אף אחד לא אוהב שאומרים להם שהם חייבים לעשות משהו. זה פשוט טבע אנושי למרוד בזה, אבל לפעמים הכי טוב שתוכלו לעשות הוא לנשוך את שפתכם וללכת איתה. כך קורה עם המנדט של HTTPS שנמסר על ידי גוגל וקיץ היוצר האחר של הדפדפן.


בימינו, כל אתר שעדיין מוגש באמצעות HTTP מכונה “לא מאובטח”, הכינוי המאיים על תנועה והמרות. משמעות הדבר היא כי כל אתר זקוק כעת לתעודת SSL / TLS, המאפשרת הגירה ל- HTTPS ומסייעת בהבטחת התקשורת בין האתר שלך למבקרים בו..

החל מיולי 2018, Chrome סימן את כל אתרי ה- HTTP כ”לא מאובטחים “(למידע נוסף).

מדריך זה יעבור על הדברים שעליך לקחת בחשבון בעת ​​רכישת אישור SSL / TLS. נתחיל בסקירה קצרה של הטכנולוגיה לפני שנעמיק בפרטים האישיים שתצטרך למיין כאשר מחליטים על האישור המתאים לך ולאתר שלך..

SSL / TLS 101: סקירה כללית

כדי לתקשר בצורה מאובטחת באינטרנט, השרת שמארח את האתר והלקוח שמנסה להתחבר אליו צריך להשתמש בהצפנה. הצפנה היא תהליך מתמטי שהופך את הנתונים לבלתי ניתנים לקריאה לכל אחד מלבד גורם מורשה. זה מבוצע באמצעות מקשי הצפנה ועל מנת שלקוח ושרת יחברו בצורה מאובטחת, שניהם צריכים להחזיק עותק של אותו מפתח.

עם זאת, יש בעיה, איך מחליפים בבטחה את המפתחות? אם תוקף מסוגל להתפשר על מפתח הצפנה הוא הופך את ההצפנה לחסרת תועלת מכיוון שהתוקף עדיין יכול לראות את כל הנתונים המוחלפים כאילו היו בפשוט.

SSL / TLS הוא הפיתרון לבעיית החלפת המפתח.

SSL / TLS משיג שני דברים:

  1. זה מאמת את השרת כך שלקוחות יידעו לאיזה ישות הם מתחברים
  2. זה מקל על החלפת מפתח הפעלה שניתן להשתמש בו כדי לתקשר בצורה מאובטחת

זה אולי נראה מעט מופשט, אז בואו נניח את זה בתנועה.

בכל פעם שלקוח מנסה להתחבר לאתר באמצעות HTTPS – שהיא הגרסה המאובטחת של פרוטוקול ה- Hypertext Transfer (HTTP) שהאינטרנט השתמש בו במשך עשרות שנים – סדרה של אינטראקציות מתרחשת מאחורי הקלעים בין הלקוח האמור לשרת המארח את האתר..

ישנם שני סוגים של מפתחות הצפנה המעורבים בהצפנת SSL / TLS. ישנם מקשי ההפעלה הסימטריים שרק הזכרנו. אלה יכולים להצפין וגם לפענח ומשמשים לתקשורת במהלך החיבור עצמו. המפתחות האחרים הם צמד המפתחות הציבורי / פרטי. צורה זו של הצפנה נקראת קריפטוגרפיה של מפתח ציבורי. המפתח הציבורי יכול להצפין, המפתח הפרטי מפענח.

מלכתחילה, הלקוח והשרת יבחרו בחבילת הצפנה הנתמכת הדדית. חבילת צופן היא קבוצת האלגוריתמים השולטת בהצפנה שתשמש במהלך החיבור.

לאחר שהוסכם על חבילת צופן, השרת שולח את אישור ה- SSL ואת המפתח הציבורי שלו. באמצעות סדרת בדיקות הלקוח מאמת את השרת, מאמת את זהותו וכי הוא הבעלים החוקי של המפתח הציבורי המשויך..

לאחר אימות זה, הלקוח מייצר מפתח הפעלה (או את הסוד שניתן להשתמש בו כדי לגזור אותו) ומשתמש במפתח הציבורי של השרת כדי להצפין אותו לפני שליחתו לשרת. באמצעות המפתח הפרטי שלו, השרת מפענח את מקש ההפעלה והחיבור המוצפן מתחיל (זוהי הצורה הנפוצה ביותר של החלפת מקשים, כפי שהיא מבוצעת עם RSA – החלפת מפתחות של דיפי-הלמן שונה מעט).

אם זה עדיין נראה קצת מסובך, בואו ונפשט את זה עוד יותר.

  • כדי לתקשר בצורה בטוחה שני הצדדים צריכים לשתף מפתחות הפעלה סימטריים
  • SSL / TLS מאפשר חילופי מקשי הפעלה אלה באמצעות קריפטוגרפיה של מפתח ציבורי
  • לאחר אימות זהות השרת, מפתח הפעלה או סוד מוצפן באמצעות המפתח הציבורי
  • השרת משתמש במפתח הפרטי שלו כדי לפענח את מפתח ההפעלה ולהתחיל בתקשורת מוצפנת

עכשיו בואו לגלות מה אתה, כבעל אתר, צריך לקחת בחשבון בעת ​​רכישה או רכישה של אישור SSL / TLS.

מה לקחת בחשבון בעת ​​רכישת אישור SSL / TLS?

כשאתה רוכש תעודת SSL / TLS אתה מקבל החלטה בשתי שאלות עיקריות:

  1. איזה משטח אתה צריך לכסות?
  2. כמה זהות אתה רוצה לטעון?

כשתוכל לענות על שאלות אלה, בחירת אישור הופכת להיות עניין של מותג ועלות, אתה כבר תדע את סוג המוצר שאתה צריך.

כעת, לפני שנמשיך הלאה, בואו נקבע עובדה חשובה מאוד: בלי קשר לאיך תשיב על שתי השאלות הללו, כל תעודות ה- SSL / TLS מציעות את אותו חוזק הצפנה..

חוזק ההצפנה נקבע על ידי שילוב של סוויטות הצופן הנתמכות וכוח המחשוב של הלקוח והשרת בשני קצות החיבור. תעודת ה- SSL / TLS היקרה ביותר בשוק ותעודה בחינם לחלוטין הולכים להקל על אותה רמה של הצפנה סטנדרטית בתעשייה.

מה שמשתנה בתעודות הוא רמת הזהות והפונקציונליות שלהם.

נתחיל עם המשטחים שאתה צריך לכסות.

1- פונקצית אישור SSL / TLS

אתרים מודרניים התפתחו הרבה מעבר למה שהיו בימים הראשונים של האינטרנט כשאתה עדיין מניח דלפקים בתחתית העמוד כדי לעקוב אחר התנועה. כיום ארגונים מקיימים תשתיות אינטרנט מורכבות, פנימית וחיצונית. אנו מדברים על דומיינים מרובים, תחומי משנה, שרתי דואר וכו ‘.

למרבה המזל, תעודות SSL / TLS התפתחו לצד אתרים מודרניים כדי לעזור להם לאבטח טוב יותר. יש סוג תעודה לכל מקרה שימוש, אך חובה עליכם לדעת מה יהיה מקרה השימוש הספציפי שלכם.

הבה נבחן את ארבעת סוגי האישורים השונים של SSL / TLS ואת הפונקציונליות שלהם:

  • תחום יחיד – כפי שהשם מרמז, אישור SSL / TLS זה מיועד לתחום יחיד (הן גרסאות ה- WWW והן הגרסאות שאינן WWW).
  • ריבוי דומיינים – סוג זה של תעודת SSL / TLS מיועד לארגונים עם אתרים מרובים, הם יכולים לאבטח עד 250 דומיינים שונים בו זמנית.
  • Wildcard – אבטחה לדומיין בודד, בתוספת כל תחומי המשנה הנלווים אליו ברמה הגבוהה ביותר – רבים ככל שיהיו (ללא הגבלה).
  • Wildcard מרובה דומיינים – תעודת SSL / TLS עם פונקציונליות מלאה, יכולה להצפין עד 250 דומיינים שונים וכל תחומי המשנה הנלווים בו זמנית.

מילה מהירה על תעודות Wildcard. תווים כלליים הם מגוונים במיוחד, הם יכולים להצפין מספר בלתי מוגבל של תחומי משנה, והם אפילו מסוגלים לאבטח תחומי משנה חדשים שנוספים לאחר ההנפקה. בעת יצירת תו כללי, משתמשים בכוכבית (המכונה לעתים תו תו כללי) ברמת התת-דומיין שברצונכם להצפין. זה מציין כי כל תת-דומיין ברמת כתובת זו של הדומיין המאומת משויך לתוקף לצמד המפתחות הציבורי / פרטי של האישור..

2- רמת אימות אישור SSL / TLS

לאחר שתברר אילו משטחים אתה צריך לכסות, הגיע הזמן לקבוע כמה זהות אתה רוצה לטעון. יש שלוש רמות תוקף, אלה מתייחסות לכמות ההימנעות של רשות האישורים המנפיקה את תעודת ה- SSL / TLS שלך ותביא אותך ואתר שלך דרך.

שלוש רמות אימות: אימות דומיין, אימות ארגון ותיקוף מורחב.

נקראת רמת האימות הבסיסית ביותר אימות דומיין. לוקח כמה דקות להשלים את האימות הזה ולהנפיק את האישור, אך הוא מספק את פרטי הזהות הנמוכים ביותר – מאמת רק את השרת. תעודות SSL / TLS DV הן הנפוצות ביותר, אך בגלל חוסר זהותן, אתרים המשתמשים בהם זוכים לטיפול דפדפן ניטרלי..

אימות הארגון מספק מידע ארגוני נוסף, אשר נותן למבקרים באתר שלך מושג טוב יותר עם מי הם מתמודדים, בתנאי שהם יודעים היכן לחפש. אישורי OV SSL / TLS דורשים מידה מתונה של רישום, עם זאת, הם אינם טוענים כי זהות מספקת בכדי להימנע מטיפול ניטרלי בדפדפן. גם אישורי OV SSL יכולים לאבטח כתובות IP ייעודיות. הם משמשים בדרך כלל בסביבות ארגוניות וברשתות פנימיות.

זהות הכי הרבה שתעודת SSL / TLS יכולה לטעון מגיעה אימות מורחב רמה. אישורי SSL / TLS EV דורשים כינוסים מעמיקים על ידי ה- CA, אך הם קובעים מספיק מידע מזהה שדפדפני האינטרנט יעניקו לאתרים המפרסמים אותם טיפול ייחודי – הצגת שמם הארגוני המאומת בשורת הכתובת של הדפדפן.

דבר מהיר שיש לקחת בחשבון בכל הנוגע לרמות האימות והפונקציונליות הוא שתעודות SS SS / TLS לעולם לא נמכרות בפונקציונליות של Wildcard. זה חייב לאופי הפתוח של תעודות הווילדקארד, עליהן עמדנו בחלק האחרון.

בחירת רשויות אישור ותמחור

עכשיו כשאתה יודע מה אתה צריך, בוא נדבר מאיפה לרכוש אותו. לא סתם כל אחד יכול להנפיק תעודות SSL / TLS תקפות, ולפי חוקיות אנו מתכוונים לאמון. עליך לעבור ברשות אישורים מהימנה או CA. חברות רשות המקושרות מחויבות בדרישות מחמירות בתעשייה ובכפוף לביקורות וביקורת שוטפות. הסיבה לכך נובעת מאופן הפעולה של תשתיות מפתח ציבוריות. PKI הוא מודל האמון שמתחת לבגדי SSL / TLS, וזו הסיבה שדפדפן המשתמש יכול לאמת את האותנטיות של ולסמוך על תעודת SSL / TLS נתונה..

אמנם התעמקות ב PKI ובשורשים אינה היקפה עבור מאמר זה, אך חשוב לדעת שרק חברות רשות אמינות יכולות להנפיק תעודות מהימנות. זו הסיבה שאינך יכול פשוט להנפיק משלך ולחתום עליו. לדפדפנים אין שום דרך לסמוך עליה בלי להתאים ידנית את ההגדרות שלהם.

אבל איזה CA צריך לבחור?

זה תלוי במה שאתה מחפש.

עבור אתרים רבים ופשוטים שאינם זקוקים לטעון זהות רבה, אישור DV SSL / TLS בחינם של Let’s Encrypt (או CAs בחינם אחרים) הוא בחירה טובה. זה לא עולה כלום וזה מספיק בשביל מה שאתה צריך.

כל דבר מצפון לזה, או אם אינך מפותח במיוחד מבחינה טכנית, עליך לפנות לרשות תעודות מסחריות כמו DigiCert, Sectigo, Entrust Datacard וכו ‘..

אבל הנה העניין: אתה לא מקבל את התמחור הטוב ביותר לרכישה ישירה מטעם הרשות המקומית.

אתה מקבל את השילוב הטוב ביותר של תמחור ובחירה על ידי רכישה באמצעות שירות SSL המציע אישורי SSL / TLS ממספר רמות CA. הסיבה לכך היא פשוטה, שירותי SSL אלה רוכשים תעודות מטעם הרשות הפלסטינית בכמויות גדולות במחירים נמוכים בהרבה ממה שמקבלים לקוחות קמעונאיים. זה מאפשר להם למכור את האישורים בשיעורים מוזלים עמוק, ולהעביר את החיסכון לצרכנים.

במקרים מסוימים, אתה יכול לחסוך עד 85% מהמחיר המוצע של היצרן על ידי מעבר בשירות SSL במקום לקנות ישירות.

זכור, שירותי SSL ייעודיים מתמחים ב- SSL / TLS, הם הולכים להציע תמיכה טובה יותר בלקוחות, הם יכולים לעזור לך להתקין אותם והם יודעים לייעל את היישומים שלך בכדי לספק לאתר שלך את האבטחה הטובה ביותר האפשרית..

לעומת זאת עם חברות רשות בחינם (ואפילו כאלה מסחריות) בהן אתה צריך לעבוד דרך מערכת כרטיסים או לנפות דרך פוסטים ישנים לתמיכה בצוותא והערך ברור.

כמובן, עבור חלק מבעלי אתרים מנוסים בתחום הטכנולוגיה, נושא התמיכה אינו מהווה בעיה. וודאי שאין שום פסול בנתיב החינמי אם אתה יודע לתמוך בכל בעצמך.

אבל עבור בעלי אתרים אחרים, אתה משלם פחות עבור האישור עצמו ויותר עבור מכשיר התמיכה שנבנה סביבו. אין לך גישה גם לרמות אימות גבוהות יותר (OV / EV) או לפונקציונליות מתקדמת (Multi-Domain, Wildcards) עם SSL / TLS בחינם. אתה צריך להשיג כאלה משירותי רשות תעופה מסחריות או משירותי SSL.

אז, בתשלום או בחינם? זה מסתכם עד כמה אתם או הארגון שלכם מיומנים, בנוסף לשאלה האם אתם רוצים פונקציונליות ואימות מעבר לדומיין יחיד.

שאלות נפוצות בנושא מדריך לקונה SSL / TLS

Q1. האם אימות מורחב שווה את זה?

עבור אתרים רבים, תעודת SS SS / TLS היא יותר השקעה מאשר הוצאה. אין דרך אחרת לקבוע זהות מקסימאלית ולקבל טיפול דפדפן מועדף באתר שלך. כאשר מבקרים מגיעים לאתר אינטרנט ורואים את שם הארגון המוצג בסרגל הכתובות יש לו השפעה פסיכולוגית עמוקה. למרות שקשה לכמת השפעה זו על הנייר, סקרים מגלים בעקביות שאנשים מרגישים טוב יותר לבקר באתרים עם EV מאשר לבקר באתרים בלעדיה..

באינטרנט כל קצת נחשב, כך שאם אתה ארגון שרוצה לטעון זהות באינטרנט, אישורי SS SS / TLS הם השיטה הטובה ביותר להשיג זאת.

Q2. אתה ממשיך לכתוב SSL / TLS, מה זה אומר?

SSL מייצג את Layer Sockets Layer, וזו הייתה הגרסה המקורית של פרוטוקול ההצפנה בהן אנו משתמשים כדי לאבטח את החיבורים שלנו עד היום. הגענו כל הדרך ל- SSL 3.0 לפני שהפגיעויות הכריחו את הענף לחזור ללוח השרטוט, שם תוכנן אבטחת שכבת התעבורה (TLS) להיות ממשיכו של SSL.

כיום אנו נמצאים על TLS 1.3, SSL 3.0 בוטל כמעט לחלוטין ועד 2020 TLS 1.0 ו- 1.1 יבוטלו. בעוד שהאינטרנט של היום מסתמך כמעט אך ורק על פרוטוקול TLS, הוא עדיין ידוע בכינויו SSL.

רבעון שלישי. מהן גרסאות פרוטוקול SSL / TLS?

זה קשור בחזרה לשאלה האחרונה שלנו, SSL ו- TLS הם שני הפרוטוקולים המאפשרים חיבורי HTTPS, ובדומה לכל פיסת טכנולוגיה אחרת, פרוטוקולים אלה צריכים להתעדכן מעת לעת עם התגלות פגיעויות והתקפות חדשות. כשאתה רואה SSL 3.0 או TLS 1.2, הכוונה לגירסה ספציפית של פרוטוקולי SSL / TLS.

נכון לעכשיו, השיטה הטובה ביותר היא לתמוך ב- TLS 1.2 ו- TLS 1.3, מכיוון שהתגלה כי כל הגרסאות הקודמות פגיעות לניצול כזה או אחר.

רביעי. מה עלי לדעת על סוויטות הצופן?

חבילת צופן היא אוסף אלגוריתמים שישמשו במהלך תהליך ההצפנה של SSL / TLS. בדרך כלל הם כוללים אלגוריתם מפתח ציבורי כלשהו, ​​אלגוריתם אימות הודעה ואלגוריתם הצפנה סימטרי (חסימת / זרם).

לפני שתוכלו לקבוע כל החלטה באיזה חבילות Cipher תומכות, עליכם לדעת במה יכולים השרתים שלכם, מה שאולי אומר לעדכן את ספריית OpenSSL (או תוכנת SSL חלופית) לאיטרציה המודרנית ביותר שלה. מלת עצה, השימוש בקריפטוגרפיה של עקומת אליפטית עדיפה על RSA.

ש 5. האם האחריות חשובה?

נחמד לקבל אחריות גדולה על כל מוצר, ותעשיית SSL / TLS מספקת כמה מהאחריות הנדיבות ביותר שיש שם. הם משלמים במקרה שהרשות הפלסטינית שהנפיקה את התעודה שלך נתקלת אי פעם בבעיה שעולה לארגון שלך כסף. יש להודות, זה לא כל כך נפוץ, שהוא סוג של אישור לתעודות SSL / TLS באופן כללי, אלא גם משהו שעלינו לא לשים לב אליו..

פטריק נוח
על המחבר: פטריק נוח

פטריק נוה החל את הקריירה שלו ככתב ביטים וכותב טור במיאמי הראלד. הוא משמש גם כמנהל תוכן ב- SSL Store ™.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me