en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

SSL /TLS Bästa metoder för 2021

2021, säkra din webbplats med en SSL /TLS certifikatet är inte längre valfritt, även för företag som inte hanterar känslig kundinformation direkt på webben. Sökmotorer som Google använder webbplatsens säkerhet som en SEO-rankningssignal och populära webbläsare som Chrome varnar användare för webbplatser som inte använder HTTPS:

Webbläsare som arbetar för osäker webbplats

Möjligheten att ställa in dina webbservrar och applikationer för att använda SSL /TLS protokollet korrekt kan kännas skrämmande, eftersom det finns många arkana konfiguration och designval att göra. Den här guiden ger en snabb översikt över de viktigaste punkterna att tänka på när du ställer in SSL /TLS för din webbplats, medan du fokuserar på både säkerhet och prestanda. Det finns fortfarande mycket att täcka med bara grunderna, så vi har delat upp det i en serie steg.

Välj en tillförlitlig certifikatutfärdare (CA)

Dina certifikat är bara lika pålitliga som CA som utfärdar dem. Alla offentligt betrodda certifikatutfärdare är föremål för rigorösa tredjepartsgranskningar för att behålla sin position i större operativsystem och webbläsares rotcertifikatprogram, men vissa är bättre på att behålla den statusen än andra. Leta efter en CA som (som SSL.com):

  • Gör det mesta av sin verksamhet inom allmänhetens förtroende PKI. Dessa företag har mest att förlora om dålig säkerhetspraxis kommer fram och allt att vinna genom att följa utvecklade industristandarder.
  • Svarar effektivt och effektivt på sårbarhetsupptäckter som påverkar användarsäkerhet och integritet, som branschomfattande serienummer entropi nummer av början av 2019. Sök i branschforum som mozilla.dev.säkerhet.policy kan ge dig en god uppfattning om hur en viss CA reagerar på motgångar.
  • Erbjuder användbara produkter och tjänster, som EV-certifikat (Extended Validation), bulk / automatiskt certifikatutfärdande via ett intuitivt API eller ACME-protokoll, enkla certifikat livscykelhantering och övervakningstjänster, och stödja för integration med en omfattande lista över tredjepartslösningar.
  • Har ett rykte för bra kundservice och teknisk support. Att skydda ditt företags webbplats 100% av tiden är viktigt, och du måste kunna få en riktig expert i telefon när saker går fel.

Certifikatutfärdstillstånd (CAA)

Certifikatutfärdstillstånd (CAA) är en standard för att skydda webbplatser genom att utse specifika certifikatutfärdare som får utfärda certifikat för ett domännamn. När du har valt en CA, bör du överväga konfigurera CAA-poster att auktorisera det.

Generera och säkra dina privata nycklar

Du har nu möjlighet SSL /TLS protokoll använder a par nycklar för att verifiera identiteter och kryptera information som skickas via Internet. En av dessa (den offentlig nyckel) är avsedd för bred distribution och den andra (den privat nyckel) ska hållas så säkert som möjligt. Dessa nycklar skapas tillsammans när du genererar en certifikatsigneringsbegäran (CSR). Här är några tips att tänka på när det gäller dina privata nycklar:

  • Använd starka privata nycklar: Större tangenter är svårare att knäcka, men kräver mer datoromkostnader. För närvarande rekommenderas minst en 2048-bitars RSA-nyckel eller 256-bitars ECDSA-nyckel, och de flesta webbplatser kan uppnå god säkerhet medan de optimerar prestanda och användarupplevelse med dessa värden.
    Notera: för en översikt av dessa två algoritmer, se SSL.coms artikel, Jämför ECDSA vs RSA.
  • Skydda dina privata nycklar:
    • Skapa dina egna privata nycklar i en säker och pålitlig miljö (helst på servern där de kommer att distribueras eller en FIPS eller Common Criteria-kompatibel enhet). Aldrig tillåt en CA (eller någon annan) att skapa privata nycklar för dina räkning. En ansedd offentlig CA, som SSL.com, kommer aldrig att erbjuda att generera eller hantera dina privata nycklar om de inte genereras i en säker hårdvarutoken eller HSM och inte kan exporteras.
    • Ge bara tillgång till privata nycklar efter behov. Skapa nya nycklar och återkalla alla certifikat för de gamla nycklarna när anställda med privat nyckelåtkomst lämnar företaget.
    • Förnya certifikat så ofta som praktiskt möjligt (åtminstone årligen skulle vara bra), helst med en nygenererad privat nyckel varje gång. Automationsverktyg som ACME-protokoll är till hjälp för att schemalägga frekventa certifikatförnyelser
    • Om en privat nyckel har äventyrats, eller kan ha äventyrats, återkalla alla certifikat för den här nyckeln, generera ett nytt nyckelpar och utfärda ett nytt certifikat för det nya nyckelparet.

Konfigurera din server

På ytan, installera en SSL /TLS certifikat kan verka som en enkel operation; Det finns dock fortfarande många många konfigurationsbeslut som måste fattas för att säkerställa att din webbserver är snabb och säker och att slutanvändarna har en smidig upplevelse som är fri från webbläsarfel och varningar. Här är några konfigurationspekare som hjälper dig att komma igång när du konfigurerar SSL /TLS på dina servrar:

  • Se till att alla värdnamn är täckta: Täcker ditt certifikat din webbplats domännamn både med och utan www prefix? Finns det en Ämnesalternativ (SAN) för varje domännamn certifikatet är avsett att skydda?
  • Installera kompletta certifikatkedjor: SSL / slutenhet /TLS certifikat undertecknas vanligtvis av mellanliggande certifikat snarare än en CA: s rotnyckel. Se till att mellanliggande certifikat är installerade på din webbserver för att ge webbläsare en komplett certifieringsväg och undvik förtroendevarningar och fel för slutanvändare. Din CA kommer att kunna förse dig med alla nödvändiga mellanprodukter; SSL.coms kunder kan använda våra Mellanliggande certifikatnedladdning sida för att hämta mellanliggande paket för många serverplattformar.
  • Använd aktuell SSL /TLS Protokoll (TLS 1.2 eller 1.3): I slutet av 2018 tillkännagav alla större webbläsarleverantörer planer på att avskrivas TLS 1.0 och 1.1 under första halvåret 2020. Google fasats TLS v1.0 och v1.1 i Chrome 72 (släpptes 30 januari 2919). Chrome-versioner 84 (släppt 14 juli 2020) och ovan presenterar en interstitiell varning för dessa protokoll, och support kommer att vara helt borttagen i maj 2021. Utbrett webbläsarsupport av tidigare SSL /TLS versioner, som SSL v3, är för länge borta. Medan TLS 1.2 är för närvarande den mest använda versionen av SSL /TLS protokoll, TLS 1.3 (den senaste versionen) är stöds redan i de aktuella versionerna av de flesta stora webbläsare.
  • Använd en kort lista över Secure Cipher Suites: Välj bara chiffersviter som erbjuder minst 128-bitars kryptering eller starkare när det är möjligt. National Institute of Standards and Technology (NIST) rekommenderar också att allt TLS implementeringar flyttar sig bort från chiffersviter som innehåller DES-chiffer (eller dess varianter) till sådana som använder AES. Slutligen minimerar användningen av endast en liten delmängd av potentiellt acceptabla chiffersviter attackytan för ännu oupptäckta sårbarheter. Bilagan till SSL.com Guide till TLS Standards Compliance ger exempelkonfigurationer för de mest populära webbserverplattformarna med TLS 1.2.
    Notera: Om du använder osäkra kan utskrivna chiffer (t.ex. RC4) orsaka webbläsarsäkerhetsfel, t.ex. ERR_SSL_VERSION_OR_CIPHER_MISMATCH i Google Chrome.
  • Använd Forward Secrecy (FS): Också känd som perfekt framåtriktad sekretess (PFS), FS försäkrar att en kompromissad privat nyckel inte också kommer att äventyra tidigare sessioner. För att aktivera FS:
    • Inställd TLS 1.2 för att använda den Elliptic Curve Diffie-Hellman (EDCHE) nyckelutbytesalgoritm (med DHE som fallback) och undvik RSA-nyckelutbyte helt om möjligt.
    • Använda TLS 1.3. TLS 1.3 ger framåtriktat hemlighet för alla TLS sessioner via the Ephemeral Diffie-Hellman (EDH eller DHE) nyckelutbytesprotokoll.
  • aktivera TLS Återupptagande av sessionen: På samma sätt som att använda keepalives för att upprätthålla ihållande TCP-anslutningar, TLS sessionsåterupptagning gör att din webbserver kan hålla koll på nyligen förhandlat SSL /TLS sessioner och återuppta dem genom att kringgå den beräkningsmässiga omkostnaden för förhandlingen om sessionens nyckel.
  • Överväg OCSP häftning: OCSP-häftning tillåter webbservrar att leverera cachad återkallningsinformation direkt till klienten, vilket innebär att en webbläsare inte behöver kontakta en OCSP-server för att kontrollera om webbplatsens certifikat har återkallats. Genom att eliminera denna begäran erbjuder OCSP-häftning en verklig prestandaförbättring. För mer information, läs vår artikel, Optimering av sidbelastning: OCSP-häftning.

Använd bästa metoder för webbapplikationsdesign

Att utforma dina webbapplikationer med säkerhet i åtanke är lika viktigt som att konfigurera din server korrekt. Det här är de viktigaste punkterna för att se till att dina användare inte utsätts för Mannen i mitten attacker, och att din ansökan får SEO-fördelarna med god säkerhetspraxis:

  • Eliminera blandat innehåll: JavaScript-filer, bilder och CSS-filer bör alla nås med SSL /TLS. Som beskrivs i SSL.coms artikel, HTTPS Allt, servering blandat innehåll är inte längre ett acceptabelt sätt att öka webbplatsens prestanda och kan resultera i webbläsarsäkerhetsvarningar och SEO-problem.
  • Använd säkra kakor: Ställa in Secure flagga i kakor kommer att tvinga överföring via säkra kanaler (t.ex. HTTPS). Du kan också hålla JavaScript från klientsidan från att komma åt cookies via HttpOnly flagga och begränsa användning av kakor på flera platser med SameSite flagga.
  • Utvärdera tredje parts kod: Se till att du förstår de potentiella riskerna med att använda tredjepartsbibliotek på din webbplats, till exempel möjligheten att oavsiktligt införa sårbarheter eller skadlig kod. Vet alltid tredjeparts tillförlitlighet efter bästa förmåga och länk till all tredjepartskod med HTTPS. Slutligen, se till att din fördel från tredjepartselement på din webbplats är värt risken.

Kontrollera ditt arbete med diagnosverktyg

Efter att ha konfigurerat SSL /TLS på din server och webbplats eller gör några konfigurationsändringar är det viktigt att se till att allt är korrekt inställt och att ditt system är säkert. Många diagnostiska verktyg finns tillgängliga för att kontrollera din webbplats SSL /TLS. Till exempel SSL Shoppers SSL-kontroll kommer att meddela dig om ditt certifikat är korrekt installerat, när det löper ut och visar certifikatets förtroendekedja.

Andra onlineverktyg och applikationer finns tillgängliga som kommer att genomsöka din webbplats och kontrollera om det finns säkerhetsproblem som blandat innehåll. Du kan också leta efter blandat innehåll med en webbläsare med hjälp av dess inbyggda utvecklarverktyg:

varning för blandat innehåll
Varning för blandat innehåll i Chrome-konsolen

Oavsett vilka verktyg du väljer är det också viktigt att ställa in ett schema för att kontrollera din SSL /TLS installation och konfiguration. Din CA kan också hjälpa dig med detta. Till exempel, som en bekvämlighet för våra kunder, tillhandahåller SSL.com automatiserade meddelanden om överhängande certifikats utgång.

Var uppmärksam på nya sårbarheter

Webbsäkerhet är ett ständigt rörande mål, och du bör alltid vara på jakt efter nästa attack och omedelbart tillämpa säkerhetsuppdateringar på din server. Detta innebär att du läser och håller kontakten med vad som är i horisonten när det gäller informationssäkerhet samt att hålla koll på programuppdateringar - särskilt de kritiska. SSL.coms webbplats (där du läser detta just nu) är en utmärkt källa för att hålla dig uppdaterad om SSL /TLS och informationssäkerhet.

Men hur är det med ...?

Om du vill veta mer om något av ämnena i den här guiden och lära dig om nya problem och tekniker när de uppstår, kan du börja med att bläddra och söka i SSL.coms Kunskapsbas, som vi uppdaterar varje vecka med ny utveckling inom SSL /TLS och PKI. Du kan också gärna kontakta vår supportpersonal när som helst via e-post på Support@SSL.com, i telefon kl 1-877-SSL-Secureeller genom att klicka på chattlänken längst ned till höger på den här sidan.

SSL.com erbjuder ett brett utbud av SSL /TLS servercertifikat för HTTPS-webbplatser.

JÄMFÖR SSL /TLS INTYG

Dela på twitter
Twitter
Dela på facebook
Facebook
Dela på Linkedin
Link
Resurs på Reddit
reddit
Dela på e-post
E-post