Ръководство за начинаещи на уебсайта SSL Certs
При изграждането на уеб приложение, което се занимава с лични данни, сигурността е първият приоритет. Това важи не само за онлайн магазините и количките за пазаруване, но и за популярните социални мрежи като Twitter и Foursquare. SSL е защитен протокол, подобно на HTTP, тъй като може да получава и прехвърля данни по интернет.
Цялата концепция е малко по-сложна, но не толкова трудна за разбиране. Ако сте уебмастър или някой, който се интересува от SSL сертификатите, това ръководство трябва да е идеално за вас. Събрал съм този набор от най-объркващите термини, които да поставям за начинаещи. Прекарайте известно време в браузъра тук, както и четете други външни статии по темата. Сигурността е от жизненоважно значение за успеха на всеки уеб сайт, а SSL е само стъпка в общата картина.
Какво е SSL?
SSL протокол означава Сигурни слоеве на гнездата и първоначално е разработен от Netscape. Това е процес, при който данните, предавани между потребителя и сървъра, са криптирани / декриптирани, така че никоя външна трета страна не може да открадне връзката.
SSL се държи като цифров паспорт, който проверява пълномощията на себе си и на крайния уеб сървър. Когато и двете идентичности са проверени, SSL предоставя защитена връзка чрез HTTPS. Този процес се извършва с помощта на сертификати. Разбихме ключови аспекти на SSL сертификат, който включва:
- Името на собственика
- Серийният номер на сертификата, използван за идентификация
- Срокът на валидност на сертификата
- Публичният ключ на сертификата, използван за шифроване на информация
- Личният ключ на сертификата, използван за дешифриране на информация (обикновено идваща от уеб сървър)
Не е нужно да разбирате пълноценно използването на цялата тази информация. В някои случаи ще получите сертификат с още повече информация. И все пак нищо от това не засяга пряко потребителя; засяга само връзката между сървъра и отдалечения компютър.
Настройка на сертификат
Най-вероятно ще разберете същността на това как работи SSL. Това е по-сложна форма на предаване на данни - като прехвърляне на съобщение в заключен сейф. Не е необходимо да запомняте ключови елементи на SSL сертификат или да научите как се свързва с уеб сървър, но е добре поне да разберете основите на процеса, преди да настроите собственото си.
SSL сертификатите всъщност са закупени от редица надеждни доставчици в мрежата. Всеки сертификат има дата на изтичане, което означава, че ще трябва да го подновите, за да поддържате уебсайта си сигурен (обикновено това е всяка година). Изглежда, че наистина се борим с нея, но за щастие много популярни уеб-домакини като FatCow ще ви помогнат в процеса на настройка.
Първо трябва да генерирате CSR или Заявка за подписване на сертификат на вашия собствен уеб сървър. CSR е необходима, преди да можете да получите SSL сертификат. Възможно е да създадете това сами, ако имате пълни административни права на уеб сървъра. Въпреки това е силно препоръчително първо да се свържете с вашия уеб-домакин, тъй като те вероятно няма да ви позволят да го направите сами. Нищо лошо в това, всъщност, това всъщност прави работата ви много по-лесна!
След като имате тази криптирана CSR, можете да се свържете с доставчик на сертификат. Има само шепа надеждни доставчици като Verisign или Thawte. След като сте закупили сертификата, свържете се с поддръжката на уеб хоста и те ще го инсталират щастливо за вас.
Различни типове SSL
Най-често срещаният начин за създаване на SSL сертификат е вашият първичен IP адрес. Това е известно като a Специализиран SSL сертификат. Ще се прилага само за вашия домейн и уеб сървър. Не всеки има достатъчно пари за закупуване на специален хостинг план, но за всички нас има късмет, има и други решения.
Обикновено има три различни типа SSL сертификати, които можете да използвате. Някои доставчици на услуги могат да предлагат безплатен сертификат като оферта за ограничено време, но тези сертификати по никакъв начин не са по-сигурни от стандартна HTTP връзка и изтичат бързо.
- Специализиран SSL - Това е най-сигурното и очевидно най-скъпото решение. HTTPS връзката се проверява само за целевия ви домейн чрез определен IP адрес.
- Споделен SSL - Уеб хостовете, които предлагат споделен хостинг, понякога ще имат няколко имена на домейни, сочещи към един и същ IP адрес. В този случай за хоста е много по-лесно да управлява един единствен SSL на всеки сървър, който обхваща масив от различни уебсайтове.
- Wildcard SSL - Те могат да бъдат подобни на специален или споделен SSL сертификат, базиран на конфигурацията на сървъра. Специалните SSL сертификати ще бъдат насочени към няколко поддомейни за вашия уебсайт. Това е приемливо решение, ако разделите различни функции на уебсайта си, напр. shop.domain.com, checkout.domain.com и др.
Ако сте просто да започнете, аз силно препоръчвам използването на споделена SSL настройка. Това е малко вероятно ще бъде в състояние да си позволят специален уеб хост / IP адрес веднага. И дори ако можете, разходите за специален SSL сертификат са жестоки. Но това е абсолютно нещо, което трябва да разгледате, ако е възможно.
Въпреки това, тъй като това ръководство е насочено към начинаещи, мисля, че споделеното удостоверение е повече от достатъчно, за да започнете.
Стъпка по стъпка
Най-добрият начин да се чувствате комфортно с SSL сертификатите е чрез работещ пример. Нека сложим съвсем малък Comodo сертификат от Namecheap. Те имат много разумни цени, които са идеални за начинаещи. И тъй като ние само трябва да преминем през процеса и очертаваме това ще бъде идеален материал за този урок.
Генериране на CSR
Сега, за да започнем, трябва да създадем искането за подписване в сървъра на сървъра. Използвам бизнес хостинг акаунт чрез HostGator, за да тествам един от моите домейни. Всеки уеб хост е малко по-различен, така че ще трябва да се консултирате с помощния персонал, ако имате проблеми. Този URL адрес се използва за генериране на CSR на сметки на HostGator.
Обърнете внимание, че голяма част от тази информация трябва да бъде съчетана с данните на Whois за уебсайта на моя домейн. Използвам приложението Whois за домейни, което предоставя цялата информация, която изисква тази форма. Ако имате инсталирана поверителност на домейни, трябва да използвате тези данни вместо собствените си, така че CSR ще съвпадне.
Този процес може да отнеме до 24 часа, за да завършите регистрацията. Получих отговора си в рамките на 15 минути. Нека да продължим и да закупим сертификат сега, така че да сме готови за инсталиране с искането за подписване.
Да купим!
Плановете на Comodo варират от $ 9 / година до почти $ 100. Аз гледам на пакета EssentialSSL, който струва само $ 25 годишно. Това не е лоша сделка, имайки предвид някои от алтернативите.
Този план идва с 15-дневна политика за връщане, ако не сме доволни от сертификата. Освен това името на нашия домейн ще бъде осигурено за поддомейна www и не-www. След добавяне на този пакет към моята количка за пазаруване можем да проверим. Namecheap ще изисква да вляза в съществуващ акаунт или да се регистрирам за нов.
След като въведете всички данни за профила си, ще се покаже екранът за окончателно плащане. Имаме възможността да плащаме със средства, съхранявани в моята сметка, кредитна карта или PayPal. Ако всичко минава правилно, ние се препращаме към формуляр за потвърждение на поръчката (допълнително трябва да получите имейл с тази информация). Досега всичко изглежда добре!
Окончателна инсталация
CSR трябва да се появи в имейл от вашия уеб хост. Ключът е по-скоро като блок от разбъркани знаци и ключове. Това е, което трябва да осигурим за SSL проверката. Връщайки се в Namecheap, ще намерим страницата на SSL сертификата и кликнете върху нея “Активирате”.
На тази нова страница трябва да изберете тип сървър и да въведете CSR ключа. Избрах Apache + OpenSSL като подразбиране по подразбиране. Това е обичайна настройка за Apache, но ако не сте сигурни, проверете предварително с вашия хост. Забележете, че уеб хостът ви трябваше да се върне по-дълго Ключ RSA който се използва за частна идентификация в края на сървъра. Всичко, което трябва да направим, е да копираме по-късия ключ на CSR в кутията и да го изпратим.
След това генерираме имейл, изпратен до “одобряващ” на името на домейна. Това ще съдържа информация за вашия SSL сертификат и как да го активирате на хоста. Този последен формуляр за изпращане ще изисква нашия RSA секретен ключ, както и допълнителна информация за пакет SSL. Всичко това се доставя от Namecheap, след като преминем към CSR.
Заслужава да се отбележи, че на някои уеб хостове може да не можете да използвате SSL в споделена среда. HostGator позволява на фирмите да обновяват своите сметки до първичен IP адрес, така че да няма конфликтни грешки със сертификата. Формулярът за инсталиране на SSL от HostGator е лесен и се проверява много бързо.
След като вашият домакин потвърди, че всичко е наред, трябва да сме готови. Разберете, че това може да отнеме между няколко часа и един ден или повече. Бъдете търпеливи и проверявайте електронната си поща. След като бъде потвърдена, опитайте да влезете в уебсайта си чрез HTTPS и всички данни за сертификата трябва да са в адресната лента. Винаги е трудно, когато започвате, но не се страхувайте да поискате помощ от вашия доставчик на SSL или уеб хост, ако е необходимо.
Управление на защитена връзка
Открих, че статията за поддръжка на Hostgator е изключително полезна за разбирането на процеса на настройка. Дори и да не сте клиент на HostGator, най-вероятно ще използвате cPanel за управление на всеки отдалечен уеб сървър. Това е вярно за 1 & 1 хостинг, Bluehost и т.н..
Но най-добрата част от използването на SSL настройка на уеб хоста на трета страна е, че не е необходимо да правите промени (или най-много минути) в кода си! След като преминете през закупуване на сертификат, повечето уеб-домакини ще бъдат достатъчно любезни да ги инсталират за вас. След като всичко върви гладко, всички връзки през HTTP и HTTPS трябва да работят идентично.
Можете да тествате дали удостоверението е удостоверено чрез проверка на адресната лента в уеб браузъра. Трябва да забележите малка икона на катинар, която означава проверена SSL връзка между компютъра и отдалечения уеб сървър. Някои браузъри дори ще показват повече информация за сертификата, ако кликнете върху иконата за заключване.
Пренасочвания на Apache .htaccess
Ако имате проблеми с поддържането на посетителите в протокола HTTPS, може да искате да обмислите използването на скрипт за пренасочване. Това обикновено се настройва на сървъри на Apache, като се използва файл .Htaccess, много уеб хостове ви позволяват да конфигурирате точно в рамките на cPanel.
Добавих някои примерни кодове по-долу, които можете да използвате, за да създадете свой собствен .htaccess файл. Това ще пренасочи целия входящ трафик към https: // с поддомейн www. Можете да премахнете www, така че целият трафик да бъде насочен към https://yourdomain.com/ и правилата за пренаписване все още ще работят перфектно.
RewriteEngine On RewriteCond% HTTPS = изключено RewriteRule ^ (. *) $ Https://www.yourdomain.com/$1 [R = 301, L] RewriteCond% http_host ^ yourdomain.com [NC] RewriteRule ^ (. *) $ https://www.yourdomain.com/$1 [R = 301, L]
Свързване на файлове
Най-досадният проблем, в който ще се сблъскате, е реферирането на абсолютни URL адреси вместо относителни файлови пътеки. Това ще не покаже напълно защитена връзка, вместо да се позове на предупреждението, че има “необезпечени позиции” на страницата. Ако се обадите на всякакъв вид външен носител: видео, изображение, стилове, то трябва да се извърши локално. Показах пример по-долу:
С първия код, който зареждате потенциално несигурен документ върху защитена страница. Това е самият метод, чрез който интелигентните хакери могат да заобиколят кодирането ви. По-голямата част от случаите, в които съм се справял чрез JavaScript или VBScript. Но за да сте в безопасност, уверете се, че нито едно от активите ви не се изтегля директно чрез HTTP.
Ако по някаква причина трябва да изтеглите файл чрез абсолютния URL, използвайте вместо това HTTPS. Ако имате файлове, хоствани на външен уебсайт или сървър, това може да доведе до проблеми, тъй като не можете да проверите друга HTTPS връзка. Работете, за да запазите всички медии на уеб страници консолидирани в един ИП, така че изобщо да не се сблъскате с тези проблеми!
Сродни връзки
- Обяснете, че съм на 5: Какво представляват онлайн сертификатите за сигурност, SSL, HTTPS и как работят?
- Еволюцията на SSL автентичността [Infographic]
- Генериране и инсталиране на SSL сертификати стъпка по стъпка
заключение
Надявам се, че това уводно ръководство ви е дало малко поглед към света на SSL. Уеб сигурността е процъфтяваща индустрия, която осигурява много частни потребителски данни. Всички известни онлайн магазини, включително Amazon и eBay, използват SSL от години.
Ще призная, че SSL / HTTPS не е тема, която можете просто да изучите, за да разберете. Подобно на програмирането, наистина трябва да се потопите и да замърсите ръцете си, създавайки собствен сертификат. Това е трудна задача да се измисли след това, но тя предлага прекрасно чувство за постижение в дългосрочен план. Ако знаете за други полезни ръководства или свързани с тях материали, можете да споделите в дискусионната област.