Certificati HTTPS e SSL: rendi sicuro il tuo sito Web (e perché dovresti)

Come

DiJack Busch

Ultimo aggiornamento il20 aprile 2018

Quando si tratta di inviare informazioni personali su Internet, siano esse informazioni di contatto, credenziali di accesso, informazioni sull'account, informazioni sulla posizione o qualsiasi altra cosa che possa essere abusata: il pubblico è, in generale, decisamente paranoico su hacker e identità ladri. E giustamente. La paura che le tue informazioni possano essere rubate, manomesse o appropriate in modo inappropriato è tutt'altro che irrazionale. Lo dimostrano i titoli delle perdite e delle violazioni della sicurezza degli ultimi decenni. Ma nonostante questa paura, le persone continuano ad accedere per svolgere le proprie attività bancarie, acquisti, journaling, appuntamenti, socializzazione e altre attività personali e professionali sul Web. E c'è una piccola cosa che dà loro la sicurezza di farlo. Te lo mostrerò:

Sebbene non tutti comprendano come funziona, quel piccolo lucchetto nella barra degli indirizzi segnala agli utenti Web che hanno una connessione affidabile a un sito Web legittimo. Se i visitatori non lo vedono nella barra degli indirizzi quando aprono il tuo sito Web, non avrai e non dovresti fare affari.

Per ottenere quel piccolo lucchetto della barra degli indirizzi per il tuo sito Web, devi disporre di un certificato SSL. Come si ottiene uno? Continuate a leggere per scoprirlo.

Schema dell'articolo:

• Che cos'è SSL / TLS?
• Come usare HTTPS?
• Che cos'è un certificato SSL e come posso ottenerlo?
• Guida allo shopping del certificato SSL
• • Autorità di certificazione
  • Convalida del dominio vs. Convalida estesa
  • SSL condiviso vs. SSL privato
  • Sigilli di fiducia
  • Certificati SSL jolly
  • garanzie
  • Certificati SSL gratuiti e certificati SSL autofirmati
• Installazione di un certificato SSL
• Pro e contro HTTPS

Che cos'è SSL / TLS?

Sul Web, i dati vengono trasferiti utilizzando il protocollo Hypertext Transfer. Ecco perché tutti gli URL delle pagine web hanno " http://” o "httpS://" di fronte a loro.

Qual è la differenza tra http e https? Quella piccola S in più ha grandi implicazioni: sicurezza.

Lasciatemi spiegare.

HTTP è la "lingua" che il tuo computer e il server usano per parlare tra loro. Questo linguaggio è universalmente compreso, il che è conveniente, ma ha anche i suoi svantaggi. Quando i dati vengono trasmessi tra te e un server tramite Internet, si fermeranno lungo il percorso prima di raggiungere la destinazione finale. Ciò comporta tre grandi rischi:

• Che qualcuno potrebbe origliare sulla tua conversazione (un po 'come una intercettazione digitale).

• Che qualcuno potrebbe impersonare una (o entrambe) delle parti alle due estremità.

• Che qualcuno potrebbe manomettere con i messaggi che vengono trasferiti.

Gli hacker e i cretini usano una combinazione di quanto sopra per una serie di truffe e rapine, tra cui stratagemmi di phishing, attacchi man-in-the-middle e buona pubblicità vecchio stile. Gli attacchi dannosi potrebbero essere semplici quanto l'annullamento delle credenziali di Facebook intercettando i cookie non crittografati (intercettazione), oppure potrebbero essere più sofisticati. Ad esempio, potresti pensare di dire alla tua banca: "Per favore, trasferisci $ 100 al mio ISP", ma qualcuno nel mezzo potrebbe modificare il messaggio per leggere: "Ti preghiamo di trasferire $100tutti i miei soldi per il mio ISPPeggy in Siberia"(Manomissione e rappresentazione di dati).

Quindi, questi sono i problemi con HTTP. Per risolvere questi problemi, HTTP può essere stratificato con un protocollo di sicurezza, risultando in HTTP Secure (HTTPS). Più comunemente, la S in HTTPS è fornita dal protocollo SSL (Secure Sockets Layer) o dal protocollo TLS (Transport Layer Security) più recente. Quando distribuito, HTTPS offre bidirezionale crittografia (per evitare intercettazioni), serverautenticazione (per impedire la rappresentazione) e autenticazione dei messaggi (per impedire la manomissione dei dati).

Come usare HTTPS

Come una lingua parlata, HTTPS funziona solo se entrambe le parti scelgono di parlarla. Sul lato client, la scelta di utilizzare HTTPS può essere effettuata digitando "https" nella barra degli indirizzi del browser prima dell'URL (ad esempio, invece di digitare http://www.facebook.com, genere https://www.facebook.com) o installando un'estensione che forza automaticamente HTTPS, come HTTPS Everywhere for Firefox e Cromo. Quando il tuo browser web utilizza HTTPS, vedrai un'icona a forma di lucchetto, una barra verde del browser, il pollice in alto o qualche altro segno rassicurante che la tua connessione al server è sicura.

Tuttavia, per utilizzare HTTPS, il server Web deve supportarlo. Se sei un webmaster e desideri offrire HTTPS ai tuoi visitatori web, allora avrai bisogno di un certificato SSL o certificato TLS. Come si ottiene un certificato SSL o TLS? Continua a leggere.

Ulteriori letture: alcune app Web popolari consentono di scegliere HTTPS nelle impostazioni utente. Leggi i nostri articoli su Facebook, Gmail, e cinguettio.

Che cos'è un certificato SSL e come posso ottenerlo?

Per utilizzare HTTPS, il server Web deve disporre di un certificato SSL o TLS installato. Un certificato SSL / TLS è una specie di ID foto simile al tuo sito web. Quando un browser che utilizza HTTPS accede alla tua pagina web, eseguirà una "stretta di mano", durante la quale il computer client richiede il certificato SSL. Il certificato SSL viene quindi convalidato da un'autorità di certificazione attendibile (CA), che verifica che il server sia chi afferma di essere. Se tutto è andato a buon fine, il visitatore web ottiene il rassicurante segno di spunta verde o l'icona di blocco. Se qualcosa va storto, riceveranno un avviso dal browser web, indicando che l'identità del server non può essere confermata.

Acquisto di un certificato SSL

Quando si tratta di installare un certificato SSL sul tuo sito Web, ci sono molti parametri da decidere. Esaminiamo i più importanti:

Autorità di certificazione

L'autorità di certificazione (CA) è la società che emette il certificato SSL ed è quella che convaliderà il certificato ogni volta che un visitatore accede al tuo sito Web. Mentre ogni fornitore di certificati SSL competerà sul prezzo e sulle caratteristiche, la cosa numero uno da considerare quando si esamina le autorità di certificazione indicano se dispongono o meno di certificati preinstallati sul Web più popolare i browser. Se l'autorità di certificazione che emette il certificato SSL non è in tale elenco, all'utente verrà richiesto un avviso che informa che il certificato di sicurezza del sito non è attendibile. Ovviamente, ciò non significa che il tuo sito Web sia illegittimo, ma solo che la tua CA non è nell'elenco (ancora). Questo è un problema perché la maggior parte degli utenti non si preoccuperà di leggere l'avvertimento o di ricercare la CA non riconosciuta. Probabilmente faranno semplicemente clic.

Fortunatamente, l'elenco delle CA preinstallate sui principali browser è abbastanza grande. Include alcuni grandi marchi e CA meno conosciute e più convenienti. I nomi delle famiglie includono Verisign, Vai papà, Comodo, Thawte, Geotrust, e Affidare.

Puoi anche cercare nelle impostazioni del tuo browser per vedere quali autorità di certificazione sono preinstallate.

• Per Chrome, vai su Impostazioni -> Mostra impostazioni avanzate... -> Gestisci certificati.
• Per Firefox, fai Opzioni -> Avanzate -> Visualizza certificati.
• Per Internet Explorer, Opzioni Internet -> Contenuto -> Certificati.
• Per Safari, vai su Finder e scegli Vai -> Utilità -> Accesso KeyChain e fai clic su Sistema.

Per un rapido riferimento, dai un'occhiata a questo thread, che elenca il certificati SSL accettabili per Google Checkout.

Convalida del dominio vs. Convalida estesa

Un certificato SSL ha lo scopo di dimostrare l'identità del sito Web a cui si stanno inviando informazioni. Per garantire che le persone non stiano ottenendo certificati SSL falsi per domini che non controllano legittimamente, a l'autorità di certificazione confermerà che la persona che richiede il certificato è effettivamente il proprietario del dominio nome. In genere, ciò avviene tramite una rapida convalida della posta elettronica o telefonica, simile a quando un sito Web ti invia un'e-mail con un collegamento di conferma dell'account. Questo si chiama a dominio validato Certificato SSL. Il vantaggio è che consente di emettere certificati SSL quasi immediatamente. Probabilmente potresti andare a ottenere un certificato SSL convalidato dal dominio in meno tempo di quanto ci sia voluto per leggere questo post del blog. Con un certificato SSL convalidato dal dominio, ottieni il lucchetto e la possibilità di crittografare il traffico del tuo sito web.

I vantaggi di un certificato SSL convalidato dal dominio sono che sono veloci, facili ed economici da ottenere. Questo è anche il loro svantaggio. Come puoi immaginare, è più facile ingannare un sistema automatizzato di quello gestito da esseri umani vivi. È un po 'come se un ragazzo delle superiori entrasse nel DMV dicendo che era Barack Obama e voleva ottenere un documento di identità rilasciato dal governo. la persona alla scrivania lo guardava e chiamava i federali (o il bidone pazzo). Ma se fosse un robot che lavora in un chiosco di identificazione con foto, potrebbe avere un po 'di fortuna. Allo stesso modo, i phisher possono ottenere "ID falsi" per siti Web come Paypal, Amazon o Facebook ingannando i sistemi di convalida del dominio. Nel 2009, Dan Kaminsky ha pubblicato un esempio di un modo per farlo truffa CA per ottenere certificati che farebbe sembrare un sito Web di phishing come una connessione sicura e legittima. Per un essere umano, questa truffa sarebbe facile da individuare. Ma la convalida del dominio automatizzata al momento mancava dei controlli necessari per prevenire qualcosa del genere.

In risposta alle vulnerabilità di SSL e certificati SSL convalidati dal dominio, l'industria ha introdotto il Convalida estesa certificato. Per ottenere un certificato SSL EV, la tua azienda o organizzazione deve sottoporsi a controlli rigorosi per garantire è in regola con il tuo governo e controlla giustamente il dominio che stai applicando per. Questi controlli, tra gli altri, richiedono un elemento umano e quindi richiedono più tempo e sono più costosi.

In alcuni settori è richiesto un certificato EV. Ma per gli altri, il vantaggio arriva solo a ciò che i tuoi visitatori riconosceranno. Per i visitatori di tutti i giorni, la differenza è sottile. Oltre all'icona del lucchetto, la barra degli indirizzi diventa verde e visualizza il nome della tua azienda. Se fai clic per ulteriori informazioni, vedi che l'identità della società è stata verificata, non solo il sito Web.

Ecco un esempio di un normale sito HTTPS:

Ed ecco un esempio di un sito HTTPS certificato EV:

A seconda del settore, un certificato EV potrebbe non valerne la pena. Inoltre, devi essere un'azienda o un'organizzazione per ottenerne uno. Sebbene le grandi aziende tendano alla certificazione EV, noterai che la maggior parte dei siti HTTPS sfoggia ancora il sapore non EV. Se è abbastanza buono per Google, Facebook e Dropbox, forse è abbastanza buono per te.

Ancora una cosa: c'è una via di mezzo chiamata an organizzazione convalidata o attività convalidata certificazione. Questa è una verifica più approfondita rispetto alla convalida del dominio automatizzata, ma non arriva al punto di incontrare l'industria regolamenti per un certificato di convalida estesa (notare come la convalida estesa è capitalizzata e “organizzativa validazione "non è?). Una certificazione convalidata da OV o aziendale costa di più e richiede più tempo, ma non ti fornirà la barra degli indirizzi verde e le informazioni verificate sull'identità dell'azienda. Francamente, non riesco a pensare a un motivo per pagare un certificato OV. Se riesci a pensarne uno, per favore illuminami nei commenti.

SSL condiviso vs. SSL privato

Alcuni host web offrono un servizio SSL condiviso, che spesso è più conveniente di un SSL privato. Oltre al prezzo, il vantaggio di un SSL condiviso è che non è necessario ottenere un indirizzo IP privato o un host dedicato. L'aspetto negativo è che non puoi usare il tuo nome di dominio. Invece, la parte sicura del tuo sito sarà simile a:

https://www.hostgator.com/~yourdomain/secure.php

Contrastalo con un indirizzo SSL privato:

https://www.yourdomain.com/secure.php

Per i siti pubblici, come i siti di e-commerce e i siti di social network, questo è ovviamente un freno, poiché sembra che tu sia stato reindirizzato dal sito principale. Ma per le aree che di solito non vengono visualizzate dal pubblico, ad esempio le parti interne di un sistema di posta o un'area di amministrazione, un SSL condiviso potrebbe essere un buon affare.

Sigilli di fiducia

Molte autorità di certificazione ti consentono di apporre un sigillo di fiducia sulla tua pagina web dopo che ti sei registrato per uno dei loro certificati. Ciò fornisce praticamente le stesse informazioni che farebbe facendo clic sul lucchetto nella finestra del browser, ma con maggiore visibilità. Non è necessario includere un sigillo di fiducia, né amplifica la tua sicurezza, ma se offre ai tuoi visitatori le confuse informazioni su chi ha rilasciato il certificato SSL, gettalo lì.

Certificati SSL jolly

Un certificato SSL verifica l'identità di un dominio. Quindi, se si desidera avere HTTPS su più sottodominazioni, ad esempio groovypost.com, mail.groovypost.com e answers.groovypost.com—Avresti bisogno di acquistare tre diversi certificati SSL. A un certo punto, un certificato SSL jolly diventa più economico. Cioè, un certificato per coprire un dominio e tutti i sottodomini, ad esempio * .groovypost.com.

garanzie

Non importa da quanto tempo sia buona la reputazione di un'azienda, ci sono vulnerabilità. Anche gli autori di fiducia possono essere presi di mira dagli hacker, come evidenziato dal violazione di VeriSign che non è stata segnalata nel 2010. Inoltre, lo stato di una CA nell'elenco di fiducia può essere rapidamente revocato, come abbiamo visto con DigiNotar snafu nel 2011. Le cose accadono.

Per alleviare qualsiasi disagio sul potenziale di tali atti casuali di dissolutezza SSL, molte CA ora offrono garanzie. La copertura varia da qualche migliaio di dollari a oltre un milione di dollari e comprende le perdite derivanti dall'uso improprio del certificato o da altri incidenti. Non ho idea se queste garanzie aggiungano valore o no, o se qualcuno abbia mai vinto con successo un reclamo. Ma sono lì per la tua considerazione.

Certificati SSL gratuiti e certificati SSL autofirmati

Sono disponibili due tipi di certificati SSL gratuiti. Autofirmato, utilizzato principalmente per test privati ​​e pubblico completo rivolto a certificati SSL emessi da un'autorità di certificazione valida. La buona notizia è che, nel 2018, ci sono alcune opzioni per ottenere certificati SSL validi e validi al 100% da entrambi SSL gratis o Facciamo crittografare. SSL for Free è principalmente una GUI per l'API Encrypt di Let's. Il vantaggio del sito SSL for Free è che è semplice da usare in quanto ha una bella interfaccia grafica. Let's Encrypt, tuttavia, è bello in quanto puoi automatizzare completamente la richiesta di certificati SSL da loro. Ideale se hai bisogno di certificati SSL per più siti Web / server.

Un certificato SSL autofirmato è gratuito per sempre. Con un certificato autofirmato, sei la tua CA. Tuttavia, poiché non si è tra le autorità di certificazione attendibili integrate nei browser Web, i visitatori riceveranno un avviso che l'autorità non viene riconosciuta dal sistema operativo. Pertanto, non c'è davvero alcuna garanzia che tu sia quello che dici di essere (è un po 'come rilasciarti un documento di identità con foto e provare a passarlo al negozio di liquori). Il vantaggio di un certificato SSL autofirmato, tuttavia, è che abilita la crittografia per il traffico web. Potrebbe essere utile per uso interno, in cui è possibile fare in modo che il personale aggiunga la propria organizzazione come CA attendibile per eliminare il messaggio di avviso e lavorare su una connessione protetta su Internet.

Per istruzioni sulla configurazione di un certificato SSL autofirmato, consultare la documentazione per OpenSSL. (Oppure, se c'è abbastanza domanda, scriverò un tutorial.)

Installazione di un certificato SSL

Una volta acquistato il certificato SSL, è necessario installarlo sul tuo sito Web. Un buon host web offrirà di farlo per te. Alcuni potrebbero addirittura arrivare al punto di acquistarlo per te. Spesso, questo è il modo migliore di procedere, poiché semplifica la fatturazione e garantisce che sia impostato correttamente per il tuo server web.

Tuttavia, hai sempre la possibilità di installare un certificato SSL che hai acquistato da solo. Se lo fai, potresti iniziare a consultare la knowledge base del tuo host web o aprendo un ticket di helpdesk. Ti indirizzeranno alle migliori istruzioni per l'installazione del tuo certificato SSL. È inoltre necessario consultare le istruzioni fornite dalla CA. Questi ti daranno una guida migliore di qualsiasi consiglio generico che posso darti qui.

Potresti anche voler consultare le seguenti istruzioni per l'installazione di un certificato SSL:

• Installa un certificato SSL e configura il dominio in cPanel
• Come implementare SSL in IIS (Windows Server)
• Crittografia SSL / TLS di Apache

Tutte queste istruzioni comporteranno la creazione di una richiesta di firma del certificato SSL (CSR). In effetti, avrai bisogno di un CSR solo per ottenere un certificato SSL. Ancora una volta, il tuo host web può aiutarti in questo. Per informazioni più specifiche sul fai-da-te sulla creazione di un CSR, dai un'occhiata a questo articolo scritto da DigiCert.

Pro e contro di HTTPS

Abbiamo già stabilito con fermezza i vantaggi di HTTPS: sicurezza, protezione, sicurezza. Questo non solo mitiga il rischio di una violazione dei dati, ma infonde anche fiducia e aggiunge reputazione al tuo sito web. I clienti esperti non possono nemmeno preoccuparsi di registrarsi se vedono un " http://” nella pagina di accesso.

Vi sono, tuttavia, alcuni svantaggi di HTTPS. Data la necessità di HTTPS per alcuni tipi di siti Web, ha più senso pensare a questi come "considerazioni "piuttosto che negativi.

• HTTPS costa denaro. Per cominciare, c'è il costo di acquisto e rinnovo del certificato SSL per garantire la validità di anno in anno. Ma ci sono anche alcuni "requisiti di sistema" per HTTPS, come un indirizzo IP dedicato o un piano di hosting dedicato, che può essere più costoso di un pacchetto di hosting condiviso.
• HTTPS potrebbe rallentare la risposta del server. Esistono due problemi relativi a SSL / TLS che potrebbero rallentare la velocità di caricamento della pagina. Innanzitutto, per iniziare a comunicare con il tuo sito Web per la prima volta, il browser dell'utente deve andare attraverso il processo di stretta di mano, che rimanda al sito Web dell'autorità di certificazione per verificare il certificato. Se il server Web della CA è lento, si verificherà un ritardo nel caricamento della pagina. Questo è in gran parte al di fuori del tuo controllo. In secondo luogo, HTTPS utilizza la crittografia, che richiede una maggiore potenza di elaborazione. Ciò può essere risolto ottimizzando i contenuti per la larghezza di banda e aggiornando l'hardware sul server. CloudFlare ha un buon post sul blog su come e perché SSL potrebbe rallentare il tuo sito web.
• HTTPS può influire sugli sforzi SEO Quando si passa da HTTP a HTTPS; ti stai trasferendo in un nuovo sito Web. Per esempio, https://www.groovypost.com non sarebbe lo stesso di http://www.groovypost.com. È importante assicurarti di aver reindirizzato i tuoi vecchi link e di aver scritto le regole appropriate sotto il cofano del tuo server per evitare di perdere qualsiasi prezioso collegamento.
• I contenuti misti possono lanciare una bandiera gialla. Per alcuni browser, se hai la parte principale di una pagina web caricata da HTTPS, ma immagini e altri elementi (come fogli di stile o script) caricati da un URL HTTP, quindi potrebbe apparire un popup che avverte che la pagina include non sicuri soddisfare. Certo, avendo alcuni il contenuto sicuro è meglio che non averne nessuno, anche se quest'ultimo non genera un popup. Tuttavia, potrebbe essere utile assicurarsi di non avere "contenuti misti" sulle tue pagine.
• A volte è più facile ottenere un processore di pagamento di terze parti. Non c'è da vergognarsi nel consentire a Google Checkout, Paypal o Checkout di Amazon di gestire i tuoi pagamenti. Se tutto quanto sopra sembra troppo complicato, puoi permettere ai tuoi clienti di scambiare informazioni di pagamento sul sito sicuro di Paypal o sul sito sicuro di Google e salvarti il ​​problema.

Hai altre domande o commenti sui certificati HTTPS e SSL / TLS? Fammi sentire nei commenti.