SSL WildCard

Zamjenski SSL: sve što trebate znati

Nazvani su prema zamjenskom znaku (zvjezdici), zapravo na engleskom Wildcardu. Zvjezdicom se koristi za definiranje skupine poddomena na koju se certifikat odnosi.

Da bismo pojednostavili, može se reći da vrijednost zvjezdice ne prelazi točku. Istodobno, nije moguće koristiti dvije ili više zvjezdica: na primjer, nije moguće potvrditi.

Zamjenski certifikat je certifikat koji omogućuje neograničenu primjenu SSL-a na poddomene domaćine domene (FQDN). Nedavno se oko 40% izdavanja SSL certifikata izdaje s Wildcard SSL certifikatima, što dokazuje da je vrlo učinkovit.

Razlog zbog kojeg se naziva Wildcard je zato što je domena certifikata (CN i DNS ime) u formatu * .mydomain.com. To je vrsta Multi / SAN certifikata i produžna je tehnologija RFC međunarodnog standarda X.509. Možete razumjeti da su zadani zamjenski domeni i poddomene uključeni u stavku [Subject Alternative Name-DNS Name] u stavci prikaza detalja o certifikatu u web pregledniku.

Na primjer: web preglednik se zapravo prikazuje u certifikatu, prikazuje se zamjenski certifikat. Prilikom pregledavanja podataka o certifikatu primijenjene web stranice, oni se prikazuju u određenom formatu.

Čak i uz ta ograničenja, Wildcard certifikati predstavljaju vrlo prikladnu metodu za šifriranje prijenosa podataka brojnih poddomena.

SSL digitalni certifikat

SSL certifikat je elektronički dokument koji garantira komunikaciju između klijenta i poslužitelja od strane treće strane. Odmah nakon što se klijent poveže s poslužiteljem, poslužitelj klijentu prosljeđuje ove podatke o certifikatu. Klijent izvodi sljedeći postupak nakon što provjeri je li pouzdan ovaj podatak o certifikatu. Prednosti upotrebe SSL i SSL digitalnih certifikata su sljedeće.

• Komunikacijski sadržaj može se spriječiti da bude izložen napadačima.

• Moguće je utvrditi je li poslužitelj na koji se klijent povezuje pouzdani poslužitelj.

• Možete spriječiti zlonamjernu izmjenu komunikacijskog sadržaja.

   

Primjer za prijavu za izdavanje CN (domene)

Zamjenski znak:

CN: To mora biti isti obrazac kao * .example.com ili * .sub2.sub1.sslcert.co.net identificiran DNS imenom.

Multi-wildcard

CN: *. Unesite korijenski FQDN example.com kao CN, isključujući oznaku.

npr. Ako je * .sub.sslcert.co.net reprezentativna domena, unesite CN kao sub.sslcert.net

SAN: Zamjenske domene u formatu * .example.com i * .sub.sslert.co.net jesu, Dodatni unosi vrše se tijekom koraka postavljanja DCV-a tijekom prijavnog obrasca.

Napomene (Oprez zbog pogrešaka)

Budući da je samo korak položaja prikaza neograničen broj hostova. Format .sslcert.co.net nije moguć. Nije moguće prijaviti se u više koraka poput:

Glavna upotreba

Kada se primjenjuje jedan Wildcard SSL, to je povoljnije za smanjenje troškova / upravljanje od izdavanja više poddomena svaka-Kada se poddomene očekuju kontinuirano kako se povećava upotreba web usluga, a SSL se primjenjuje i njime se upravlja.

Na web poslužitelju Ako se želite prijaviti na sve web stranice poddomena sa zadanim priključkom 443 SSL (SNI web-poslužitelj koji nije podržan može vezati samo jedan certifikat po jednom SSL priključku (npr. 443))

Stavite više drugih zamjenskih domena u jedan certifikat Kako to učiniti? Da bi se izborili s takvim slučajevima, postoji proizvod Multi-Wildcard SSL certifikata. Jedan zamjenski znak može sadržavati samo 1 zamjenski znak u certifikatu, a više zamjenskih znakova može sadržavati do 250 zamjenskih znakova u jednom certifikatu.

"Low cost" zamjenski certifikati

Krenimo sada na dostupnu ponudu. Posvećeni SSL certifikatima za poddomene, možemo odmah primijetiti prisutnost 2 "početne razine", RapidSSL-a i Sectigo Essential: to su certifikati tipa "Domain Validated", u kojem je naziv tvrtke, koja nude nisko jamstvo, ali se mogu izdati u kratkom vremenu, za manje od sat vremena. Stoga ih preporučujemo onima kojima se žuri i nemaju posebne zahtjeve.

Certifikati o zamjenskim korporacijama

Među onima tipa OV (organizacija provjerena), koju karakterizira provjera valjanosti u cijeloj tvrtki, željeli bismo preporučiti GeoTrust. Prije svega, GeoTrust je sinonim za pouzdanost, jedan je od najpoznatijih brendova na području web sigurnosti.

Drugo, ali ne najmanje važno, jer je ovaj Wildcard certifikat onaj koji nudi najveće jamstvo u rijetkim slučajevima kada dođe do kršenja šifriranja. U ovom slučaju, ponuđena garancija iznosi 1,25 milijuna američkih dolara, tek toliko da se mirno spava.

Na kraju, moramo reći da, u slučaju zamjenskih znakova, barem trenutno nisu dostupni certifikati tipa EV (Extended Validated), oni, da bude jasno, koji pokazuju zelenu adresnu traku u pregledniku, zajedno s punim imenom vlasničkog poduzeća.

U slučaju da trebate dobiti zelenu traku na nekim poddomenama, trebate se odlučiti za certifikate s jednom ili više domena (SAN).

Neke uobičajene razlike kako biste razumjeli HTTPS i amp; SSL certifikati:

HTTPS VS HTTP

HTTP je skraćenica od Hypertext Transfer Protocol. Drugim riječima, to znači komunikacijski protokol za prijenos HTML-a koji je hipertekst. U HTTPS-u je posljednja S kratica od O ver Secure Socket Layer. Budući da HTTP prenosi podatke na nešifrirani način, vrlo je jednostavno presresti poruke koje su poslali i primili poslužitelj i klijent.

Na primjer, u procesu slanja lozinki na poslužitelj za prijavu ili čitanje važnih povjerljivih dokumenata može se dogoditi zlonamjerno prisluškivanje ili promjena podataka. HTTPS je ono što to osigurava.

HTTPS i SSL

HTTPS i SSL često se razumiju naizmjenično. Ovo je ispravno i pogrešno. To je poput razumijevanja interneta i weba u istom smislu. Zaključno, kao što je web jedna od usluga koja se izvodi na Internetu, HTTPS je protokol pokrenut na SSL protokolu.

SSL i TLS

Ista stvar. SSL je izumio Netscape, a kako je postupno postao široko korišten, preimenovan je u TLS jer je promijenjen u upravljanje IETF-om, tijelom za standardizaciju. TLS 1.0 nasljeđuje SSL 3.0. Međutim, naziv SSL koristi se puno više od naziva TLS.

Vrste šifriranja koje koristi SSL

Ključ SSL-a je šifriranje. SSL koristi dvije tehnike šifriranja u kombinaciji iz sigurnosnih razloga i zbog performansi. Da biste razumjeli kako SSL radi, morate razumjeti ove tehnike šifriranja. Ako ne znate kako to učiniti, način rada SSL-a osjećat će se apstraktno. Uvest ćemo tehnike šifriranja koje se koriste u SSL-u kako biste mogli detaljno razumjeti SSL. Izazovimo ga jer ovo nije samo razumijevanje SSL-a, već i osnovne vještine informatičara.

Simetrični ključ

Tip lozinke koja se koristi za šifriranje, čin stvaranja lozinke, naziva se ključem. Budući da se šifrirani rezultat razlikuje prema ovom ključu, ako ključ nije poznat, dešifriranje, što je čin dešifriranja šifriranja, ne može se izvršiti. Simetrični ključ odnosi se na tehniku ​​šifriranja u kojoj se šifriranje i dešifriranje mogu izvesti istim ključem.

Drugim riječima, ako ste za šifriranje koristili vrijednost 1234, prilikom dešifriranja morate unijeti vrijednost 1234. Da bismo vam pomogli razumjeti, pogledajmo kako koristiti openssl za šifriranje metodom simetričnog ključa. Izvršenjem naredbe u nastavku stvara se datoteka plaintext.txt. I bit ćete upitani za lozinku. Trenutno unesena lozinka postaje simetrični ključ.

Javni ključ

Metoda simetričnog ključa ima svoje nedostatke. Teško je prenijeti simetrični ključ između ljudi koji razmjenjuju lozinke. To je zato što ako procuri simetrični ključ, napadač koji je dobio ključ može dešifrirati sadržaj lozinke, čineći lozinku beskorisnom. Metoda šifriranja iz ove pozadine metoda je javnog ključa.

Metoda javnog ključa ima dva ključa. Ako je šifriran ključem A, može se dešifrirati ključem B, a ako je šifriran ključem B, može se dešifrirati ključem A.Fokusirajući se na ovu metodu, jedan od dva ključa označen je kao privatni ključ (također se naziva privatni ključ, privatni ključ ili tajni ključ), a drugi je javni.

Privatni je ključ u vlasništvu samo vas, a javni se daje drugima. Ostali kojima je dodijeljen javni ključ šifriraju podatke pomoću javnog ključa. Šifrirani podaci prenose se osobi koja ima privatni ključ. Vlasnik privatnog ključa koristi ovaj ključ za dešifriranje šifriranih podataka. Čak i ako javni ključ procuri tijekom ovog postupka, siguran je jer se informacije ne mogu dešifrirati bez poznavanja privatnog ključa. To je zato što se šifriranje može izvesti s javnim ključem, ali dešifriranje nije moguće.

SSL certifikat

Uloga SSL certifikata prilično je složena, pa morate znati neko znanje da biste razumjeli mehanizam certifikata. Dvije su glavne funkcije certifikata.

Razumijevanje obje ove ključno je za razumijevanje certifikata.

• Osigurava da je poslužitelj na koji se klijent povezuje pouzdan poslužitelj.

• Pruža javni ključ koji će se koristiti za SSL komunikaciju s klijentom.

CA

Uloga certifikata osigurava da je poslužitelj na koji se klijent povezuje poslužitelj kojeg je klijent namijenio. Postoje privatne tvrtke koje igraju tu ulogu, a te se tvrtke nazivaju CA (Certificate Authority) ili Root Certificate. CA nije nešto što bilo koja tvrtka može učiniti, a mogu sudjelovati samo tvrtke čiji je kredibilitet strogo certificiran. Među njima su sljedeće reprezentativne tvrtke. Podaci su trenutni tržišni udio.

• Symantec s 42,9% tržišnog udjela

• Comodo s 26%

• GoDaddy s 14%

• GlobalSign sa 7,7%

Usluge koje žele pružiti šifriranu komunikaciju putem SSL-a moraju kupiti certifikat putem CA. CA na razne načine procjenjuje pouzdanost usluge.

Privatno tijelo za ovjere

Ako želite koristiti SSL šifriranje u razvojne ili privatne svrhe, možete i sami djelovati kao CA. Naravno, ovo nije certificirani certifikat, pa ako koristite privatni CA certifikat.

Sadržaj SSL certifikata

SSL certifikat sadrži sljedeće podatke:

• Podaci o usluzi (CA koji je izdao certifikat, domena usluge itd.)

• Javni ključ na poslužitelju (sadržaj javnog ključa, način šifriranja javnog ključa)

Preglednik zna CA

Da biste razumjeli certifikate, morate znati popis CA-a. Preglednik unaprijed zna popis CA-a. To znači da izvorni kod preglednika sadrži popis CA-a. Da bi postao certificirani CA, mora biti uključen na popis CA-a koje preglednik unaprijed zna. Preglednik već zna javni ključ svakog CA-a zajedno s popisom CA-a.