Defaults.Exposed

Defaults.Exposedการแก้ไข › ความสมบูรณ์ของใบรับรอง TLS

วิธีแก้ไข ความสมบูรณ์ของใบรับรอง TLS

ใบรับรอง SSL/TLS ของคุณคือบัตรประจำตัวดิจิทัลที่พิสูจน์ว่าผู้เข้าชมกำลังคุยกับเว็บไซต์ของคุณจริงๆ — ไม่ใช่ผู้แอบอ้าง — และขับเคลื่อนกุญแจในเบราว์เซอร์ การตรวจสอบนี้ดูว่าใบรับรองนั้นถูกต้องและเชื่อถือได้ ใกล้หมดอายุหรือไม่ และสร้างด้วยการเข้ารหัสที่แข็งแกร่งและทันสมัยหรือไม่

สรุปสำหรับธุรกิจของคุณ: ใบรับรองที่เสียหายหรือหมดอายุแทนที่เว็บไซต์ของคุณด้วยคำเตือนสีแดงแบบเต็มหน้าจอ 'การเชื่อมต่อของคุณไม่เป็นส่วนตัว' ในทุกเบราว์เซอร์ ผู้เข้าชมส่วนใหญ่ออกไปทันทีและไม่กลับมา — ยอดขายออนไลน์หยุด การสมัครหยุด และการเชื่อมต่อที่ควรจะเป็นส่วนตัวอาจถูกดักฟังอย่างเงียบๆ

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ ใบรับรองคือส่วนที่มองเห็นได้มากที่สุดของความปลอดภัยเว็บไซต์ของคุณ — เมื่อสมบูรณ์มันมองไม่เห็น และเมื่อเสียหายมันพาเว็บไซต์ทั้งหมดของคุณไปพร้อมกับคำเตือนที่น่ากลัวที่ขับลูกค้าไปยังคู่แข่ง การหมดอายุของใบรับรองคือสาเหตุหลักอันดับหนึ่งของการหยุดให้บริการเว็บไซต์ที่ไม่คาดคิด และป้องกันได้ทั้งหมด การรับใบรับรองที่ถูกต้องฟรี และการรักษาสุขภาพเป็นเรื่องของการปล่อยให้ต่ออายุโดยอัตโนมัติ

มันคืออะไรในคำพูดธรรมดา

เมื่อมีคนเข้าเว็บไซต์ของคุณ สองสิ่งต้องเกิดขึ้นเพื่อให้พวกเขารู้สึกปลอดภัยพิมพ์รหัสผ่านหรือหมายเลขบัตร อย่างแรก การเชื่อมต่อต้องถูกเข้ารหัสเพื่อให้คนแปลกหน้าไม่สามารถอ่านได้ อย่างที่สอง — และนี่คือส่วนที่คนลืม — เบราว์เซอร์ของผู้เข้าชมต้องแน่ใจว่ามันเป็นเว็บไซต์ของคุณจริงๆ ที่อีกด้าน ไม่ใช่ผู้แอบอ้างที่ตั้งค่าปลอมที่น่าเชื่อถือ สิ่งที่ทำทั้งสองงานคือใบรับรอง TLS (มักเรียกว่า “ใบรับรอง SSL”)

ลองคิดว่ามันเป็นบัตรประจำตัวที่กันการดัดแปลงสำหรับโดเมนของคุณ หน่วยงานที่ได้รับการยอมรับออกให้ มีตราประทับชื่อโดเมนและวันหมดอายุของคุณ และมีคีย์เข้ารหัสที่เข้ารหัสการเชื่อมต่อ เมื่อทุกอย่างตรวจสอบผ่าน เบราว์เซอร์แสดงกุญแจและเว็บไซต์ของคุณโหลดปกติ เมื่อมีบางอย่างผิดพลาดกับบัตรประจำตัว เบราว์เซอร์ทำตรงกันข้ามกับการให้ความมั่นใจผู้เข้าชมของคุณ — มันแสดงคำเตือนแบบเต็มหน้าที่พูดว่า “เว็บไซต์นี้อาจไม่ปลอดภัย”

การตรวจสอบนี้ดูสุขภาพของบัตรประจำตัวนั้นในสี่สิ่งที่แต่ละอย่างทำให้เสียหายโดยอิสระ:

ข่าวดีในตอนแรก: การรับใบรับรองที่สมบูรณ์ฟรี และการรักษามันให้สมบูรณ์เป็นเรื่องของการปล่อยให้มันต่ออายุตัวเองโดยอัตโนมัติเพื่อไม่มีมนุษย์ต้องจำ

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

มันคืออะไรจริงๆ (สี่ส่วน)

ใบรับรองอาจไม่สมบูรณ์ในสี่วิธีที่แตกต่างกัน และหน้านี้ครอบคลุมทั้งหมด แต่ละอย่างเป็นการตรวจสอบแยกต่างหาก แต่สำหรับคุณทั้งหมดคือ “ใบรับรองของฉันโอเคไหม?“

1. ถูกต้องและเชื่อถือได้

นี่คือสิ่งใหญ่ — และส่วนเดียวของสุขภาพใบรับรองที่เป็นการตรวจสอบที่สำคัญที่มีน้ำหนักสูงสุด ใบรับรองเป็น “ถูกต้องและเชื่อถือได้” เฉพาะเมื่อทั้งหมดนี้เป็นจริง:

หากสิ่งใดสิ่งหนึ่งเหล่านี้ล้มเหลว เบราว์เซอร์แสดงหน้า “การเชื่อมต่อของคุณไม่เป็นส่วนตัว” ที่น่ากลัว

2. ไม่ใกล้หมดอายุ

ใบรับรองทุกใบมีวันสิ้นสุดที่แน่นอน ใบรับรองฟรีมักอยู่ได้90 วัน หลังวันนั้นความน่าเชื่อถือหายไปทันที — ไม่มีช่วงผ่อนผัน การตรวจสอบนี้วัดว่าเหลือกี่วันและผู้ออกใบรับรองคือใคร:

3. อัลกอริทึมการลงนามที่แข็งแกร่ง

ใบรับรองทุกใบถูก “ลงนาม” โดยใช้อัลกอริทึมการเข้ารหัสที่ช่วยให้เบราว์เซอร์ตรวจจับการดัดแปลง อัลกอริทึมเก่า — MD5 และ SHA-1 — แสดงให้เห็นว่าสามารถปลอมแปลงได้ การตรวจสอบนี้ผ่านเมื่อใบรับรองใช้การลงนามที่แข็งแกร่งและทันสมัย: SHA-256 หรือแข็งแกร่งกว่า (SHA-384, SHA-512), ECDSA สมัยใหม่ หรือ Ed25519/Ed448

4. คีย์ที่แข็งแกร่ง

ใบรับรองมีคีย์เข้ารหัสที่ทำการเข้ารหัสจริง หากคีย์นั้นสั้นเกินไป พลังการคำนวณสมัยใหม่อาจทำลายมันได้ ขั้นต่ำที่ยอมรับคือRSA 2048 บิตหรือelliptic-curve (EC) 256 บิต

หมายเหตุเกี่ยวกับสามอันสุดท้าย: ถูกต้องและเชื่อถือได้เป็นอันที่สำคัญที่ขับเคลื่อนหน้าคำเตือน ความแข็งแกร่งของการลงนามและคีย์เกี่ยวกับการพิสูจน์ความทนทานในอนาคตและการตรวจสอบ — ใบรับรองฟรีล่าสุดเกือบจะผ่านพวกมันโดยอัตโนมัติ แต่เป็นสิ่งที่การตรวจสอบความปลอดภัยจะตรวจสอบ

วิธีแก้ไข (ฟรี ประมาณ 15 นาที)

ส่งส่วนนี้ให้ใครก็ตามที่รันเว็บไซต์หรือโฮสติ้งของคุณ — การแก้ไขฟรี เราเรียกเก็บเงินสำหรับการตรวจสอบว่ามันยังคงสมบูรณ์ตามเวลาเท่านั้น ไม่ใช่เพื่อแก้ไข

ขั้นตอนที่ 1 — รับ (หรือแทนที่) ใบรับรองด้วยใบรับรองฟรีที่เชื่อถือได้ ขั้นตอนเดียวนี้แก้ไขความถูกต้อง การลงนาม และความแข็งแกร่งของคีย์ทั้งหมดในครั้งเดียว เพราะใบรับรองฟรีสมัยใหม่ใช้ SHA-256 และคีย์ที่แข็งแกร่งโดยค่าเริ่มต้น

ขั้นตอนที่ 2 — ทำให้การต่ออายุเป็นอัตโนมัติเพื่อไม่ให้หมดอายุอีก

ขั้นตอนที่ 3 — ตรวจสอบว่าครอบคลุมชื่อที่ถูกต้อง ใบรับรองต้องครอบคลุมทุกชื่อโฮสต์ที่ลูกค้าใช้จริงๆ — โดเมนเปล่า www และซับโดเมนใดๆ

ขั้นตอนที่ 4 — หากมีเพียงความแข็งแกร่งของการลงนามหรือคีย์ถูกตั้งค่าสถานะ ให้ออกใหม่ สร้างใบรับรองใหม่ (ขั้นตอนที่ 1) และใบรับรองใหม่จะใช้ SHA-256 และคีย์ที่แข็งแกร่งโดยอัตโนมัติ

ขั้นตอนที่ 5 — ยืนยัน จากนั้นตรวจสอบใหม่ที่นี่

ข้อผิดพลาดทั่วไป

คำถามที่พบบ่อย

ฉันไม่ใช่ช่างเทคนิค — นี่คือสิ่งที่ฉันจัดการเองได้ไหม?

คุณไม่จำเป็นต้องเข้าใจการเข้ารหัส ใบรับรองที่ถูกต้องฟรี (ผ่าน Let's Encrypt และโฮสต์สมัยใหม่ส่วนใหญ่) และบนโฮสติ้งที่จัดการมักเป็นอัตโนมัติ ส่งส่วน 'วิธีแก้ไข' ด้านล่างให้ใครก็ตามที่รันเว็บไซต์หรือโฮสติ้งของคุณ สำหรับธุรกิจส่วนใหญ่มันเป็นงานเร็วและฟรี ไม่ใช่การซื้อ

เว็บไซต์ของฉันแสดงกุญแจ — นั่นหมายความว่าใบรับรองของฉันปกติไหม?

กุญแจหมายความว่าการเชื่อมต่อที่ปลอดภัยมีอยู่ตอนนี้ มันไม่ได้บอกว่าใบรับรองกำลังจะหมดอายุ สร้างบนคีย์ที่แข็งแกร่ง หรือจะยังได้รับความเชื่อถือจากเบราว์เซอร์ของพรุ่งนี้ การตรวจสอบนี้มองผ่านกุญแจไปที่สี่สิ่งที่รักษามันไว้จริงๆ: ใบรับรองถูกต้องและเชื่อถือได้ไหม มันจะหมดอายุเร็วๆ นี้ไหม มันถูกลงนามด้วยอัลกอริทึมที่แข็งแกร่งไหม และคีย์ของมันแข็งแกร่งพอไหม

ฉันต้องจ่ายสำหรับใบรับรอง SSL ไหม?

ไม่ ใบรับรองฟรีจาก Let's Encrypt (และสร้างอยู่ใน Cloudflare, cPanel AutoSSL และโฮสติ้งสมัยใหม่ส่วนใหญ่) ได้รับความเชื่อถือจากทุกเบราว์เซอร์และปลอดภัยเท่ากับที่จ่ายเงิน ใบรับรองแบบเสียเงินส่วนใหญ่ซื้อสัญญาสนับสนุน การรับประกัน หรือป้ายการตรวจสอบแบบขยาย — ซึ่งไม่มีอะไรที่ส่งผลต่อว่าเว็บไซต์ของคุณถูกเข้ารหัสหรือเชื่อถือได้

ใบรับรองจะ 'หมดอายุ' ได้อย่างไร — และทำไมมันถึงปิดเว็บไซต์ของฉัน?

ใบรับรองทุกใบมีวันสิ้นสุดที่แน่นอน (มักเป็น 90 วันสำหรับแบบฟรี) หลังจากวันนั้นเบราว์เซอร์ปฏิเสธที่จะเชื่อถือและแสดงคำเตือนแบบเต็มหน้าแทนเว็บไซต์ของคุณ มันไม่ใช่การลดลงอย่างค่อยเป็นค่อยไป — ทำงานได้อย่างสมบูรณ์จนถึงเส้นตาย จากนั้นเสียหายอย่างสมบูรณ์ นั่นคือเหตุที่การต่ออายุอัตโนมัติสำคัญมาก

ใบรับรอง 'เซ็นด้วยตัวเอง' คืออะไร และทำไมถึงล้มเหลว?

ใบรับรองเซ็นด้วยตัวเองคือใบที่คุณออกให้ตัวเองแทนที่จะได้จากหน่วยงานที่ได้รับการยอมรับ มันเข้ารหัสการเชื่อมต่อ แต่ไม่มีอะไรรับรองว่าเป็นคุณจริงๆ — ดังนั้นเบราว์เซอร์ปฏิบัติต่อมันว่าไม่น่าเชื่อถือและเตือนผู้เข้าชม เหมือนกับที่จะทำสำหรับใบรับรองปลอมของผู้โจมตี สำหรับเว็บไซต์สาธารณะคุณต้องการจากหน่วยงานที่เชื่อถือได้เสมอ ซึ่งฟรี

'คีย์อ่อนแอ' และ 'อัลกอริทึมการลงนามอ่อนแอ' หมายความว่าอะไรสำหรับธุรกิจของฉัน?

ทั้งสองคือวิธีที่ใบรับรองอาจถูกต้องในทางเทคนิควันนี้แต่เปราะบางในทางเข้ารหัส คีย์ที่อ่อนแอ (RSA น้อยกว่า 2048 บิตหรือ EC 256 บิต) อาจถูกทำลายในหลักการ ทำให้ผู้โจมตีสามารถแอบอ้างเว็บไซต์ของคุณ การลงนามที่อ่อนแอ (SHA-1 หรือ MD5) อาจถูกปลอมแปลงเพื่อสร้างใบรับรองปลอมที่น่าเชื่อถือ ใบรับรองฟรีสมัยใหม่ใช้คีย์และการลงนามที่แข็งแกร่งโดยค่าเริ่มต้น ดังนั้นการแก้ไขมักเป็นการออกใบรับรองใหม่เท่านั้น — โดยไม่มีค่าใช้จ่าย