Panduan cepat untuk sertifikat SSL: apa yang perlu Anda ketahui tentangnya dan cara memilih

Baru-baru ini, pangsa sertifikat SSL yang valid di berbagai zona domain cenderung tumbuh, seperti halnya minat umum dalam teknologi SSL. Namun demikian, tidak semua menyadari apa yang mereka hadapi ketika mereka mendengar kata ini. Oleh karena itu, kami akan tetap berusaha memahami apa artinya, dan kami akan membantu Anda memilih sertifikat yang dibutuhkan khusus untuk proyek Anda (dan apakah diperlukan sama sekali).

Untuk transfer data yang aman antara browser pengguna dan server, infrastruktur utama digunakan, yang memungkinkan Anda untuk mengenkripsi informasi yang ditransmisikan menggunakan kunci publik (diketahui oleh semua) dan mendekripsi menggunakan kunci pribadi (hanya diketahui oleh pemiliknya), yang disebut enkripsi asimetris. Infrastruktur ini sendiri tunduk pada standar internasional x.509, yang menentukan komposisi sertifikat elektronik:

  • nomor versi sertifikat (1-3);
  • nomor urut;
  • pengidentifikasi algoritma tanda tangan;
  • nama organisasi yang mengeluarkan sertifikat;
  • masa berlaku sertifikat;
  • nama pemegang sertifikat;
  • kunci publik pemegang sertifikat;
  • tanda tangan digital

Standar x.509 tidak menyediakan algoritma enkripsi tertentu, tetapi yang paling umum adalah RSA, yang digunakan dalam sertifikat SSL.

Sebelum memilih sertifikat, alangkah baiknya mencari tahu mengapa sertifikat itu diperlukan dan fungsi apa yang mereka lakukan.

Setiap sertifikat SSL melakukan tiga fungsi penting sekaligus:

  • enkripsi informasi yang dikirimkan;
  • otentikasi sumber daya (otentikasi);
  • memastikan integritas informasi yang dikirimkan.

Dengan demikian, pengguna diperlihatkan bahwa sumber daya web tempat sertifikat terhubung dapat dipercaya.

Untuk memahami bagaimana ketiga fungsi sertifikat SSL ini bekerja, pertimbangkan contoh sederhana. Gadis Anya perlu membeli tiket pesawat melalui situs web maskapai, dan untuk ini, kirim rincian kartu kreditnya. Untuk memastikan bahwa datanya tidak akan dicegat oleh pihak ketiga, Anya memeriksa ketersediaan sertifikat SSL di situs web perusahaan penerbangan yang dipilih. Ini sederhana: cukup untuk memastikan bahwa di awal bilah alamat ada sebutan koneksi https, yang biasanya disorot dengan warna hijau. Ini mengkonfirmasi bahwa data antara browser pengguna dan server perusahaan dienkripsi. Dalam hal ini, maskapai memiliki dua kunci: terbuka, yang dapat diakses oleh semua orang, dan ditutup, yang hanya dia yang tahu. Pesan yang dienkripsi dengan kunci publik hanya dapat didekripsi menggunakan kunci privat, dan kunci privat terenkripsi dapat digunakan dengan kunci publik. Jika sertifikat SSL perusahaan yang dipilih oleh pelancong kami dikeluarkan oleh pusat sertifikasi yang valid, peramban Ani mengakuinya sebagai tepercaya (otentikasi) dan mengenkripsi datanya menggunakan kunci publik. Bahkan jika penyerang mencegat informasi yang dikirimkan oleh Anya, dia tidak akan dapat membacanya, karena dia tidak memiliki kunci pribadi untuk mendekripsi.

Sertifikat SSL yang ditandatangani sendiri

Memperoleh sertifikat SSL tentu saja membutuhkan biaya, sementara itu valid untuk waktu yang terbatas. Oleh karena itu, banyak orang menggunakan apa yang disebut sertifikat SSL yang ditandatangani sendiri. Anda dapat membuatnya menggunakan panel kontrol hosting langsung di server web, dan Anda dapat melakukannya secara gratis. Namun, tidak selalu disarankan untuk menggunakan sertifikat yang ditandatangani sendiri.

Peramban apa pun memeriksa apakah suatu sertifikat dikeluarkan oleh otoritas sertifikat yang diketahui, dan jika tidak (dan ini adalah kasus sertifikat yang ditandatangani sendiri), itu memberikan kesalahan dan menampilkan tanda besar yang mengatakan "Sertifikat keamanan situs tidak tepercaya!".

Pesan seperti itu tentu akan menakuti klien potensial dari sumber daya, dan dia akan ingin meninggalkannya, dan pemilik situs, pada gilirannya, akan kehilangan sebagian besar audiensnya. Jadi, jika kita berbicara tentang situs dengan lalu lintas tinggi atau toko online, penggunaan sertifikat SSL yang ditandatangani sendiri tidak dianjurkan.

Bahaya seperti itu menunggu siapa pun yang tidak peduli dengan koneksi https aman. Namun demikian, sertifikat yang ditandatangani sendiri cukup cocok untuk penggunaan internal: misalnya, di dalam organisasi kecil yang karyawannya menambahkan sertifikat ke yang tepercaya, karena mereka tahu asalnya. Mereka juga cocok ketika menggunakan server Apache ketika mengembangkan dan menguji aplikasi.

Kerentanan Keamanan dengan Sertifikat SSL

Berbicara tentang pembelian sertifikat SSL, penting untuk memahami bahwa itu sendiri bukanlah tongkat ajaib, sementara melambaikannya, Anda segera membebaskan diri dari semua masalah yang terkait dengan keamanan situs. Tidak peduli betapa rumitnya mekanisme enkripsi kriptografi, otoritas tertinggi dalam infrastruktur sertifikat-SSL masih manusia, dan, oleh karena itu, semua masalah kepercayaan terletak pada faktor manusia. Jadi, pada September 2015, Symantec, karena kesalahan karyawannya, mengeluarkan 164 sertifikat tidak sah untuk 76 nama domain. Momen halus lain menggunakan sertifikat SSL adalah menyimpan kunci rahasia: Anda tidak dapat menyembunyikannya di brankas, mengisolasinya dari dunia luar, karena sering digunakan dalam proses koneksi HTTPS, dan ada kemungkinan meretas server untuk mencegat kunci pribadi. Pelakunya untuk peretasan dapat kembali menjadi seseorang - administrator server yang tidak dapat karena suatu alasan melindungi server. Oleh karena itu, pemilik kunci pribadi sering menetapkan kata sandi.

Jenis Sertifikat SSL

Jika Anda memutuskan untuk membeli sertifikat SSL dari salah satu otoritas sertifikasi, maka Anda harus mengetahui varian apa yang ada. Sekilas, cukup sulit untuk memilih sertifikat SSL dari sekian banyak yang terwakili di pasaran saat ini: perbedaan harga bisa mencapai 100.000 rubel, dan tidak selalu jelas dari kemungkinan sertifikat tertentu yang dibutuhkan proyek Anda. Namun, Anda dapat memahami ini menggunakan empat kriteria utama yang harus dipertimbangkan saat membeli sertifikat SSL:

  1. tingkat kepercayaan yang diinginkan dalam sumber daya;
  2. jumlah domain dan subdomain tempat sertifikat dibeli;
  3. jenis subjek yang mendapatkan sertifikat: orang fisik atau hukum;
  4. Ukuran peluang keuangan untuk akuisisi sertifikat

Kami akan mengerti dulu dengan item pertama.

Validitas sumber daya Anda dapat dikonfirmasi oleh tiga tingkat verifikasi yang berbeda. Oleh karena itu, ada tiga jenis sertifikat SSL yang berbeda dalam jenis validasi:

  • sertifikat yang mengkonfirmasi kepemilikan domain (Validasi Domain);
  • sertifikat yang mengkonfirmasi, selain domain, keberadaan hukum organisasi (Validasi Organisasi);
  • sertifikat dengan Validasi Diperpanjang.

Validasi domain

Sertifikat DV hanya mengkonfirmasi fakta bahwa pemegang sertifikat benar-benar memiliki domain ini dan merupakan jenis sertifikat SSL yang paling mudah diakses. Sertifikat ini paling cocok untuk forum dan situs kecil atau blog dengan pengunjung yang tidak terlalu banyak.

Sertifikat SSL tingkat ini:

  • hanya menyediakan tingkat perlindungan awal;
  • tersedia untuk perorangan dan badan hukum;
  • tidak memerlukan ketentuan dokumen tambahan;
  • Tersedia dalam 5-10 menit;
  • akan menelan biaya sekitar 1-4 ribu rubel per tahun.

Validasi organisasi

Sertifikat OV mengonfirmasikan status bisnis organisasi dan menyebabkan lebih banyak kepercayaan pengguna daripada sertifikat DV. Jenis sertifikat ini sangat cocok untuk toko online dan bisnis online kecil lainnya.

Sertifikat tingkat perlindungan OV:

  • memberikan tingkat perlindungan rata-rata;
  • dikeluarkan hanya untuk badan hukum;
  • untuk pendaftaran, Anda harus memberikan salinan dokumen organisasi, akun perusahaan telepon dengan nama organisasi dan nomor telepon pemiliknya;
  • Tersedia dalam 1-5 hari;
  • akan dikenakan biaya dari sekitar 4.000 rubel hingga 50.000 rubel per tahun.

Validasi diperpanjang

Sertifikat SSL lanjutan adalah yang paling dapat diandalkan, tetapi juga yang paling mahal. Sangat cocok untuk organisasi besar dan serius yang penting gengsi dan keamanan.

Sertifikat Level EV:

  • Menawarkan tingkat keamanan tertinggi dan tingkat kepercayaan tertinggi di antara sertifikat SSL lainnya.
  • dikeluarkan hanya untuk badan hukum;
  • dokumen tambahan berikut diperlukan untuk pendaftaran: sertifikat pendaftaran pajak, pemberitahuan pendaftaran badan hukum, pemberitahuan pendaftaran sebagai perusahaan asuransi, dan lainnya;
  • mendukung domain Cyrillic;
  • Tersedia dalam 3-10 hari.
  • akan menelan biaya sekitar 10.000 hingga 100.000 rubel per tahun.

Setelah pemeriksaan dokumenter, penyedia juga dapat memanggil nomor telepon yang dinyatakan organisasi, sehingga menyelesaikan langkah pemeriksaan tambahan. Tetapi setelah melalui semua alur kerja ini, situs Anda akan memiliki tingkat kepercayaan tertinggi, seperti ditunjukkan oleh soket hijau dengan nama perusahaan di bilah alamat. Menurutnya, pengguna akan dapat menentukan status bisnis perusahaan yang tinggi, dan ketika Anda mengklik panel, cari tahu informasi lengkap tentang organisasi. Sertifikat jenis ini berfungsi sebagai perlindungan yang sangat baik terhadap phishing: karena persyaratan verifikasi yang ketat, penyerang tidak akan dapat melewati semua tahap verifikasi, dengan hasil bahwa sertifikat EV "palsu" ditemukan dalam kasus yang sangat langka.

Anda bertanya sertifikat apa yang harus dipilih? Itu semua tergantung pada fokus situs Anda dan anggaran Anda. Juga berguna untuk melihat SSL mana yang digunakan oleh mitra, pesaing, atau situs Anda yang lebih besar. Misalnya, layanan terkenal untuk pemesanan hotel ostrovok.ru menggunakan sertifikat PositiveSSL Wildcard dari Comodo; Toko online wildberries.ru yang populer menggunakan sertifikat Wildcard SGC OV SSL untuk keamanan maksimum. Situs web Tinkoff.ru menggunakan sertifikat EV sertifikat SSL dari pusat pendaftaran Thawte.

Kami menyarankan agar pengguna dengan hati-hati memeriksa nama perusahaan, karena penipu dapat membuat organisasi "palsu" dengan nama yang sama dan mengikat sertifikat SSL ke dalamnya.

Apa yang harus dilakukan jika Anda perlu melindungi beberapa subdomain atau domain berbeda di server yang sama?

Dalam hal ini, Anda harus membeli sertifikat SAN (UCC), yang sempurna untuk proyek multi-domain dan produk MS Exchange. Sertifikat wildcard ada untuk melindungi hanya beberapa subdomain. Dengan membeli sertifikat seperti itu, Anda memberikan enkripsi tidak hanya untuk domain utama, tetapi juga untuk jumlah subdomain yang tidak terbatas dari subdomain1.domain.com, subdomain2.domain.com, dll. Namun, tidak semua penyedia mengeluarkan Wildcard-sertifikat dengan perlindungan domain utama, jadi sebelum memesan perlu diperhatikan. Meskipun keunggulan utama sertifikat Wildcard adalah kemudahan dan penghematan (Anda tidak perlu mengurus sertifikat untuk setiap subdomain dan membayarnya), namun, terkadang lebih murah untuk tetap membeli sertifikat SSL terpisah untuk setiap subdomain, terutama jika jumlahnya tidak terlalu banyak.

Mari kita membuat perbandingan kecil dari penyedia layanan SSL utama: Symantec, Thawte, dan Comodo. Terlepas dari kenyataan bahwa, pada kenyataannya, semua perusahaan menjual produk yang hampir sama, ada perbedaan yang signifikan dalam layanan. Symantec memiliki perpanjangan garansi terbesar, mencapai 1.750.000 dolar. Jumlah ini akan dibayarkan dalam kerusakan jika Symantec melanggar ketentuan garansi. Selain itu, perusahaan memiliki perlindungan antivirus, yang melakukan pemindaian harian halaman pada host Anda untuk mendeteksi malware. Tapi, patut dicatat bahwa mereka banyak bertanya tentang fungsi ini - Symantec memiliki sertifikat paling mahal dari ketiga pusat yang disajikan. Comodo memiliki sertifikat paling terjangkau, yang juga menawarkan pemindaian antivirus dan layanan analisis PCI. Thawte tidak menawarkan fitur tambahan apa pun dan memiliki rata-rata semua harga untuk sertifikat SSL.

Saya ingin mencatat bahwa hari ini sebagian besar pemilik situs memperoleh sertifikat SSL langsung dari penyedia hosting. Terlepas dari kenyataan bahwa mereka, pada kenyataannya, perantara, harga sertifikat, dengan mengorbankan volume penjualan yang besar, bahkan mungkin lebih rendah daripada pusat sertifikasi itu sendiri!

Penting untuk dicatat bahwa tidak semua sertifikat mendukung IDN (Nama Domain yang Diinternasionalkan). Anda dapat memilih sertifikat dengan rasio kualitas harga yang ideal, tetapi jika Anda membelinya untuk domain Cyrillic, sama sekali bukan fakta bahwa itu cocok untuk Anda. Sertifikat SSL yang diaktifkan IDN dapat dibeli dari perusahaan seperti GlobalSign, Thawte, Comodo, atau Symantec.

Kesimpulannya

Saat memilih sertifikat SSL, catat sertifikat mana yang telah dipilih pesaing Anda dan hanya perusahaan dengan produk yang identik, jumlah pemirsa, dan cara bertukar informasi dengannya. Perhatikan juga bahwa bonus bagus untuk membeli sertifikat SSL adalah kenyataan bahwa situs-situs dengan koneksi HTTPS diperingkat di atas Google. Selain itu, seperti yang dilaporkan Google baru-baru ini, semua situs tanpa sertifikat SSL dan kata sandi dan nomor kartu kredit yang diterima akan ditempatkan di Google Chrome sebagai tidak aman. Ini adalah alasan lain untuk berpikir tentang memperoleh sertifikat SSL, terutama karena hari ini koneksi HTTPS jauh lebih mudah diakses oleh pengguna daripada beberapa tahun yang lalu, dan beberapa perusahaan menawarkan promosi yang menguntungkan dan bahkan memberikan sertifikat sebagai bonus.

Tonton videonya: Cara Mengamankan Website dengan Sertifikat SSL - Tutorial Dewaweb (Desember 2019).

Loading...

Tinggalkan Komentar Anda