რა განსხვავებაა http-სა და https-ს შორის? SSL დაშიფვრის პროცესის დეტალური ახსნა

ინტერნეტის სწრაფი განვითარებით, ზოგიერთი ადამიანი აკეთებს იმას, რაც სურსWechat მარკეტინგი,საჯარო ანგარიშის ხელშეწყობა, მაგრამ წუწუნებსინტერნეტ მარკეტინგიარ მუშაობს, ფაქტობრივადახალი მედიაადამიანებისთვის ინტერნეტ მარკეტინგის საუკეთესო გზა საძიებო სისტემებიადრენაჟირაოდენობა.

ამიტომ, საძიებო სისტემები დღეს ყველაზე პოპულარულიავებ პოპულარიზაციაერთ-ერთი გზა.

უფრო მეტიც, საძიებო სისტემებმა Google-მა და Baidu-მ საჯაროდ განაცხადეს, რომ https შედის საძიებო სისტემის რეიტინგის მექანიზმში.

განსაკუთრებითელექტრონული კომერციავებსაიტებისთვის რეკომენდირებულია გამოიყენოთ https დაშიფვრის პროტოკოლი, რომელიც არა მხოლოდ რეიტინგის გაუმჯობესებას უწყობს ხელს, არამედ მომხმარებლებს ეხმარება უსაფრთხოდ განიცადონ ვებსაიტი.

ჰიპერტექსტის გადაცემის პროტოკოლი HTTP პროტოკოლი გამოიყენება ინფორმაციის გადასაცემად ვებ ბრაუზერსა და ვებ სერვერს შორის. HTTP პროტოკოლი აგზავნის შინაარსს წმინდა ტექსტში და არ უზრუნველყოფს მონაცემთა დაშიფვრის რაიმე ფორმას. თუ თავდამსხმელი ჩაჭრის კავშირს ვებ ბრაუზერსა და ვებ სერვერს შორის, ამიტომ, HTTP პროტოკოლი არ არის შესაფერისი ზოგიერთი მგრძნობიარე ინფორმაციის გადასაცემად, როგორიცაა საკრედიტო ბარათის ნომერი, პაროლი და სხვა გადახდის ინფორმაცია.

HTTP პროტოკოლის ამ ხარვეზის გადასაჭრელად საჭიროა სხვა პროტოკოლის გამოყენება: უსაფრთხო სოკეტის შრის ჰიპერტექსტის გადაცემის პროტოკოლი HTTPS. მონაცემთა გადაცემის უსაფრთხოებისთვის HTTPS ამატებს SSL პროტოკოლს HTTP-ს და SSL ეყრდნობა სერთიფიკატებს, რომ გადაამოწმოს. სერვერს. და დაშიფრეთ კომუნიკაცია ბრაუზერსა და სერვერს შორის.

XNUMX. HTTP და HTTPS-ის ძირითადი ცნებები

HTTP: ეს არის ყველაზე ფართოდ გამოყენებული ქსელის პროტოკოლი ინტერნეტში. ეს არის კლიენტის და სერვერის მხრიდან მოთხოვნის და პასუხის სტანდარტი (TCP). იგი გამოიყენება ჰიპერტექსტის გადასაცემად WWW სერვერიდან ადგილობრივ ბრაუზერზე. სერვერი არის უფრო ეფექტური, რაც გამოიწვევს ნაკლები ქსელის გადარიცხვას.

HTTPS: ეს არის უსაფრთხო HTTP არხი. მოკლედ, ეს არის HTTP-ის უსაფრთხო ვერსია, ანუ HTTP-ს SSL ფენის დამატება. HTTPS-ის უსაფრთხოების საფუძველი არის SSL, ამიტომ დაშიფვრის დეტალური შინაარსი მოითხოვს SSL-ს.

HTTPS პროტოკოლის ძირითადი ფუნქციები შეიძლება დაიყოს ორ ტიპად: ერთი არის ინფორმაციის უსაფრთხოების არხის შექმნა მონაცემთა გადაცემის უსაფრთხოების უზრუნველსაყოფად; მეორე არის ვებსაიტის ავთენტურობის დადასტურება.

XNUMX. რა განსხვავებაა HTTP-სა და HTTPS-ს შორის?

HTTP პროტოკოლით გადაცემული მონაცემები არ არის დაშიფრული, ანუ უბრალო ტექსტში. ამიტომ, ძალიან არასაიმედოა HTTP პროტოკოლის გამოყენება პირადი ინფორმაციის გადასაცემად. იმისათვის, რომ უზრუნველყოფილი იყოს ამ პირადი მონაცემების დაშიფვრა და გადაცემა, Netscape-მა შექმნა SSL. (Secure Sockets Layer) პროტოკოლი HTTPS-ისთვის შეიქმნა HTTP პროტოკოლით გადაცემული მონაცემების დასაშიფრად.

მარტივად რომ ვთქვათ, HTTPS პროტოკოლი არის ქსელის პროტოკოლი, რომელიც აგებულია SSL+HTTP პროტოკოლით, რომელსაც შეუძლია შეასრულოს დაშიფრული გადაცემა და პირადობის ავთენტიფიკაცია და უფრო უსაფრთხოა ვიდრე http პროტოკოლი.

ძირითადი განსხვავებები HTTPS-სა და HTTP-ს შორის შემდეგია:

• 1. https პროტოკოლი უნდა გადავიდეს ca-ში სერთიფიკატის მისაღებად. ზოგადად, უფასო სერთიფიკატები ცოტაა, ამიტომ გარკვეული საფასურია საჭირო.
• 2. http არის ჰიპერტექსტის გადაცემის პროტოკოლი, ინფორმაცია გადაიცემა ღია ტექსტით, ხოლო https არის უსაფრთხო ssl დაშიფრული გადაცემის პროტოკოლი.
• 3. http და https იყენებენ კავშირის სრულიად განსხვავებულ მეთოდებს და სხვადასხვა პორტებს.პირველი არის 80 და მეორე არის 443.
• 4. http-ის კავშირი ძალიან მარტივი და უსახელოა; HTTPS პროტოკოლი არის ქსელის პროტოკოლი, რომელიც აგებულია SSL+HTTP პროტოკოლით, რომელსაც შეუძლია შეასრულოს დაშიფრული გადაცემა და პირადობის ავთენტიფიკაცია, რაც უფრო უსაფრთხოა ვიდრე http პროტოკოლი.

XNUMX. HTTPS და SSL დაშიფვრის პროცესის დეტალური ახსნა

ჩვენ ყველამ ვიცით, რომ HTTPS-ს შეუძლია ინფორმაციის დაშიფვრა, რათა თავიდან აიცილოს სენსიტიური ინფორმაციის მესამე მხარის მიერ მოპოვება, ამიტომ ბევრი საბანკო ვებსაიტი ან ელექტრონული ფოსტა და სხვა სერვისი მაღალი უსაფრთხოების დონეებით გამოიყენებს HTTPS პროტოკოლს.

1. კლიენტი იწყებს HTTPS მოთხოვნას

ეს სათქმელია, ანუ მომხმარებელი ბრაუზერში შეაქვს https URL-ს და შემდეგ უერთდება სერვერის 443 პორტს.

2. სერვერის კონფიგურაცია

სერვერს, რომელიც იყენებს HTTPS პროტოკოლს, უნდა ჰქონდეს ციფრული სერთიფიკატების კომპლექტი, რომელიც შეიძლება გაკეთდეს თქვენ მიერ ან მიმართოთ ორგანიზაციას. განსხვავება ისაა, რომ თქვენს მიერ გაცემული სერტიფიკატი უნდა დამოწმდეს კლიენტის მიერ, სანამ ის გააგრძელებს წვდომას. სანდო კომპანიის მიერ გამოყენებული სერთიფიკატი არა. გამოჩნდება მოთხოვნის გვერდი.

ეს სერტიფიკატი რეალურად არის წყვილი საჯარო გასაღები და პირადი გასაღები. თუ არ გესმით საჯარო გასაღები და პირადი გასაღები, შეგიძლიათ ჩათვალოთ ის, როგორც გასაღები და საკეტი, მაგრამ თქვენ ხართ ერთადერთი ადამიანი მსოფლიოში, ვისაც ეს აქვს. გასაღები. შეგიძლიათ ჩაკეტოთ საკეტი. მიეცით ის სხვებს, სხვებს შეუძლიათ გამოიყენონ ეს საკეტი მნიშვნელოვანი ნივთების დასაკეტად და შემდეგ გამოგიგზავნონ, რადგან მხოლოდ თქვენ გაქვთ ეს გასაღები, ასე რომ მხოლოდ თქვენ შეგიძლიათ ნახოთ ამ საკეტით დაბლოკილი ნივთები.

3. გაგზავნეთ მოწმობა

ეს სერტიფიკატი რეალურად არის საჯარო გასაღები, მაგრამ შეიცავს უამრავ ინფორმაციას, როგორიცაა სერტიფიკატის უფლებამოსილება, ვადის გასვლის დრო და ა.შ.

4. კლიენტის ანალიზის სერტიფიკატი

სამუშაოს ეს ნაწილი შესრულებულია კლიენტის TLS-ის მიერ. პირველ რიგში, ის გადაამოწმებს არის თუ არა საჯარო გასაღები, როგორიცაა გამცემის უფლებამოსილება, ვადის გასვლის დრო და ა.შ. გამონაკლისის აღმოჩენის შემთხვევაში, გამოჩნდება გამაფრთხილებელი ველი, რომელიც მიუთითებს სერტიფიკატთან არის პრობლემა.

თუ სერთიფიკატთან პრობლემა არ არის, მაშინ შექმენით შემთხვევითი მნიშვნელობა და შემდეგ დაშიფვრეთ შემთხვევითი მნიშვნელობა სერტიფიკატით, როგორც ზემოთ აღინიშნა, დაბლოკეთ შემთხვევითი მნიშვნელობა საკეტით, რომ გასაღების გარეშე ვერ იხილოთ დაბლოკილი შინაარსის ღირებულება.

5. დაშიფრული ინფორმაციის გადაცემა

ეს ნაწილი გადასცემს სერთიფიკატთან დაშიფრულ შემთხვევით მნიშვნელობას. მიზანია სერვერს მივცეთ ეს შემთხვევითი მნიშვნელობა და შემდეგ კლიენტსა და სერვერს შორის კომუნიკაცია შეიძლება დაშიფრული და გაშიფრული იყოს ამ შემთხვევითი მნიშვნელობის მეშვეობით.

6. სერვისის სეგმენტის გაშიფვრის ინფორმაცია

მას შემდეგ, რაც სერვერი პირადი გასაღებით გაშიფრავს, ის იღებს კლიენტის მიერ გამოგზავნილ შემთხვევით მნიშვნელობას (პირადი გასაღები) და შემდეგ შიფრავს შინაარსს სიმეტრიულად მნიშვნელობის მეშვეობით. ამ გზით, თუ პირადი გასაღები არ არის ცნობილი, კონტენტის მიღება შეუძლებელია. და კლიენტმაც და სერვერმაც იციან პირადი გასაღები, ასე რომ, სანამ დაშიფვრის ალგორითმი საკმარისად ძლიერია და პირადი გასაღები საკმარისად რთული, მონაცემები საკმარისად უსაფრთხოა.

7. დაშიფრული ინფორმაციის გადაცემა

ინფორმაციის ეს ნაწილი არის სერვისის სეგმენტის პირადი გასაღებით დაშიფრული ინფორმაცია და მისი აღდგენა შესაძლებელია კლიენტის მხარეს.

8. კლიენტის გაშიფვრის ინფორმაცია

კლიენტი შიფრავს სერვისის სეგმენტიდან გამოგზავნილ ინფორმაციას ადრე გენერირებული პირადი გასაღებით და ამით იღებს გაშიფრულ შინაარსს, მაშინაც კი, თუ მესამე მხარე აკონტროლებს მონაცემებს მთელი პროცესის განმავლობაში, ის უმწეოა.

მეოთხე, საძიებო სისტემების დამოკიდებულება HTTPS-ის მიმართ

Baidu-მ გამოუშვა სრული საიტის HTTPS დაშიფრული საძიებო სერვისი, რათა გადაეჭრას "მესამე მხარის" sniffing და მომხმარებლის კონფიდენციალურობის გატაცება. ფაქტობრივად, უკვე 2010 წლის მაისში Google-მა დაიწყო HTTPS დაშიფრული საძიებო სერვისის მიწოდება. ამ საკითხზე Baidu-მ განაცხადა განცხადება 5 წლის სექტემბერში, რომ "Baidu აქტიურად არ დაცოცავს HTTPS ვებგვერდებს", ხოლო Google-მა განაცხადა ალგორითმის განახლებაში, რომ "იგივე პირობებში, საიტებს, რომლებიც იყენებენ HTTPS დაშიფვრის ტექნოლოგიას, ექნებათ უკეთესი საძიებო რეიტინგი. უპირატესობა".

ასე რომ, ამ დიდ გარემოში, უნდა მიიღონ თუ არა ვებმასტერებმა "სარისკო" HTTPS პროტოკოლი? HTTPS საძიებო სისტემებისთვისSEOრაც შეეხება ზემოქმედებას?

1. Google-ის დამოკიდებულება

Google-ის დამოკიდებულება HTTPS საიტების მიმართ არაფრით განსხვავდება მისი დამოკიდებულებისგან HTTP საიტების მიმართ და „გამოიყენოს თუ არა უსაფრთხო დაშიფვრა“ (HTTPS) ძიების რეიტინგის ალგორითმში მითითების ფაქტორადაც კი. HTTPS დაშიფვრის ტექნოლოგიის გამოყენებით ვებსაიტებს შეუძლიათ მიიღონ უკეთესი შედეგები. არსებობს მეტი ჩვენების შესაძლებლობა და რეიტინგი ასევე უფრო ხელსაყრელია, ვიდრე მსგავსი საიტების HTTP საიტები.

და Google-მა ნათლად თქვა, რომ "იმედოვნებს, რომ ყველა ვებმასტერს შეეძლება გამოიყენოს HTTPS პროტოკოლი HTTP-ის ნაცვლად", რაც აჩვენებს მის გადაწყვეტილებას მიაღწიოს მიზანს "HTTPS ყველგან".

2. ბაიდუს დამოკიდებულება

წარსულში, Baidu-ს ტექნოლოგია შედარებით ჩამორჩენილი იყო და ამბობდა, რომ "ის აქტიურად არ დაცოცავს https გვერდებს", მაგრამ ასევე "აწუხებს" "ბევრი https გვერდი არ შეიძლება იყოს ჩართული". 2014 წლის 9 სექტემბრამდე Baidu განიხილავდა "როგორ შექმენით https საიტები მიზნის მისაღწევად". გამოქვეყნდა სტატია თემაზე "მეგობრული Baidu", სადაც მოცემულია ოთხი წინადადება და კონკრეტული ქმედება "https საიტების Baidu-ს მეგობრობის გასაუმჯობესებლად":

1. გახადეთ http ხელმისაწვდომი ვერსიები https გვერდებისთვის, რომლებიც უნდა იყოს ინდექსირებული Baidu-ს საძიებო სისტემის მიერ.

2. განსაჯეთ ვიზიტორი მომხმარებლის აგენტის მეშვეობით და დააყენეთ BaiDuspider მიმართულია http გვერდზე. როდესაც ჩვეულებრივი მომხმარებლები ეწვევიან გვერდს Baidu-ს საძიებო სისტემით, ისინი გადამისამართდებიან შესაბამის https გვერდზე 301-მდე.როგორც სურათზეა ნაჩვენები, ზემოთ მოცემულ სურათზე ნაჩვენებია http ვერსია, რომელიც შედის Baidu-ში, ხოლო ქვედა სურათზე ჩანს, რომ მომხმარებლები ავტომატურად გადადიან https ვერსიაზე დაწკაპუნების შემდეგ.

3. http ვერსია არ არის შექმნილი მხოლოდ საწყისი გვერდისთვის, სხვა მნიშვნელოვანი გვერდებიც უნდა გაკეთდეს http ვერსიით და ერთმანეთთან მიბმული იყოს. ნუ გააკეთებთ ამას: საწყისი გვერდის http გვერდის ბმული კვლავ მიბმულია https გვერდთან. , რაც აიძულებს Baiduspider-ს არ გააგრძელოს სეირნობა—— ჩვენ შევხვდით ისეთ სიტუაციას, რომ შეგვიძლია მხოლოდ ერთი მთავარი გვერდის ჩართვა მთელი საიტისთვის.

4. ზოგიერთი კონტენტი, რომელიც არ საჭიროებს დაშიფვრას, როგორიცაა ინფორმაცია, შეიძლება განხორციელდეს მეორე დონის დომენის სახელით.მაგალითადალიპეისაიტი, ძირითადი დაშიფრული კონტენტი განთავსებულია https-ზე, კონტენტი, რომელიც შეიძლება პირდაპირ დაიჭიროს Baiduspider-მა, განთავსდება მეორე დონის დომენის სახელზე.

კომპიუტერული მეცნიერების სახლის ტესტის მიხედვით ქვემოთ მოცემულ ბმულზე, HTTP-თან კავშირის დასამყარებლად საჭიროა 114 მილიწამი; HTTPS-თან კავშირის დამყარებას 436 მილიწამი, ხოლო ssl ნაწილს 322 მილიწამი სჭირდება, ქსელის დაყოვნებისა და ოვერჰედის ჩათვლით. თავად ssl-ის დაშიფვრისა და გაშიფვრის შესახებ (სერვერი კლიენტის ინფორმაციის მიხედვით განსაზღვრეთ საჭიროა თუ არა ახალი ძირითადი გასაღების გენერირება; სერვერი პასუხობს მთავარ გასაღებს და უბრუნებს მასტერ გასაღებით დამოწმებულ შეტყობინებას კლიენტს; სერვერი ითხოვს კლიენტს ციფრული ხელმოწერისა და საჯარო გასაღებისთვის).

XNUMX. რამდენ რესურსს მოიხმარს HTTPS ვიდრე HTTP?

HTTPS რეალურად არის HTTP პროტოკოლი, რომელიც აგებულია SSL/TLS-ზე. ამიტომ, იმის შესადარებლად, თუ რამდენად მეტ სერვერის რესურსს იყენებს HTTPS, ვიდრე HTTP,ჩენ ვეილიანგივფიქრობ, ეს ძირითადად დამოკიდებულია იმაზე, თუ რამდენ სერვერის რესურსს მოიხმარს თავად SSL/TLS.

HTTP იყენებს TCP სამმხრივი ხელის ჩამორთმევას კავშირის დასამყარებლად და კლიენტმა და სერვერმა უნდა გაცვალონ 3 პაკეტი;

TCP-ის სამი პაკეტის გარდა, HTTPS ასევე ამატებს 9 პაკეტს, რომელიც საჭიროა ssl ხელის ჩამორთმევისთვის, ასე რომ, სულ არის 12 პაკეტი.

SSL კავშირის დამყარების შემდეგ, დაშიფვრის შემდგომი მეთოდი ხდება დაშიფვრის სიმეტრიული მეთოდი, როგორიცაა 3DES, რომელსაც აქვს CPU მსუბუქი დატვირთვა. SSL კავშირის დამყარებისას ასიმეტრიული დაშიფვრის მეთოდთან შედარებით, სიმეტრიული დაშიფვრის მეთოდის დატვირთვა CPU-ზე. შეიძლება ძირითადად იგნორირებული იყოს. ასე რომ, პრობლემა ჩნდება. თუ ssl სესიას ხშირად აღადგენთ, ზეგავლენა სერვერის მუშაობაზე ფატალური იქნება. მიუხედავად იმისა, რომ HTTPS-ის შენარჩუნება-ცოცხალმა გახსნამ შეიძლება შეამსუბუქოს ერთი კავშირის მუშაობის პრობლემა, ის არ არის შესაფერისი. ფართომასშტაბიანი ვებსაიტები ერთდროულად მომხმარებელთა დიდი რაოდენობით. , აუცილებელია დამოუკიდებელი SSL შეწყვეტის პროქსი, რომელიც დაფუძნებულია დატვირთვის გაზიარებაზე. ვებ სერვისი განთავსებულია SSL შეწყვეტის პროქსის შემდეგ. ან შეიძლება ეფუძნებოდეს软件დიახ, მაგალითად, ვიკიპედია იყენებს Nginx-ს.

HTTPS-ის მიღების შემდეგ, რამდენი სერვერის რესურსი იქნება გამოყენებული, 2010 წლის იანვარიGmailHTTPS-ის სრულ გამოყენებაზე გადართვით, წინა დამუშავების SSL აპარატის CPU დატვირთვა არ გაიზრდება 1%-ზე მეტით, თითოეული კავშირის მეხსიერების მოხმარება იქნება 20 კბ-ზე ნაკლები, ხოლო ქსელის ტრაფიკი გაიზრდება 2%-ზე ნაკლებით. ვინაიდან Gmail-მა უნდა გამოიყენოს N სერვერები განაწილებული დამუშავებისთვის, ამიტომ CPU-ის ჩატვირთვის მონაცემებს არ აქვს დიდი საცნობარო მნიშვნელობა. მეხსიერების მოხმარება და ქსელის ტრაფიკის მონაცემები თითოეული კავშირის საცნობარო მნიშვნელობისაა. ამ სტატიაში ასევე ჩამოთვლილია, რომ ერთი ბირთვი ამუშავებს დაახლოებით 1500 ხელის ჩამორთმევას. წამში (1024-ბიტიანი RSA-სთვის). ), ეს მონაცემები ძალიან ინფორმატიულია.

XNUMX. HTTPS-ის უპირატესობები

სწორედ იმის გამო, რომ HTTPS არის ძალიან უსაფრთხო, თავდამსხმელები ვერ პოულობენ დასაწყის ადგილს. ვებმასტერების პერსპექტივიდან, HTTPS-ის უპირატესობები შემდეგია:

1. SEO ასპექტები

Google-მა შეცვალა თავისი საძიებო სისტემის ალგორითმი 2014 წლის აგვისტოში და თქვა, რომ „HTTPS-ით დაშიფრული საიტი უფრო მაღალი იქნება ძიების შედეგებში, ვიდრე ექვივალენტური HTTP საიტი“.

2. უსაფრთხოება

მიუხედავად იმისა, რომ HTTPS არ არის აბსოლუტურად უსაფრთხო, ორგანიზაციებს, რომლებიც ფლობენ root სერთიფიკატებს და ორგანიზაციებს, რომლებიც ფლობენ დაშიფვრის ალგორითმებს, ასევე შეუძლიათ განახორციელონ ადამიანის შუა რიცხვებში შეტევები, მაგრამ HTTPS მაინც ყველაზე უსაფრთხო გადაწყვეტაა ამჟამინდელი არქიტექტურით, შემდეგი უპირატესობებით:

(1) გამოიყენეთ HTTPS პროტოკოლი მომხმარებლებისა და სერვერების ავთენტიფიკაციისთვის, რათა უზრუნველყოთ მონაცემების გაგზავნა სწორ კლიენტსა და სერვერზე;

(2) HTTPS პროტოკოლი არის ქსელის პროტოკოლი, რომელიც აგებულია SSL+HTTP პროტოკოლით, რომელსაც შეუძლია დაშიფრული გადაცემა და პირადობის ავთენტიფიკაცია. ის უფრო უსაფრთხოა ვიდრე http პროტოკოლი, რომელსაც შეუძლია თავიდან აიცილოს მონაცემების მოპარვა და შეცვლა გადაცემის პროცესში და უზრუნველყოს მონაცემთა მთლიანობა.

(3) HTTPS არის ყველაზე უსაფრთხო გადაწყვეტა ამჟამინდელი არქიტექტურით. მიუხედავად იმისა, რომ ის აბსოლუტურად უსაფრთხო არ არის, ის მნიშვნელოვნად ზრდის კაცის შუაგულში შეტევების ღირებულებას.

XNUMX. HTTPS-ის ნაკლოვანებები

მიუხედავად იმისა, რომ HTTPS-ს აქვს დიდი უპირატესობები, მას მაინც აქვს გარკვეული ხარვეზები. კერძოდ, არსებობს შემდეგი ორი პუნქტი:

1. SEO ასპექტები

ACM CoNEXT მონაცემების მიხედვით, HTTPS პროტოკოლის გამოყენება გაახანგრძლივებს გვერდის ჩატვირთვის დროს თითქმის 50%-ით და გაზრდის ენერგიის მოხმარებას 10%-დან 20%-მდე, გარდა ამისა, HTTPS პროტოკოლი ასევე იმოქმედებს ქეშზე, გაზრდის მონაცემთა ზედნადებს და ენერგიის მოხმარებას. , და თუნდაც არსებული უსაფრთხოების ზომები ასევე დაზარალდება და შესაბამისად იმოქმედებს.

უფრო მეტიც, HTTPS პროტოკოლის დაშიფვრის ფარგლები შედარებით შეზღუდულია და მას მცირე გავლენა აქვს ჰაკერების შეტევებზე, სერვისზე უარის თქმის შეტევებზე და სერვერის გატაცებაზე.

რაც მთავარია, SSL სერთიფიკატების საკრედიტო ჯაჭვის სისტემა არ არის უსაფრთხო, განსაკუთრებით მაშინ, როდესაც ზოგიერთ ქვეყანას შეუძლია CA root სერთიფიკატის კონტროლი, შესაძლებელია man-in-the-middle შეტევები.

2. ეკონომიკური ასპექტები

(1) SSL სერთიფიკატებს სჭირდებათ ფული. რაც უფრო ძლიერია სერტიფიკატი, მით უფრო მაღალია ღირებულება. პირად ვებსაიტებს შეუძლიათ გამოიყენონ უფასო SSL სერთიფიკატები.

(2) SSL სერთიფიკატები ჩვეულებრივ უნდა იყოს მიბმული IP-ზე და მრავალი დომენის სახელი არ შეიძლება იყოს მიბმული ერთსა და იმავე IP-სთან. IPv4 რესურსებს არ შეუძლიათ ამ მოხმარების მხარდაჭერა (SSL-ს აქვს გაფართოებები, რომლებსაც შეუძლიათ ნაწილობრივ გადაჭრას ეს პრობლემა, მაგრამ ეს პრობლემურია და მოითხოვს ბრაუზერებს, ოპერაციული სისტემის მხარდაჭერა, Windows XP არ უჭერს მხარს ამ გაფართოებას, XP-ის დაინსტალირებული ბაზის გათვალისწინებით, ეს ფუნქცია თითქმის უსარგებლოა).

(3) HTTPS კავშირის ქეშირება არ არის ისეთი ეფექტური, როგორც HTTP და მაღალი ტრეფიკის მქონე ვებსაიტები არ გამოიყენებენ მას, თუ საჭირო არ არის, და ტრაფიკის ღირებულება ძალიან მაღალია.

(4) HTTPS კავშირს ბევრი რესურსი სჭირდება სერვერის მხრიდან, ხოლო ვებსაიტების მხარდაჭერა ცოტა მეტი ვიზიტორით მოითხოვს უფრო მაღალ ღირებულებას. თუ ყველა HTTPS გამოიყენება, VPS-ის საშუალო ღირებულება ეფუძნება ვარაუდს, რომ გამოთვლითი რესურსების უმეტესობა არის უსაქმური ავა.

(5) HTTPS პროტოკოლის ხელის ჩამორთმევის ფაზა შრომატევადია და უარყოფითად აისახება ვებსაიტის შესაბამის სიჩქარეზე, თუ ეს არ არის საჭირო, არ არსებობს მიზეზი, რომ შეიწიროს მომხმარებლის გამოცდილება.

XNUMX. საჭიროა თუ არა ვებსაიტის დაშიფვრა HTTPS-ით?

მიუხედავად იმისა, რომ Google და Baidu ორივე "განსხვავებულად უყურებენ HTTPS-ს", ეს არ ნიშნავს, რომ ვებმასტერებმა უნდა გადაიყვანონ ვებსაიტის პროტოკოლი HTTPS-ად!

უპირველეს ყოვლისა, მოდით ვისაუბროთ Google-ზე, მიუხედავად იმისა, რომ Google მუდმივად ხაზს უსვამს იმას, რომ „საიტებს, რომლებიც HTTPS დაშიფვრის ტექნოლოგიას იყენებენ, შეუძლიათ უკეთესი რეიტინგების მოპოვება“, არ არის გამორიცხული, რომ ეს არის „უკანასკნელი მოტივის“ ნაბიჯი.

ამ საკითხის საპასუხოდ უცხოელმა ანალიტიკოსებმა განაცხადეს: მიზეზი, რის გამოც Google-მა გააკეთა ეს ნაბიჯი (ალგორითმის განახლება, HTTPS დაშიფვრის ტექნოლოგიის გამოყენება საძიებო სისტემებში რეიტინგის საორიენტაციო ფაქტორად) შეიძლება არ იყოს მომხმარებლის საძიებო გამოცდილების და ინტერნეტის გაუმჯობესება. უსაფრთხოების საკითხი მხოლოდ "პრიზმის კარიბჭის" სკანდალში "ზარალის" აღდგენაა. ეს არის ტიპიური თვითინტერესისტული ნაბიჯი "შესწირე ეგო", ბანერი "უსაფრთხოების ზემოქმედების რეიტინგი" მაღლა დაჭერით და "HTTPS" სკანდირებით. ყველგან" " სლოგანი და შემდეგ უპრობლემოდ მიეცით საშუალება ვებმასტერების უმრავლესობას ნებით შეუერთდეს HTTPS პროტოკოლის ბანაკს.

თუ თქვენი საიტი ეკუთვნისელექტრონული კომერცია/Wechatპლატფორმების, ფინანსების, სოციალური ქსელების და ა.შ., უმჯობესია გამოიყენოთ HTTPS პროტოკოლი; თუ ეს არის ბლოგის საიტი, სარეკლამო საიტი, საიდუმლო ინფორმაციის საიტი ან ახალი ამბების საიტი, შეგიძლიათ გამოიყენოთ უფასო SSL. სერტიფიკატი.

XNUMX. როგორ აშენებს ვებმასტერი HTTPS საიტს?

რაც შეეხება HTTPS საიტების მშენებლობას, უნდა აღვნიშნოთ SSL პროტოკოლი.SSL არის პირველი ქსელის უსაფრთხოების პროტოკოლი, რომელიც მიღებულია Netscape-ის მიერ.ეს არის უსაფრთხოების პროტოკოლი, რომელიც დანერგილია გადაცემის საკომუნიკაციო პროტოკოლზე (TCP/IP), საჯარო გასაღების ტექნოლოგიის გამოყენებით. , SSL ფართოდ უჭერს მხარს სხვადასხვა ტიპის ქსელებს, ხოლო უზრუნველყოფს უსაფრთხოების სამ ძირითად სერვისს, ისინი ყველა იყენებს საჯარო გასაღების ტექნოლოგიას.

რაც შეეხება HTTPS საიტების მშენებლობას, უნდა აღვნიშნოთ SSL პროტოკოლი.SSL არის პირველი ქსელის უსაფრთხოების პროტოკოლი, რომელიც მიღებულია Netscape-ის მიერ.ეს არის უსაფრთხოების პროტოკოლი, რომელიც დანერგილია გადაცემის საკომუნიკაციო პროტოკოლზე (TCP/IP), საჯარო გასაღების ტექნოლოგიის გამოყენებით. , SSL ფართოდ უჭერს მხარს სხვადასხვა ტიპის ქსელებს, ხოლო უზრუნველყოფს უსაფრთხოების სამ ძირითად სერვისს, ისინი ყველა იყენებს საჯარო გასაღების ტექნოლოგიას.

1. SSL-ის როლი

(1) მომხმარებლებისა და სერვერების ავთენტიფიკაცია, რათა უზრუნველყოს მონაცემების გაგზავნა სწორ კლიენტსა და სერვერზე;

(2) დაშიფრეთ მონაცემები, რათა თავიდან აიცილოთ მონაცემების შუა გზაზე მოპარვა;

(3) შეინარჩუნოს მონაცემთა მთლიანობა და უზრუნველყოს, რომ მონაცემები არ შეიცვალოს გადაცემის პროცესში.

SSL სერთიფიკატი ეხება ციფრულ ფაილს, რომელიც ამოწმებს ორივე მხარის იდენტურობას SSL კომუნიკაციაში. ის ჩვეულებრივ იყოფა სერვერის სერთიფიკატად და კლიენტის სერთიფიკატად. SSL სერთიფიკატი, რომელსაც ჩვენ ჩვეულებრივ ვამბობთ, ძირითადად ეხება სერვერის სერთიფიკატს. SSL სერთიფიკატი არის გაცემული სანდო ციფრული სერთიფიკატის ორგანოს მიერ CA. (როგორიცაა VeriSign, GlobalSign, WoSign და ა.შ.), გაცემული სერვერის იდენტურობის შემოწმების შემდეგ, სერვერის ავთენტიფიკაციისა და მონაცემთა გადაცემის დაშიფვრის ფუნქციებით, დაყოფილი გაფართოებული ვალიდაციის (EV) SSL სერთიფიკატად, ორგანიზაციის ვალიდაციის (OV) SSL სერთიფიკატი და დომენის სახელის გადამოწმების ტიპის (DV) SSL სერთიფიკატი.

2. 3 ძირითადი ნაბიჯი SSL სერთიფიკატის მისაღებად

SSL სერთიფიკატის მისაღებად განაცხადის სამი ძირითადი ნაბიჯი არსებობს:

(1), შექმენით CSR ფაილი

ეგრეთ წოდებული CSR არის აპლიკანტის მიერ წარმოებული სერტიფიკატის უსაფრთხო მოთხოვნის სერთიფიკატის მოთხოვნის ფაილი. წარმოების პროცესში სისტემა გამოიმუშავებს ორ კლავიშს, ერთი არის საჯარო გასაღები, რომელიც არის CSR ფაილი და მეორე არის პირადი გასაღები. რომელიც ინახება სერვერზე.

CSR ფაილების შესაქმნელად განმცხადებლებს შეუძლიათ მიმართონ WEB SERVER დოკუმენტებს, გენერალურ APACHE-ს და ა.შ., გამოიყენონ OPENSSL ბრძანების ხაზი KEY+CSR2 ფაილების გენერირებისთვის, Tomcat, JBoss, Resin და ა.შ. გამოიყენონ KEYTOOL JKS და CSR ფაილების გენერირებისთვის, IIS ქმნის მომლოდინე მოთხოვნები და CSR ფაილი.

(2), CA სერთიფიკატი

წარუდგინეთ CSR CA-ს და CA-ს, როგორც წესი, აქვს ავთენტიფიკაციის ორი მეთოდი:

① დომენის სახელის ავთენტიფიკაცია: ჩვეულებრივ, ადმინისტრატორის საფოსტო ყუთი ავთენტიფიცირებულია. ავტორიზაციის ეს მეთოდი სწრაფია, მაგრამ გაცემული სერტიფიკატი არ შეიცავს კომპანიის სახელს.

② საწარმოს დოკუმენტის დამოწმება: საჭიროა საწარმოს საქმიანობის ლიცენზიის მიწოდება, რასაც ჩვეულებრივ 3-5 სამუშაო დღე სჭირდება.

ასევე არის სერთიფიკატები, რომლებიც საჭიროებენ ზემოაღნიშნული ორი მეთოდის ავთენტიფიკაციას ერთდროულად, რასაც EV სერთიფიკატი ჰქვია. ამ სერტიფიკატს შეუძლია IE2-ის ზემოთ ბრაუზერების მისამართის ზოლი გახადოს მწვანე, ამიტომ ავთენტიფიკაცია ასევე ყველაზე მკაცრია.

(3), სერთიფიკატის დაყენება

CA-დან სერთიფიკატის მიღების შემდეგ, შეგიძლიათ სერთიფიკატის განთავსება სერვერზე. ჩვეულებრივ, APACHE ფაილი პირდაპირ აკოპირებს KEY+CER-ს ფაილში და შემდეგ ცვლის HTTPD.CONF ფაილს; TOMCAT და ა.შ., საჭიროა CER სერთიფიკატის იმპორტი. CA-ს მიერ გაცემული ფაილი JKS ფაილში. დააკოპირეთ სერვერზე და შემდეგ შეცვალეთ SERVER.XML; IIS-მა უნდა დაამუშაოს მომლოდინე მოთხოვნა და იმპორტიროს CER ფაილი.

XNUMX. უფასო SSL სერტიფიკატის რეკომენდაცია

SSL სერთიფიკატის გამოყენებამ შეიძლება არა მხოლოდ უზრუნველყოს ინფორმაციის უსაფრთხოება, არამედ გააუმჯობესოს მომხმარებლის ნდობა ვებსაიტის მიმართ, მაგრამააშენეთ სადგურიღირებულების გათვალისწინებით, ბევრი ვებმასტერი ერიდება მას. ინტერნეტში უფასო ყოველთვის არის ბაზარი, რომელიც არასოდეს გამოვა მოდიდან. არის უფასო ჰოსტინგის სივრცეები და ბუნებრივია არის უფასო SSL სერთიფიკატები. მანამდე გავრცელდა ინფორმაცია, რომ Mozilla, Cisco , Akamai, IdenTrust, EFF და მიჩიგანის უნივერსიტეტის მკვლევარები დაიწყებენ Let's Encrypt CA პროექტს, რომელიც გეგმავს უზრუნველყოს უფასო SSL სერთიფიკატები და სერთიფიკატების მართვის სერვისები ვებსაიტებისთვის ამ ზაფხულიდან (შენიშვნა: თუ გჭირდებათ უფრო მოწინავე რთული სერთიფიკატები, თქვენ უნდა გადაიხადოს), და ამავდროულად, ასევე ამცირებს სერტიფიკატის ინსტალაციის სირთულეს, ინსტალაციის დრო მხოლოდ 20-30 წამია.

ხშირად დიდი და საშუალო ზომის ვებსაიტები საჭიროებენ კომპლექსურ სერთიფიკატებს და მცირე საიტებს, როგორიცაა პირადი ბლოგები, შეუძლიათ პირველ რიგში სცადონ უფასო SSL სერთიფიკატები.

ქვემოთ მოცემულიაჩენ ვეილიანგიბლოგი გაგაცნობთ რამდენიმე უფასო SSL სერთიფიკატს, როგორიცაა: CloudFlare SSL, NameCheap და ა.შ.

1. CloudFlare SSL

CloudFlare არის ვებგვერდი შეერთებულ შტატებში, რომელიც უზრუნველყოფს CDN სერვისებს. მას აქვს საკუთარი CDN სერვერის კვანძები მთელ მსოფლიოში. ბევრი მსხვილი კომპანია ან ვებსაიტი სახლში და მის ფარგლებს გარეთ იყენებს CloudFlare-ის CDN სერვისებს. რა თქმა უნდა, ყველაზე ხშირად გამოიყენება ადგილობრივი ვებმასტერების მიერ. არის CloudFlare-ის უფასო CDN, დააჩქარეთ ეს ასევე ძალიან კარგია. CloudFlare-ის მიერ მოწოდებული უფასო SSL სერთიფიკატი არის UniversalSSL, ანუ უნივერსალური SSL. მომხმარებლებს შეუძლიათ გამოიყენონ SSL სერთიფიკატი სერტიფიკატის ორგანოსგან განაცხადის და კონფიგურაციის გარეშე. CloudFlare უზრუნველყოფს SSL-ს. დაშიფვრა ყველა მომხმარებლისთვის (მათ შორის უფასო მომხმარებლებისთვის), ვებ ინტერფეისი სერთიფიკატი იქმნება 5 წუთში და ავტომატური განლაგება სრულდება 24 საათის განმავლობაში, უზრუნველყოფს TLS დაშიფვრის სერვისს, რომელიც ეფუძნება Elliptic Curve Digital Signature Algorithm (ECDSA) ვებსაიტების ტრაფიკს.

2. სახელი იაფად

NameCheap არის წამყვანი ICANN აკრედიტებული დომენის რეგისტრაციისა და ვებსაიტების ჰოსტინგის კომპანია, რომელიც დაარსდა 2000 წელს, კომპანია გთავაზობთ უფასო DNS რეზოლუციას, URL გადამისამართებას (შეიძლება დამალოს ორიგინალური URL, მხარი დაუჭიროს 301 გადამისამართებას) და სხვა სერვისებს, გარდა ამისა, NameCheap ასევე გთავაზობთ წლები SSL სერთიფიკატის უფასო სერვისი.

3. მოდით დავშიფროთ

Let's Encrypt არის უფასო SSL სერთიფიკატის გაცემის პროექტი, რომელიც ბოლო დროს ძალიან პოპულარულია. Let's Encrypt არის უფასო და უფასო საზოგადოებრივი კეთილდღეობის პროექტი, რომელიც მოწოდებულია ISRG-ის მიერ, რომელიც ავტომატურად გასცემს სერთიფიკატებს, მაგრამ სერთიფიკატი მოქმედებს მხოლოდ 90 დღის განმავლობაში.ის შესაფერისია პირადი სარგებლობისთვის ან დროებითი გამოყენებისთვის და აღარ უნდა გაუძლოს იმ მოთხოვნას, რომ ხელმოწერილი სერტიფიკატი არ არის სანდო ბრაუზერის მიერ.

სინამდვილეში,ჩენ ვეილიანგიბლოგი ასევე გეგმავს ახლახანს გამოიყენოს Let's Encrypt ^_^

მოდით დავშიფროთ უფასო SSL სერტიფიკატის აპლიკაციის გაკვეთილი, გთხოვთ, იხილეთ ეს სტატია დეტალებისთვის:"როგორ მივმართოთ Let's Encrypt-ზე"