Сигурност

Какво е SSL сертификат и имате ли нужда от него?

Безплатен или платен? HTTP или HTTPS?

Краткият отговор е ДА, определено имате нужда от SSL сертификат, като няма причини да избягвате използването на такъв.

За дългия отговор (да, дълъг е), продължете да четете.

Наистина ли SSL вече се изисква за всички уеб сайтове?

В миналото SSL сертификати бяха нужни само на големи сайтове за търговия и пазаруване. В днешно време обаче използването на SSL сертификат е изискване за всеки уеб сайт, дори за елементарни блогове, портфолиа, или галерии. Уеб браузърите са започнали преминаване към по-сигурна мрежа, а техните потребителски интерфейси вече отразяват това, като показват предупреждения за сайтове, които не са предпазени с SSL сертификат.

Когато отворите уеб сайт през незащитена връзка (HTTP), някои браузъри индикират това посредством „Not secure“ надпис вляво на адресната лента:


Google Chrome показва надпис “Not secure” .

За да оправите това, имате нужда от SSL сертификат. SSL произлиза от Secure Sockets Layer. Накратко, сертификатът е това, което помага да се създаде защитена връзка между устройството на посетителя и Вашия уеб сайт.

Когато посетите уеб сайт с SSL сертификат, като https://www.google.com, ще видите зелен катинар:

SSL сертификати за SEO?

Допълнителна полза е, че SSL сертификатът помага за класирането на Вашия уеб сайт в резултатите от търсене в Google. През 2014 година Google анонсира, че сайтове, които ползват HTTPS, ще се класират по-високо от сайтове, които не ползват HTTPS (кликнете тук за оригиналната публикация на английски).


Често използвани термини

Виждате тези абревиатури често, но какво означават те? Не са ли HTTPS и SSL едно и също нещо? Какво тогава е TLS? А HSTS? Ето отговорите на разбираем език.

HTTP, HTTPS, HTTP/2, SSL, TLS, CA, CSR, HSTS?!?
  • HTTP (Hyper Text Transfer Protocol) – Това е оригиналният протокол, който се ползва в мрежата. Работи, но има някои недостатъци, основният от които е, че предава всички данни като обикновен текст. Това означава, че предаваната информация може да бъде подслушвана и съответно всички данни да бъдат прочетени. Вижте следното видео за демонстрация на този вид атака.
  • HTTPS (Hypertext Transfer Protocol Secure) – Това е сигурната версия на HTTP, осигуряваща защита чрез SSL/TLS сертификати.
  • HTTP/2 – Това е основна преправка на протокола, проектирана да разрешава един проблем с него – HTTP отваря отделна връзка към всеки ресурс. Това работи безпроблемно за малки сайтове, но в днешно време уеб сайтовете зареждат много ресурси – JavaScript библиотеки, CSS файлове, шрифтове, изображения. HTTP/2 комбинира всички тях в една и съща връзка, забързвайки нещата. И тъй като HTTP/2 е нов, браузър разработчиците решиха протоколът да работи само през защитена връзка, което означава, че за да се възползвате от подобрението в бързината на HTTP/2, трябва да имате SSL сертификат. HTTP/2 се поддържа напълно на всички наши сървъри.
  • SSL/TLS – Знаете ли, че всъщност SSL е стар и вече неизползван протокол? Последната му версия е публикувана през 1996 година. Объркващо, нали? Как може протоколът да е остарял, когато цялата статия се отнася до неговата настояща важност? Всъщност, TLS е обновената му версия, но старото име вече е наложено, поради което продължава да се ползва и днес. Независимо, това, от което имате нужда не е SSL сертификат, а TLS такъв.
  • CA – Certificate Authority – доверен издател на сертификати, който издава SSL/TLS сертификати и потвърждава тяхната собственост. Някои често срещани издатели на сертификати са Digicert, Sectico /Comodo/, and Let’s Encrypt.
  • CSR – Certificate Signing Request (заявка за издаване на сертификат). Името може да звучи сложно, но всъщност това е нещо съвсем просто – за да се генерира самият SSL сертификат, издателят има нужда от Вашите данни в конкретен формат. Нашият екип за техническа поддръжка може да Ви помогне с генерирането на CSR, както и Вие също можете да генерирате заявка за издаване на сертификат директно от своя онлайн Контролен панел, достъпен за всички наши хостинг планове.
  • HSTS – HTTP Strict Transport Security – това всъщност е протоколен механизъм, който информира браузърите, че съответният сайт е достъпен единствено по защитена връзка. Такава политика на информационна сигурност може да бъде много полезна, защото хакер с контрол над дадена мрежа може да се опита да понижи сигурността на връзката към HTTP, за да изследва пакетите. Ползвайки HSTS политиката, Вие можете да предотвратите това.

Ключове, Root & Intermediate сертификати, PKI, SHA1

Има още доста абревиатури, които можете да срещнете, докато завоювате своя SSL сертификат – Private Key (частен ключ), Public Key (публичен ключ, който е самият сертификат), Common Name (име, за което ще бъде издаден сертификатът), Root Certificate (основен сертификат, ползван от издателя на сертификати), Intermediate Certificate (някои издатели на сертификати нямат основен сертификат, но имат междинен сертификат, който е подписан с основния сертификат на друг издател), Certificate Chain (верига от междинни сертификати, които водят обратно към основния сертификат), PKI (инфраструктура на публичния ключ), SHA-1, SHA-2, SHA-256 (криптографски хеш-функции).

Ъпгрейдът от SHA-1 към SHA-256

До 2017 година SHA-1 е най-широко използваният хешинг алгоритъм. През 2017 обаче изследователи на сигурността успяват да докажат като напълно осъществими някои видове атаки, които дотогава се смятат единствено за възможни на теория, но не и на практика в реални ситуации. Дизайнът на SHA-1 е завършен през 1995 година, а оттогава компютърната мощ и изискванията за сигурност са се покачили десетократно. След появата на реални доказателства (Proof of Concept) за уязвимостта на SHA-1, разработчиците на браузъри бързо спират поддръжката му и налагат използването на по-сигурни алгоритми. Новите версии не са обратно съвместими със стария алгоритъм, поради което собствениците на много сайтове трябва да обновят своите сертификати.

Всеки ли може да шпионира незащитена HTTP връзка?

Доста лесно е и можете да използвате безплатни инструменти, за да изпълните такава атака сами:

Инструментът се нарича Wireshark – анализатор на пакети, който може да се използва за множествено цели. Например, някои потребители могат да го ползват, за да проверят дали компютрите им правят неоторизирани връзки към външни сървъри, което би било индикация, че системата им е заразена.

Как да се сдобием с SSL сертификат?

Можете да вземете сертификат от издател на сертификати. Има много такива издатели и още повече компании, които препродават техните сертификати – така наречените риселъри. Това не означава, че задължително цените на риселърите са по-високи. Често, възползвайки се от големите отстъпки, които получават поради огромния обем поръчки, риселърите могат да си позволят да Ви дадат по-ниска цена от тази на самите издатели. Също така, ако вземете SSL от своя хостинг доставчик (най-често риселър), няма да е нужно да се занимавате с генериране на CSR, сертификати, инсталации и т.н. Доставчикът на хостинг прави това вместо Вас, или поне при ICDSoft е така.

Продажбата на бизнеса с SSL сертификати на Symantec

Symantec бяха собствениците на няколко SSL бранда: Thawte, VeriSign, Equifax, GeoTrust и RapidSSL. В края на 2017 г. става ясно, че Symantec издава сертификати без да се придържат към политиките, на които са се съгласили по-голямата част от браузърите. Това кара Symantec да продадат своя SSL бизнес, а сертификатите, които продаваме (GeoTrust и RapidSSL), се оказаха в ръцете на DigiCert.

Платени сертификати

Sectigo /преди това познати като Comodo/ и DigiCert /преди това познати като GeoTrust/ са доставчици на платени SSL сертификати, с които работим. До появата на Let’s Encrypt, това беше единственият начин да се сдобиете със сертификат – трябваше да платите за него. Всъщност имаше един издател, който предлагаше безплатни сертификати – StartCom. Но той трябваше да спре работата си. Платените SSL сертификати все още се ползват и за това има конкретни причини.

StartCom – оригиналният доставчик на безплатни SSL сертификати

StartCom са пионери – за дълъг период от време са единственият издател на сертификати, който предлага услугата напълно безплатно.
Началото на тяхната кончина започва след скришното придобиване на компанията от WoSign Limited (базирана в Пекин, Китай). Впоследствие се оказва, че те са издавали сертификати, които заобикалят дадени ограничения на браузърите. Разработчиците на браузърите реагират бързо и премахват основните сертификати на StartCom, което повлиява негативно на бизнеса им.

Има различни типове сертификати, намиращи се в различни ценови категории, но в края на краищата всички те имат една цел – да защитят връзката между посетителя и Вашия сайт. Ние предлагаме няколко типа платени сертификати, които може да видите тук: https://www.icdsoft.com/bg/ssl


Безплатни сертификати от Let’s Encrypt

По времето, по което Google започват своя натиск към използването на HTTPS, високопоставени кадри от различни технологични компании като Mozilla Foundation и Cisco започват проект, който цели доставянето на безплатни и легитимни сертификати. Този проект се казва Let’s Encrypt. Тези сертификати предлагат същото ниво на защита като платените сертификати, но са безплатни.

Каква е уловката? Е, Let’s Encrypt решават да издават SSL сертификати за ограничен период от време – максимум 3 месеца. Това означава, че сертификатите трябва да бъдат редовно подновявани, което не е подходящо за всички системи. Трябва Ви инфраструктура за управление на SSL сертификатите, за да се автоматизира процесът, съответно да се актуализират своевременно SSL сертификатите. Разбира се, няма нужда от притеснение относно имплементацията на всички тези подробности, когато имате акаунт с ICDSoft – всичко се управлява автоматично от нашата Let’s Encrypt инфраструктура – издаване, верификация, инсталация и подновяване.

Comodo срещу Let’s Encrypt

През 2016 година интересна история пленява вниманието на технологичните маниаци – Comodo, голям издател на сертификати, решава да регистрира „Let’s Encrypt“ като търговска марка. Можете да прочетете повече за тяхното решение да направят това тук – Let’s Encrypt – Defending our Brand и можете да проверите коментарите, направени от изпълнителния директор на компанията в техния собствен форум.

Какво е DV сертификат?

DV или Domain Validated сертификат, е нормален SSL сертификат, за който можете да заплатите на нас, да получите безплатно чрез Let’s Encrypt, или да закупите от друг издател. Този тип валидация означава, че издателят на сертификата валидира единствено дали имате контрол над домейна. Валидацията се осъществява със създаването на специален DNS запис, поставянето на определен файл на конкретно място в уеб пространството на Вашия домейн, или чрез пращане на електронно съобщение до някой от следните предварително определени имейл адреси:


Банкрутът на DigiNotar

Това е много интересен случай, заради една от характеристиките, които често се споменават в предложенията за платени сертификати (да, това присъства и на нашата страница) – SSL гаранции. SSL гаранцията обикновено е няколко хиляди долара, но досега не сме чували някой да я е получавал. Потребители на сертификати се доближават най-много до получаване на своите гаранции в случая на DigiNotar, но този издател обявява банкрут само един месец, след като се разкрива, че техните системи са били хакнати. Можете да прочетете повече за това в Уикипедия: https://en.wikipedia.org/wiki/DigiNotar

  • admin@example.com
  • administrator@example.com
  • postmaster@example.com
  • hostmaster@example.com
  • webmaster@example.com

Често ни питат дали не може да се ползва друг имейл адрес. Отговорът е Не. Задължително трябва да изберете измежду предварително определените за целта имейл адреси. Кутията postmaster@ е задължителна според RFC 822 , така че тя трябва да съществува за всеки домейн. Тази пощенска кутия съществува по подразбиране за всички хостинг акаунти, които предлагаме.

Какво е EV сертификат?

EV сертификати, или сертификати с разширена валидация, предоставят същото ниво на сигурност, но по време на издаването им издателят извършва допълнителни проверки. Преимуществата от такъв SSL сертификат са съмнителни, a фактът, че популярни сайтове като https://facebook.com и https://google.com не ги използват, прибавя допълнително недоверие. Може да сте забелязали, че някои сайтове имат зелен етикет в адресната лента, точно до катинара. Ето няколко скриншота от Mozilla Firefox и Google Chrome, които показват как браузърите доскоро различаваха EV сертификатите от останалите, както и начинът, по който повечето браузъри показват адреса в момента (без визуална разлика):

Имейл сертификати

Имейл сертификатите до голяма степен са същите като HTTP сертификатите. Нашите пощенски сървъри например ползват същите Let’s Encrypt TLS сертификати като нашите уеб сървъри. Те обаче защитават работата на други протоколи, които се наричат съответно SMTP през TLS, IMAP през TLS и POP3 през TLS.

Добре, имам SSL сертификат, сайтът ми сигурен ли е сега?

Проблем, с който често се сблъскваме е, че собствениците на сайтове купуват сертификат, инсталират го, но техният сайт продължава да зарежда през HTTP. SSL сертификатът е там, но никой не кара потребители да го ползват – някои от тях имат запазени в браузърите си отметки към HTTP адреса, а може да посещават HTTP по навик. По тази причина, трябва да имплементирате HSTS политика или да включите пренасочване към HTTPS за своя уеб сайт. Това може да бъде постигнато много лесно през нашия Контролен панел – просто отидете в секцията SSL/HTTPS достъп, продължете към Пренасочване към HTTPS, след което натиснете Включи за желания поддомейн.

WordPress и SSL сертификати

Един недостатък е, че WordPress, най-известната платформа за уеб сайтове, не е напълно съвместима с тези пренасочвания, защото WordPress съхранява пълните URL адреси (още една абревиатура, означаваща пълен адрес до Вашия сайт, включвайки и протокола) в своята база данни понякога в кодирана форма. Ето защо, при WordPress се налага извършването на допълнителни стъпки, за да бъде конфигурацията правилна. Повече информация по този въпрос има в нашата статия за активиране на HTTPS за WordPress, но ако сте наш клиент, ще е по-лесно просто да попитате за помощ екипа ни за техническа поддръжка, който бързо и лесно ще направи вместо Вас необходимите промени.

Искате Вашия сайт да се отваря само през HTTPS?

Знаете ли, че екипът на ICDSoft ще го направи за Вас напълно безплатно?

Мога ли безопасно да приемам онлайн плащания при наличие на SSL сертификат?

Активиран SSL сертификат е минимално изискване за обработване на онлайн плащания, но ние препоръчваме да прехвърлите тази отговорност към независими компании като PayPal, 2Checkout, или Stripe. Срещу малкото увеличение на таксите, които се плащат при всяка транзакция, получавате комфорта от това цяла компания да работи за сигурността на процеса по плащане и чувствителните потребителски данни. Нашата компания използва този модел, от което сме доста доволни.

Сигурността е процес, а не крайно състояние.

Всеки с достатъчно познания в сферата на свързаните системи ще Ви каже, че сигурността е процес. Няма краен етап, при достигането на който имате 100% сигурност.

С използването на SSL сертификат, Вие покривате само една част от този процес, а именно постигането на сигурна криптирана връзка. Това Ви защитава от злонамерени хакери, които биха могли да подслушват и изследват пакетите във Вашата мрежа, но не прави нищо за сигурността на данните, които съхранявате, нито за сигурността на Вашите уеб приложения. Ако събирате данни от потребители, задължително трябва да взимате необходимите мерки за сигурното им съхранение. Използването на SSL сертификат е една от множеството мерки за сигурност.

Готови ли сте да преминете напълно към HTTPS?

Бихте могли да купите SSL сертификат директно от нас чрез https://www.icdsoft.com/bg/ssl , но ще е по-лесно и по-евтино в дългосрочен план, ако имате хостинг акаунт при нас и се възползвате от безплатните SSL сертификати, които се подновяват автоматично. Също така, ние можем да преместим Вашия сайт и да го настроим да работи през HTTPS. Вземете своя хостинг с включен SSL сертификат от следната страница – Бърз и сигурен хостинг.