată ca: SHA-256 sau mai bine — care este implicit pe fiecare certificat gratuit și modern.

4. Cheie puternică

Certificatul poartă o cheie criptografică care face amestecarea reală. Dacă acea cheie este prea scurtă, puterea modernă de calcul poate — cu resurse suficiente — să o spargă. Minimele acceptate sunt RSA de 2048 de biți sau curbă eliptică (EC) de 256 de biți. Această verificare trece la aceste dimensiuni sau mai sus și eșuează sub ele. Bine arată ca: RSA de 2048 de biți (sau 4096 de biți), sau o cheie EC de 256 de biți precum P-256 — din nou, implicit pe certificatele gratuite moderne.

O notă despre ultimele trei: valid-și-de-încredere este cel critic care generează pagina de avertisment. Puterea semnăturii și a cheii privesc dovada-de-viitor și auditurile — un certificat gratuit recent le trece aproape întotdeauna automat, dar sunt lucrurile pe care o revizuire de securitate le va verifica.

Cum se remediază (gratuit, ~15 minute)

Predă această secțiune celui care rulează site-ul tău sau găzduirea — remedierea este gratuită. Un certificat valid, puternic, auto-reînnoit nu costă nimic prin Let’s Encrypt sau orice gazdă modernă. Percepem taxe numai pentru monitorizarea că rămâne sănătos în timp, nu pentru remedierea lui.

Pasul 1 — Obține (sau înlocuiește) certificatul cu unul gratuit, de încredere. Acest singur pas remediază validitatea, semnătura și puterea cheii simultan, deoarece certificatele gratuite moderne folosesc SHA-256 și chei puternice implicit.

• Cloudflare: în SSL/TLS → Prezentare generală, setează modul pe Full (Strict). Cloudflare emite și reînnoiește automat un certificat de margine de încredere pentru tine; asigură-te că serverul tău de origine are de asemenea un certificat valid astfel că “Strict” funcționează.
• Gazde cPanel: caută Stare SSL/TLS și rulează AutoSSL. Provizionează și reînnoiește automat certificate gratuite.
• Constructori de site-uri (Squarespace, Wix, Shopify, gazde WordPress moderne): SSL este de obicei activat implicit — confirmă că este activat în setările tale de domeniu/securitate.
• Propriul tău server Linux (Nginx/Apache): instalează Let’s Encrypt cu Certbot — sudo certbot --nginx -d afacereataa.com -d www.afacereataa.com (sau --apache). Listează fiecare gazdă pe care o servești cu -d astfel că certificatul se potrivește cu toate.

Pasul 2 — Fă reînnoirea automată astfel că nu expiră niciodată.

• Pe un server Let’s Encrypt, confirmă că temporizerul de reînnoire este activ: sudo certbot renew --dry-run. Adaugă un cron job zilnic dacă nu există: 0 3 * * * certbot renew --quiet.
• Pe Cloudflare, cPanel AutoSSL și gaze gestionate/constructori de site-uri, reînnoirea este gestionată pentru tine.

Pasul 3 — Asigură-te că acoperă numele potrivite. Certificatul trebuie să acopere fiecare gazdă pe care clienții o folosesc de fapt — domeniul gol, www și orice subdomenii. La generarea unui certificat, include fiecare.

Pasul 4 — Dacă numai puterea semnăturii sau a cheii este semnalată, reemite pur și simplu. Nu trebuie să cumperi nimic: generează un certificat proaspăt (Pasul 1) și cel nou va folosi SHA-256 și o cheie puternică automat.

Pasul 5 — Verifică, apoi reverifică aici. Confirmă datele, emitentul și cheia cu o comandă rapidă — echo | openssl s_client -servername afacereataa.com -connect afacereataa.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — apoi rulează din nou această verificare.

Greșeli comune

• Tratând “am instalat SSL odată” ca terminat. Certificatele expiră pe un ceas. Fără auto-reînnoire, întrebarea nu este dacă expiră ci când — de obicei la cel mai puțin convenabil moment.
• Acoperind www dar nu domeniul gol (sau invers). Ambele trebuie să fie pe certificat, sau unul dintre ele aruncă un avertisment de nepotrivire a numelui.
• Lăsând un certificat auto-semnat pe un subdomeniu “de test” care este de fapt public. Criptează, deci se simte sigur — dar browserele (și scannere de securitate) îl tratează ca neîncrezut.
• Presupunând că plătit înseamnă mai sigur. Un certificat gratuit Let’s Encrypt este exact la fel de de încredere și criptat ca unul scump.
• Reînnoind certificatul dar uitând să reîncarci serverul. Un certificat nou care stă pe disc nu face nimic până serverul web este reîncarcat pentru a-l prelua.
• Auto-reînnoire care a eșuat în tăcere. Un job de reînnoire poate să se strice și să continue să “reușească” în tăcere. Monitorizarea datei de expirare — nu numai job-ul de reînnoire — este ceea ce prinde de fapt asta înainte să muște.

Întrebări frecvente