HTTPS to de facto protokół bezpieczeństwa komunikacji internetowej. W rzeczywistości większość współczesnych przeglądarek zdecydowanie namawiać właściciele witryn internetowych używają protokołu HTTPS, który wymaga od serwerów WWW przedstawienia ważnego certyfikatu SSL zamiast niezabezpieczonego alternatywnego protokołu HTTP. Oznacza to, że jeśli posiadasz starszą stronę internetową, która korzysta z HTTP, istnieje szansa, że w końcu będziesz musiał przejść na HTTPS i uzyskać certyfikat SSL.
Jednak gdy nadszedł czas na zakup certyfikatu, możesz spotkać się z różnymi typami certyfikatów, z których każdy ma wiele funkcji technicznych. Tu na SSL.com Rozumiemy, że wybranie odpowiedniego certyfikatu może być mylące i dlatego stworzyliśmy ten artykuł jako przewodnik po możliwych typach certyfikatów i tym, jak ocenić, czy odpowiadają Twoim potrzebom.
Certyfikat Taksonomia
Niezależnie od typu wszystkie certyfikaty muszą spełniać jedną istotną funkcję: związania klucz publiczny do określonej tożsamości osoby, firmy lub organizacji.
Mówiąc to, urzędy certyfikacji (CA), takie jak SSL.com może wydawać certyfikaty do bardzo różnorodnych celów, od zabezpieczania małych stron internetowych po ochronę usług sektora publicznego na dużą skalę lub witryn handlu elektronicznego. Każdy przypadek może nakładać różne wymagania dotyczące zasad certyfikatów lub funkcjonalności, co powoduje, że istnieje kilka typów certyfikatów.
Mówiąc dokładniej, istnieją dwie cechy, które odróżniają certyfikaty SSL. To są:
- Poziom uprawomocnienie CA przeprowadza na informacjach potencjalnego właściciela certyfikatu, i
- dotychczasowy liczba i rodzaj nazw domen (na przykład
example.com,mail.example.com,*.example.comitp.) obsługiwanych przez certyfikat.
Poziom walidacji
Urzędy certyfikacji są odpowiedzialne za weryfikację tożsamości wszystkich potencjalnych nabywców certyfikatów przed wydaniem certyfikatu. Jednak w zależności od typu certyfikatu kontrole walidacji mogą obejmować proste testy automatyczne w celu udowodnienia kontroli domeny (w przypadku certyfikatów zweryfikowanych przez domenę), do dokładnego ręcznego sprawdzania dowodów, potwierdzania za pośrednictwem baz danych innych firm i inne (w przypadku certyfikatów o rozszerzonej walidacji).
Im wyższy poziom walidacji certyfikatu, tym większe zaufanie można obdarzyć tym certyfikatem. Użytkownicy mogą łatwiej ufać witrynie internetowej, która zawiera certyfikat Extended Validation z wymianą obarczoną wysokim ryzykiem (na przykład płatności lub udostępnianie prywatnych informacji), ponieważ zaufany urząd certyfikacji zweryfikował tożsamość właściciela.
Ponieważ jest to ważne dla bezpieczeństwa, przeglądarki potwierdzają poziom weryfikacji certyfikatu, wyświetlając specjalną grafikę w pasku adresu o nazwie wskaźniki bezpieczeństwa. (Ikona kłódki przed adresem tej witryny jest przykładem wskaźnika bezpieczeństwa.) Różne wskaźniki oznaczają różne poziomy sprawdzania poprawności, a właściciele witryn internetowych mogą użyć wysoce zweryfikowanego certyfikatu, aby zapewnić odwiedzającym, że są legalną firmą.
W poniższych sekcjach opisano możliwe poziomy walidacji w kolejności rosnącej. (Należy pamiętać, że każdy poziom obejmuje również wszystkie weryfikacje niższych poziomów - na przykład certyfikat serwera Extended Validation również przeszedł pomyślnie walidację domeny).
Walidacja domen (DV)
Certyfikaty walidowane w domenie (DV) są wydawane po udanym (i zwykle zautomatyzowanym) teście wyzwania-odpowiedzi. W jednej metodzie urząd certyfikacji losowo generuje unikalny token i wymaga od nabywcy certyfikatu umieszczenia go we wcześniej określonych lokalizacjach na swoim serwerze internetowym. Urząd certyfikacji przeprowadza następnie serię automatycznych kontroli w celu sprawdzenia, czy token rzeczywiście znajduje się na serwerze, co dowodzi, że nabywca rzeczywiście kontroluje serwer i jego domenę. Jeśli kontrola domeny zostanie potwierdzona, urząd certyfikacji rozpocznie wydawanie certyfikatu DV.
Zakup i instalacja certyfikatu DV to najprostsza i najszybsza (i najtańsza) metoda ochrony twojego serwera. Większość głównych przeglądarek wyświetla prostą ikonę blokady jako wskaźnik bezpieczeństwa podczas odwiedzania strony chronionej certyfikatem DV.
Chociaż certyfikaty DV doskonale nadają się do witryn o niskim natężeniu ruchu, zwykle nie należy im ufać w przypadku transakcji wysokiego ryzyka. Jeśli hakerzy włamują się na serwer HTTPS i mają możliwość zmiany jego zawartości, mogą skutecznie przejść testy DV i oszukać urząd certyfikacji do wystawienia ważnego certyfikatu SSL dla serwera innej firmy. Oczywiście renomowane urzędy certyfikacji podejmują różne środki zaradcze w celu zminimalizowania tego ryzyka, co jest jednym z powodów, dla których warto współpracować tylko z urzędami certyfikacji, którym można zaufać.
Jeśli jesteś zainteresowany zakupem certyfikatu DV, możesz znaleźć więcej informacji o SSL.com Podstawowe certyfikaty SSL tutaj.
Sprawdzanie organizacji (OV)
Aby wydać certyfikat zatwierdzony przez organizację (OV), urząd certyfikacji potwierdza kontrolę domeny (tak jak w przypadku certyfikatów DV), a następnie dodaje ręczną weryfikację informacji o organizacji potencjalnego klienta poprzez ustalone i kontrolowane procesy weryfikacji. Zwykle WO będzie wymagać weryfikowalnych dokumentów uzupełniających lub bezpośredniego kontaktu z personelem organizacji. Wydany certyfikat OV zawiera zweryfikowane informacje o organizacji, co oznacza, że może zapewnić użytkownikom końcowym znacznie wyższy poziom bezpieczeństwa niż certyfikat DV.
Średnie organizacje, które nie przetwarzają danych osobowych ani prywatnych użytkowników, mogą skorzystać z certyfikatu OV. Z uwagi na bardziej dokładny proces weryfikacji należy pamiętać, że wystawienie certyfikatu OV może potrwać dłużej niż w przypadku certyfikatu DV, a zaangażowanie operatorów ludzkich w proces weryfikacji oznacza, że certyfikat OV jest zwykle droższy niż porównywalny certyfikat DV.
Jeśli jesteś zainteresowany, możesz przeczytać więcej tutaj o certyfikatach SSL High-Assurance SSL.com.
Extended Validation (EV)
Certyfikaty Extended Validation (EV) zapewniają najwyższy poziom bezpieczeństwa i zaufania, ponieważ Cs wyda certyfikat EV tylko wtedy, gdy własność serwera i legalność jego właściciela zostaną udowodnione ponad wszelką wątpliwość. Rozszerzona walidacja obejmuje zarówno walidację domeny, jak i organizacji, a także rygorystyczne kontrole przeszłości (i kontrole krzyżowe) organizacji kupującego przez wielokrotność śledczy.
Kontrole te obejmują weryfikację legalnego, fizycznego i operacyjnego istnienia organizacji, znajdowanie pasujących rekordów w oficjalnych rządowych bazach danych, potwierdzanie, że faktyczna organizacja autoryzowała zakup certyfikatu EV za pośrednictwem połączeń zwrotnych i innych intensywnych metod.
Z powodu tego dodatkowego poziomu sprawdzania poprawności przeglądarki mogą wyświetlać specjalny wskaźnik bezpieczeństwa dla użytkowników, który wyraźnie informuje o wiarygodności strony internetowej chronionej certyfikatem EV. W większości głównych przeglądarek pasek adresu zmieni kolor na zielony i wyświetli zweryfikowaną nazwę organizacji.
Właśnie dlatego certyfikaty EV są używane przez wszystkie główne strony internetowe i banki e-commerce i są wysoce zalecane dla firm, które chcą budować zaufanie klientów do swojej witryny. Wymagane złożone kontrole oznaczają, że uzyskanie certyfikatu EV może zająć więcej czasu w porównaniu z tymi, które stosują niższe poziomy walidacji, a także oznaczają, że certyfikaty EV mogą kosztować więcej niż rozwiązania DV lub OV.
Możesz znaleźć więcej informacji na temat certyfikatów EV SSL.com na tej stronie.
Obsługa domen
Oprócz poziomu weryfikacji certyfikaty można kategoryzować na podstawie ich obsługi różnych (lub wielu) domen.
Certyfikaty serwera będą zawierać jedną lub więcej prawidłowych nazw domen, a przeglądarka zawsze sprawdza, czy certyfikat został wydany dla odwiedzanego serwera HTTPS.
W zależności od potrzeb każdego nabywcy certyfikat może zawierać jedną lub więcej domen (np example.com) lub subdomen (np info.example.com). Obsługa domen nie zależy od poziomu sprawdzania poprawności, a większość następujących typów certyfikatów jest dostępna w wariantach DV, OV lub EV.
Certyfikaty jednodomenowe
Certyfikat z jedną domeną pozwala klientom go zabezpieczyć W pełni kwalifikowana nazwa domeny (FQDN) na jednym certyfikacie. Na przykład certyfikat zakupiony dla www.example.com pozwala klientom chronić wszystkie strony www.example.com/, Takie jak www.example.com/register or www.example.com/certificates.
Certyfikaty jednodomenowe są idealne dla firm zarządzających niewielką liczbą witryn internetowych, ale jeśli Twoja firma przewiduje użycie większej liczby domen lub wymaga dodatkowej elastyczności, wygody lub oszczędności, być może zainteresują Cię certyfikaty wieloznaczne lub wielodomenowe.
Możesz znaleźć certyfikaty pojedynczej domeny SSL.com tutaj i tutaj.
Certyfikaty wieloznaczne
Certyfikaty wieloznaczne pozwalają klientom zabezpieczyć się cała kolekcja subdomeny pod FQDN. Na przykład pojedynczy certyfikat wieloznaczny dla example.com może chronić example.com oraz wszelkie subdomeny (takie jak www.example.com, info.example.com or mail.example.com) Może to znacznie uprościć zarządzanie bezpieczeństwem na wielu serwerach i witrynach (ponieważ można użyć jednego certyfikatu wieloznacznego zamiast wielu certyfikatów pojedynczej domeny), ale należy pamiętać, że certyfikaty wieloznaczne są tylko DV lub OV.
Jeśli chcesz kupić certyfikat z dziką kartą, więcej informacji znajdziesz w tutaj.
(Jeśli Twoja firma zarządza trzema domenami lub mniej, możesz skorzystać z jednej z naszych Certyfikaty Premium SSL. zamiast certyfikatu z symbolem wieloznacznym).
Certyfikaty wielodomenowe (inaczej SAN lub UCC)
Certyfikaty wielodomenowe można znaleźć pod różnymi nazwami, ale najczęściej są nazywane Nazwa zastępcza tematu (SAN) lub Certyfikaty zunifikowanej komunikacji (UKC).
Certyfikaty SAN / UCC pozwalają właścicielom witryn zabezpieczyć kilka różnych domen za pomocą tylko jednego certyfikatu. Na przykład pojedynczy certyfikat SAN / UCC można wykorzystać do zabezpieczenia obu www.example.com i www.example.co.uk. Należy pamiętać, że certyfikaty SAN / UCC nie pełnią tej samej funkcji co certyfikaty z symbolami wieloznacznymi, chociaż certyfikaty SAN / UCC mogą obejmować zarówno domeny z symbolami wieloznacznymi, jak i domeny, które nie są subdomenami o tej samej nazwie FQDN.
Pojedynczy certyfikat SAN / UCC może obsługiwać kilka tysięcy różnych domen. Klienci mogą dodawać lub usuwać domeny w dowolnym momencie, co może uprościć zarządzanie infrastrukturą bezpieczeństwa. Administratorzy muszą monitorować tylko jeden certyfikat z ujednoliconą datą ważności dla wszystkich domen, zamiast wielu certyfikatów jednej domeny.
Ponadto certyfikaty SAN / UCC są idealne dla środowisk Microsoft® Exchange i Office Communications, ponieważ mogą używać swoich alternatywnych domen do obsługi usługi Exchange Autodiscover, co znacznie ułatwia administrowanie klientami. (Z tego powodu certyfikaty SAN / UCC są czasami nazywane „certyfikatami wymiany”).
Możesz znaleźć więcej informacji o naszych certyfikatach SAN / UCC tutaj. Dla klientów korporacyjnych SSL.com zapewnia również nasz Certyfikaty SAN / UCC Enterprise EV.
Jeśli Twoja firma zarządza tylko trzema lub mniej nazwami domen (które mogą, ale nie muszą być pokrewnymi subdomenami), możesz rozważyć Certyfikat Premium SSL.
Wnioski
Certyfikaty serwera to potężne narzędzie do zabezpieczania danych i reputacji witryny, a wybór odpowiedniego certyfikatu do potrzeb może znacznie zminimalizować koszty i nakład pracy potrzebny do administrowania infrastrukturą zabezpieczeń. Mamy nadzieję, że ten artykuł pomoże Ci lepiej zrozumieć zróżnicowanie ich funkcji, czasu wydania i ceny, ale zawsze chętnie pomożemy Ci znaleźć rozwiązanie, które będzie dla Ciebie odpowiednie. Zapraszamy do kontaktu pod adresem support@ssl.com za pośrednictwem czatu na żywo, aby uzyskać więcej informacji lub rekomendacji.
I jak zawsze dzięki za wybór SSL.com, gdzie uważamy a bezpieczniej Internet to lepszy Internet.
