Defaults.Exposed › Popravki › Zdravje TLS certifikata

Kako popraviti Zdravje TLS certifikata

Vaš SSL/TLS certifikat je digitalna osebna izkaznica, ki dokazuje, da obiskovalec dejansko komunicira z vašo spletno stranjo — ne z lažno kopijo — in poganja ključavnico v brskalniku. To preverjanje preverja, ali je certifikat veljaven in zaupanja vreden, ali mu kmalu ne bo potekel in ali je zgrajen z močno, sodobno kriptografijo.

Bistvo za vaše podjetje: Pokvarjen ali potekel certifikat namesto vaše spletne strani pokaže celozaslonsko rdeče opozorilo 'Vaša povezava ni zasebna' v vsakem brskalniku. Večina obiskovalcev takoj odide in se ne vrne — spletna prodaja se ustavi, prijave se ustavijo, in zvezo, ki je bila zaupna, je mogoče tiho prestreči.

Kaj vas to lahko stane

• Vaš certifikat tiho poteče čez vikend; do ponedeljka vsak obiskovalec naleti na celostransko varnostno opozorilo, vaše blagajne in kontaktni obrazci so mrtvi in za vsako uro, ki jo potrebujete, da to opazite in obnovite, izgubljate prodajo.
• Stranka, ki plačuje prek kafejskega ali hotelskega omrežja WiFi, dobi opozorilo, da se vaš certifikat ne ujema z vašo domeno — predpostavi, da je vaša stran lažna ali vdrana, opusti nakup in drugim pove, da je 'izgledala sumljivo'.
• IT ekipa večjega naročnika pred sklenitvijo pogodbe opravi varnostni pregled in vidi samostojno podpisan ali nezaupan certifikat ter vas označi za tveganje — posel se zaustavi za nečim, kar ne stane ničesar za popraviti.
• Vaš certifikat uporablja zastarelo metodo podpisovanja ali šibek ključ; sodobni brskalniki začnejo prikazovati opozorila in varnostna revizija vas oceni nižje za kriptografijo, ki je bila leta izven priporočenega seznama.
• Sprejemate kartična plačila in vaš plačilni ponudnik vas revidira; šibek ključ ali potekel certifikat krši pravila varnosti plačil in vaša spletna blagajna je zamrznjena, dokler ni popravljena.

Zakaj je to pomembno. Certifikat je vizualno najpomembnejši del varnosti vaše spletne strani — ko je zdrav, je neviden, in ko se pokvari, vzame s seboj celotno stran z zastrašujočim opozorilom, ki žene stranke naravnost h konkurencem. Potek certifikata je najpogostejši vzrok nepričakovanih izpadov spletnih strani in je povsem preprečljiv. Pridobitev veljavnega certifikata je brezplačna, ohranjanje zdrave pa je večinoma vprašanje samodejnega obnavljanja.

Kaj to je v preprostem jeziku

Ko nekdo obišče vašo spletno stran, se morata zgoditi dve stvari, da se počuti varno pri vnosu gesla ali številke kartice. Prvič, povezava mora biti šifrirana, da je neznanci ne morejo prebrati. Drugič — in to je del, ki ga ljudje pogosto pozabijo — mora brskalnik obiskovalca biti prepričan, da je na drugi strani res vaša spletna stran in ne lažna kopija. Stvar, ki opravi obe nalogi, je vaš TLS certifikat (ki se pogosto imenuje “SSL certifikat”).

Razmišljajte o njem kot o varni osebni izkaznici za vašo domeno. Priznan organ jo izda, žigosana je z imenom vaše domene in datumom poteka ter nosi kriptografski ključ, ki šifrira povezavo. Ko je vse v redu, brskalnik prikaže ključavnico in vaša stran se normalno naloži. Ko je kaj narobe z osebno izkaznico, brskalnik naredi nasprotje od pomirjanja vašega obiskovalca — prikaže celostransko opozorilo, ki v bistvu pravi: “Ta stran morda ni varna.”

To preverjanje gleda na zdravje te osebne izkaznice v štirih točkah, ki jo vsaka neodvisno pokvarijo:

• Ali je veljavna in zaupanja vredna? — Izdana od priznanega organa, ujema z vašo točno domeno, ni samostojno podpisana in ni potekla.
• Ali ji kmalu poteče? — Ker certifikat, ki mu poteče, vzame celotno stran.
• Ali je podpisana z močno metodo? — Stare metode podpisovanja je mogoče ponarediti.
• Ali je njen ključ dovolj močan? — Šibek ključ je mogoče v teoriji razbiti.

Dobra novica: pridobitev zdravega certifikata je brezplačna in ohranjanje zdravega je večinoma vprašanje samodejnega obnavljanja.

Kaj vas to lahko stane

• Vikendni izpad. Certifikat tiho doseže datum poteka pozno v petek. Obnova, ki bi morala potekati, ni (strežnik se je premaknil, skript se je pokvaril, nihče ni opazil). Do sobotnega jutra vsak obiskovalec — in vsak Googlov indeksator — vidi celostransko rdeče opozorilo namesto vaše domače strani. Vaša prodajalna je zaprta in vi tega sploh ne veste.

• Opuščena blagajna. Stranka kupuje s telefona prek hotelskega omrežja WiFi. Vaš certifikat se ne ujema povsem z domeno, ki so jo vtipkali. Brskalnik jih opozori, da stran “morda posnema” vašo. Za netehničnega kupca to zveni kot prevara — zapre zavihek in vi nikoli ne veste, da je prodaja obstajala.

• Zaustavljeno pogodbo. Varnostna ekipa večjega potencialnega naročnika pred podpisom opravi rutinski pregled. Poroča o samostojno podpisanem ali nezaupnem certifikatu na eni od vaših podomen. Čeprav je vse ostalo v redu, ta posamezna rdeča zastavica obrne hitro odobritev v komunikacijo sem in tja, ki zamudi posel — za problem, ki ne stane ničesar za popraviti.

• Počasno opozorilo. Vaš certifikat je tehnično veljaven, a podpisan s SHA-1, staro metodo, ki jo brskalniki postopoma opuščajo. Po eni posodobitvi brskalnika del vaših obiskovalcev začne videti opozorila, ki jih vi sami ne morete reproducirati. Prispe podporna zahtevka, ki pravita, da stran “izgleda pokvarjena” in ne morete ugotoviti zakaj.

• Kršitev skladnosti. Sprejemate kartična plačila. Med ponovnim pregledom vaš ponudnik opozori na šibek ključ ali certifikat, ki mu je potekel. Pravila varnosti kartic zahtevajo močno, sodobno šifriranje — vaša spletna plačila so zamrznjena, dokler ne ponovno izdaste, kar blokira prihodke v najslabšem možnem trenutku.

Kaj to dejansko je (štiri deli)

Certifikat je nezdraven na štiri različne načine in ta stran zajema vse. Vsak je ločeno preverjanje, a za vas vsi pomenijo “ali je moj certifikat v redu?“

1. Veljaven in zaupanja vreden

To je bistveni del — in edini del zdravja certifikata, ki je kritično, najvišje prioritetno preverjanje. Certifikat je “veljaven in zaupanja vreden” le, ko so vse te točke izpolnjene:

• Izdal ga je priznan certifikacijski organ, ki mu brskalniki že zaupajo (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon itn.).
• Ujema se z natančno domeno, ki jo obiskovalec uporablja — vključno s poddomenami. Certifikat za www.vasespodjetje.com, ki ne pokriva vasespodjetje.com, bo opozoril pri goli domeni.
• Ni samostojno podpisan — torej ne tisti, ki ste ga izdali sami, ki sicer šifrira, a nič ne jamči, kdo ste vi.
• Je trenutno znotraj svojega datumskega okna — ni potekel in ni (redko, a se zgodi) nastavljen, da začne v prihodnosti.
• Njegova veriga zaupanja je nedotaknjena — organ, ki ga je podpisal, je sam zaupan, vse do vrha.

Če kateri koli od teh ne prestane preveritve, brskalniki pokažejo strašljivo stran “Vaša povezava ni zasebna”.

2. Kmalu ne bo potekel

Vsak certifikat ima trd datum poteka. Brezplačni navadno trajajo 90 dni; plačljivi pogosto eno leto. Po datumu zaupanje takoj izgine — ni odloga. To preverjanje meri, koliko dni je preostalo:

• Že poteklo ali poteče v manj kot 7 dneh — kritično, znak, da obnova ni uspela.
• Poteče v 30 dneh in ni samodejno upravljano — opozorilo za takojšnjo obnovo.
• Je od samodejno obnavljajočega ponudnika (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL ipd.) z vsaj enim tednom preostanka — prestane preveritev.

Kako izgleda “dobro”: samodejno upravljan certifikat, ki se sam obnovi brez da ga kdo dotakne. Najzanesljivejši način, da nikoli ne doživite izpada poteka, je, da za obnovo poskrbi stroj, ne oseba.

3. Močan algoritem podpisa

Vsak certifikat je “podpisan” z algoritmom, ki brskalnikom omogoča zaznati ponarejanje. Stari algoritmi — MD5 in SHA-1 — so se izkazali za ponaredljive. To preverjanje prestane, ko certifikat uporablja sodoben, močan podpis: SHA-256 ali boljši (SHA-384, SHA-512), sodoben ECDSA ali Ed25519/Ed448.

4. Močan ključ

Certifikat nosi kriptografski ključ, ki dejansko opravlja šifriranje. Če je ta ključ preshort, ga je — ob zadostnih virih — mogoče razbiti. Sprejeta minimuma sta 2048-bitni RSA ali 256-bitni eliptična krivulja (EC). To preverjanje prestane pri teh velikostih ali večjih.

Opomba o zadnjih treh: veljaven in zaupanja vreden je kritičen in poganja stran z opozorilom. Trdnost podpisa in ključa je vprašanje prihodnje varnosti in revizij — nedavni brezplačni certifikat skoraj vedno samodejno prestane, a so to stvari, ki jih bo varnostni pregled preveril.

Kako to popraviti (brezplačno, ~15 minut)

Posredujte ta razdelek tistemu, ki vodi vašo spletno stran ali gostovanje — popravek je brezplačen. Veljaven, močen, samodejno obnavljajoči se certifikat prek Let’s Encrypt ali katerega koli sodobnega gostitelja ne stane nič. Zaračunavamo le spremljanje, da ostane zdrav sčasoma, ne pa samega popravka.

1. korak — Pridobite (ali zamenjajte) certifikat z brezplačnim, zaupanja vrednim. Ta en korak popravi veljavnost, algoritem podpisa in trdnost ključa hkrati, saj sodobni brezplačni certifikati privzeto uporabljajo SHA-256 in močne ključe.

• Cloudflare: v SSL/TLS → Pregled nastavite način na Full (Strict). Cloudflare izda in samodejno obnovi zaupanja vreden robni certifikat za vas.
• Google Workspace / Microsoft 365 ali katerikoli cPanel gostitelj: poiščite SSL/TLS Status in zaženite AutoSSL. Samodejno zagotovi in obnovi brezplačne certifikate.
• Gradniki strani (Squarespace, Wix, Shopify, sodobni WordPress gostitelji): SSL je navadno privzeto vklopljen — potrdite, da je omogočen v vaših domenah/varnostnih nastavitvah.
• Vaš lastni Linux strežnik (Nginx/Apache): namestite Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasespodjetje.com -d www.vasespodjetje.com (ali --apache). Za sodoben EC ključ dodajte --key-type ecdsa. Navedite vsako ime gostitelja, ki ga strežite, z -d.

2. korak — Naredite obnavljanje samodejno, da nikoli ne poteče znova.

• Na strežniku Let’s Encrypt potrdite, da je timer za obnavljanje aktiven: sudo certbot renew --dry-run.
• Na Cloudflare, cPanel AutoSSL in upravljanih/gradnikih strani je obnavljanje zagotovljeno — ni ničesar za načrtovati.

3. korak — Prepričajte se, da pokriva prava imena. Certifikat mora pokrivati vsako ime gostitelja, ki ga stranke dejansko uporabljajo — golo domeno, www in vse poddomene, kot sta shop. ali app..

4. korak — Če je označen le algoritem podpisa ali trdnost ključa, preprosto ponovno izdajte. Nič ne kupujete: ustvarite svež certifikat (1. korak) in novi bo samodejno uporabljal SHA-256 in močan ključ.

5. korak — Preverite, nato tukaj znova preglejte. Potrdite datume, izdajatelja in ključ s hitrim ukazom — echo | openssl s_client -servername vasespodjetje.com -connect vasespodjetje.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — nato znova zaženite to preverjanje.

Pogoste napake

• Obravnavati “enkrat smo namestili SSL” kot dokončano. Certifikati potečejo po urniku. Brez samodejnega obnavljanja ni vprašanje ali bo potekel, a kdaj — navadno ob najmanj primernem trenutku.
• Pokrivati www, a ne golo domeno (ali obratno). Oba morata biti na certifikatu, ali en od njiju vrže opozorilo o neujemanju. Enaka past ujame nove poddomene, dodane pozneje.
• Pustiti samostojno podpisan certifikat na “testni” poddomeni, ki je dejansko javna. Šifrira, zato se zdi varno — a brskalniki (in varnostni skenerji) ravnajo z njim kot z nezaupnim.
• Predpostavljati, da je plačljivo bolj varno. Brezplačni certifikat Let’s Encrypt je natanko tako zaupan in šifriran kot drag. Plačevanje več ne zagotavlja močnejše ključavnice.
• Obnavljati certifikat, a pozabiti znova naložiti strežnik. Nov certifikat na disku ne naredi ničesar, dokler spletni strežnik ni znova naložen, da ga prevzame — presenetljivo pogost vzrok za “Obnovil sem ga, a še vedno kaže potekel.”
• Samodejno obnavljanje, ki je tiho odpoved. Opravilo obnavljanja se lahko pokvari (premaknjena datoteka, sprememba DNS, blokirana vrata) in ostane “uspešno” tiho. Spremljanje datuma poteka — ne le opravila obnavljanja — je tisto, kar to dejansko ujame, preden pike.

Pogosta vprašanja