Trước khi chọn một chứng chỉ SSL cụ thể, bạn cần xem xét các yêu cầu thực tế, tình hình công ty và mức độ khẩn cấp để có được chứng chỉ SSL. Dưới đây là một số gợi ý cần suy nghĩ khi chọn loại chứng chỉ SSL của bạn.
- Tình trạng sẵn có và đăng ký miền
Bạn phải có sẵn một miền đã đăng ký và sẵn sàng đăng ký chứng chỉ SSL. Bởi vì ngay cả mức độ xác thực thấp nhất cũng liên quan đến việc kiểm tra xem bạn có sở hữu một tên miền hay không. Nếu bạn đã nghĩ đến việc sử dụng tên máy chủ nội bộ của mình để nhận vấn đề về chứng chỉ, hãy nhớ rằng điều đó không thể thực hiện được nữa. Các quy tắc được triển khai từ năm 2015 trở đi hạn chế các CA cấp chứng chỉ cho tên máy chủ nội bộ hoặc IP dành riêng vì những tên này không thể được xác minh để xác định công ty duy nhất điều hành chúng.
- Xác định mức độ tin cậy mà bạn cần cho chứng chỉ của mình.
Bạn đang chạy một blog trang web đơn giản? . Nếu bạn đang điều hành một trang web kinh doanh nhưng không thực hiện bất kỳ giao dịch tài chính hoặc truyền dữ liệu cá nhân nào, chứng chỉ OV có thể phù hợp với bạn. Nhưng nếu bạn đang điều hành một trang web Thương mại điện tử, mức xác thực được đề xuất sẽ được cung cấp cùng với chứng chỉ EV.
- Số miền bạn cần chứng chỉ cho.
Nếu bạn chỉ sử dụng một miền, bạn có thể sử dụng chứng chỉ tiêu chuẩn với mức độ tin cậy mà bạn chọn, có thể là EV, OV hoặc DV.
Nếu bạn muốn bảo mật nhiều miền, chẳng hạn như trang web của bạn. com, trang web của bạn. trong, trang web của bạn. net, v.v., bạn sẽ phải mua chứng chỉ đa miền. Chứng chỉ đa miền đắt hơn và được gọi luân phiên là chứng chỉ SAN vì chúng được sử dụng cho Tên miền thay thế chủ đề.
Để bảo mật nhiều tên miền phụ, hãy nói như blog. trang web của bạn. com, giỏ hàng. trang web của bạn. com, bạn cần sử dụng miền Ký tự đại diện, miền này cho phép bạn bao gồm toàn bộ phạm vi miền phụ bằng *. trang web của bạn. định dạng com. Nhưng sử dụng ký tự đại diện có thể là một lựa chọn tốn kém nếu bạn chỉ có một số tên miền phụ. Trong trường hợp đó, bạn có thể chọn chứng chỉ đa miền để bao gồm tất cả các miền phụ của mình
TLS dựa trên SSL và được phát triển để thay thế nhằm đối phó với các lỗ hổng đã biết trong SSLv3
SSL là thuật ngữ thường được sử dụng và ngày nay thường dùng để chỉ TLS
Bảo mật được cung cấp
SSL/TLS cung cấp mã hóa dữ liệu, tính toàn vẹn và xác thực dữ liệu
Điều này có nghĩa là khi sử dụng SSL/TLS, bạn có thể tự tin rằng
- Chưa có ai đọc tin nhắn của bạn
- Không ai đã thay đổi tin nhắn của bạn
- Bạn đang liên lạc với người dự định [máy chủ]
Khi gửi tin nhắn giữa hai bên, bạn có hai vấn đề cần giải quyết
- Sao bạn biết là chưa có ai đọc tin nhắn?
- Làm thế nào để bạn biết rằng không có ai đã thay đổi tin nhắn?
Các giải pháp cho những vấn đề này là để
- mã hóa nó. – Điều này làm cho nội dung không thể đọc được để bất kỳ ai xem tin nhắn đó chỉ là vô nghĩa
- Ký tên– Điều này cho phép người nhận tin tưởng rằng chính bạn là người đã gửi tin nhắn và tin nhắn đó không bị thay đổi
Cả hai quá trình này đều yêu cầu sử dụng các khóa
Các khóa này chỉ đơn giản là các số [phổ biến là 128 bit] sau đó được kết hợp với thông báo bằng một phương pháp cụ thể, thường được gọi là thuật toán- e. g. RSA, để mã hóa hoặc ký tin nhắn
Khóa đối xứng và khóa công khai và khóa riêng
Hầu như tất cả các phương pháp mã hóa được sử dụng ngày nay đều sử dụng khóa công khai và khóa riêng
Chúng được coi là an toàn hơn nhiều so với cách sắp xếp khóa đối xứng cũ
Với khóa đối xứng, một khóa được sử dụng để mã hóa hoặc ký tin nhắn và cùng một khóa được sử dụng để giải mã tin nhắn
Điều này cũng giống như chìa khóa [chìa khóa cửa, chìa khóa xe hơi] mà chúng ta xử lý trong cuộc sống hàng ngày
Vấn đề với kiểu sắp xếp chìa khóa này là nếu bạn làm mất chìa khóa, bất kỳ ai tìm thấy nó đều có thể mở khóa cửa của bạn
Với khóa Công khai và Riêng tư, hai khóa được sử dụng có liên quan về mặt toán học [chúng thuộc về một cặp khóa], nhưng khác nhau
Điều này có nghĩa là một tin nhắn được mã hóa bằng khóa chung không thể được giải mã bằng cùng một khóa chung
Để giải mã tin nhắn, bạn cần có khóa riêng
Nếu kiểu sắp xếp chìa khóa này đã được sử dụng với ô tô của bạn. Sau đó, bạn có thể khóa xe và để chìa khóa trong ổ khóa vì cùng một chìa khóa không thể mở khóa xe
Kiểu sắp xếp khóa này rất an toàn và được sử dụng trong tất cả các hệ thống mã hóa/chữ ký hiện đại
Khóa và chứng chỉ SSL
SSL/TLS sử dụng hệ thống khóa công khai và khóa riêng để mã hóa dữ liệu và tính toàn vẹn của dữ liệu
Khóa công khai có thể được cung cấp cho bất kỳ ai, do đó có thuật ngữ khóa công khai
Vì điều này, có một câu hỏi về niềm tin, cụ thể là
Làm thế nào để bạn biết rằng một khóa công khai cụ thể thuộc về người/tổ chức mà nó tuyên bố là
Ví dụ: bạn nhận được một chìa khóa xác nhận là thuộc về ngân hàng của bạn
Làm thế nào để bạn biết rằng nó thuộc về ngân hàng của bạn?
Câu trả lời là sử dụng chứng thư số
Giấy chứng nhận phục vụ mục đích giống như hộ chiếu trong cuộc sống hàng ngày
Hộ chiếu đã thiết lập một liên kết giữa ảnh và một người và liên kết đó đã được xác minh bởi cơ quan đáng tin cậy [cơ quan hộ chiếu]
Chứng chỉ kỹ thuật số cung cấp liên kết giữa khóa công khai và thực thể [doanh nghiệp, tên miền, v.v.] đã được xác minh [đã ký] bởi bên thứ ba đáng tin cậy [Cơ quan cấp chứng chỉ]
Chứng chỉ kỹ thuật số cung cấp một cách thuận tiện để phân phối các khóa mã hóa công khai đáng tin cậy
Nhận chứng chỉ kỹ thuật số
Bạn nhận được chứng chỉ kỹ thuật số từ cơ quan cấp Chứng chỉ [CA] được công nhận. Giống như bạn nhận được hộ chiếu từ văn phòng hộ chiếu
Trong thực tế, thủ tục là rất giống nhau
Bạn điền vào các biểu mẫu thích hợp, thêm các khóa công khai của bạn [chúng chỉ là các số] và gửi chúng đến cơ quan cấp chứng chỉ. [đây là Yêu cầu chứng chỉ]
Cơ quan cấp chứng chỉ thực hiện một số kiểm tra [tùy thuộc vào cơ quan] và gửi lại cho bạn các khóa được đính kèm trong chứng chỉ
Chứng chỉ được ký bởi cơ quan cấp Chứng chỉ và đây là thứ đảm bảo các khóa
Bây giờ, khi ai đó muốn khóa công khai của bạn, bạn gửi cho họ chứng chỉ, họ xác minh chữ ký trên chứng chỉ và nếu nó xác minh, thì họ có thể tin tưởng vào khóa của bạn
Ví dụ sử dụng
Để minh họa, chúng ta sẽ xem xét một trình duyệt web điển hình và kết nối máy chủ web sử dụng SSL. [https]
Kết nối này được sử dụng trên Internet để gửi email trong Gmail, v.v. và khi thực hiện giao dịch ngân hàng trực tuyến, mua sắm, v.v.
- Trình duyệt kết nối với máy chủ bằng SSL [https]
- Máy chủ phản hồi với Chứng chỉ máy chủ chứa khóa chung của máy chủ web
- Trình duyệt xác minh chứng chỉ bằng cách kiểm tra chữ ký của CA. Để làm điều này, chứng chỉ CA cần phải có trong cửa hàng đáng tin cậy của trình duyệt [Xem sau]
- Trình duyệt sử dụng Khóa công khai này để đồng ý khóa phiên với máy chủ
- Trình duyệt web và máy chủ mã hóa dữ liệu qua kết nối bằng khóa phiên
Đây là một video bao gồm những điều trên một cách chi tiết hơn
Các loại chứng chỉ số
Nếu bạn đang cố mua chứng chỉ cho trang web hoặc sử dụng để mã hóa MQTT, bạn sẽ gặp hai loại chính
- Chứng chỉ xác thực tên miền [DVC]
- Chứng chỉ xác thực mở rộng [EVC]
Sự khác biệt trong hai loại là mức độ tin cậy trong chứng chỉ đi kèm với xác nhận nghiêm ngặt hơn
Mức độ mã hóa mà họ cung cấp là giống hệt nhau
Chứng chỉ xác thực tên miền [DV] là chứng chỉ X. 509 thường được sử dụng cho Bảo mật tầng vận chuyển [TLS] trong đó danh tính của người đăng ký đã được xác thực bằng cách chứng minh một số quyền kiểm soát đối với miền DNS. -WikI
Quá trình xác nhận thường hoàn toàn tự động khiến chúng trở thành hình thức chứng chỉ rẻ nhất. Chúng lý tưởng để sử dụng trên các trang web như trang web này cung cấp nội dung và không được sử dụng cho dữ liệu nhạy cảm
Chứng chỉ xác thực mở rộng [EV] là chứng chỉ được sử dụng cho các trang web và phần mềm HTTPS chứng minh pháp nhân kiểm soát trang web hoặc gói phần mềm. Để có được chứng chỉ EV yêu cầu cơ quan cấp chứng chỉ [CA] xác minh danh tính của thực thể yêu cầu
Chúng thường đắt hơn các chứng chỉ được xác thực miền vì chúng liên quan đến xác thực thủ công
Hạn chế sử dụng chứng chỉ- Ký tự đại diện và SAN
Nói chung, chứng chỉ hợp lệ để sử dụng trên một tên miền đủ điều kiện [FQDN]
Đó là chứng chỉ được mua để sử dụng trên www. tên miền của tôi. com không thể được sử dụng trên mail. tên miền của tôi. com hoặc www. tên miền khác. com
Tuy nhiên nếu bạn cần bảo mật nhiều tên miền phụ cũng như tên miền chính thì bạn có thể mua chứng chỉ Wildcard
Chứng chỉ ký tự đại diện bao gồm tất cả các miền phụ dưới một tên miền cụ thể
Ví dụ: chứng chỉ ký tự đại diện cho *. tên miền của tôi. com có thể được sử dụng trên
- email. tên miền của tôi. com
- www. tên miền của tôi. com
- ftp. tên miền của tôi. com
- vân vân
Nó không thể dùng để bảo mật cả mydomain. com và myotherdomain. com
Để bao gồm một số tên miền khác nhau trong một chứng chỉ duy nhất, bạn phải mua chứng chỉ có SAN [Tên thay thế chủ đề]
Những thứ này thường cho phép bạn bảo mật 4 tên miền bổ sung ngoài tên miền chính. Ví dụ: bạn có thể sử dụng cùng một chứng chỉ trên
- www. tên miền của tôi. com
- www. tên miền của tôi. tổ chức
- www. tên miền của tôi. bọc lưới
- www. tên miền của tôi. đồng
- www. tên miền của tôi. đồng. vương quốc anh
Bạn cũng có thể thay đổi tên miền được bảo hiểm nhưng sẽ cần cấp lại chứng chỉ
Tại sao sử dụng Giấy chứng nhận thương mại?
Rất dễ dàng để tạo chứng chỉ SSL và khóa mã hóa của riêng bạn bằng các công cụ phần mềm miễn phí
Các khóa và chứng chỉ này cũng an toàn như khóa thương mại và trong hầu hết các trường hợp có thể được coi là an toàn hơn
Chứng chỉ thương mại là cần thiết khi bạn cần hỗ trợ rộng rãi cho chứng chỉ của mình
Điều này là do hỗ trợ cho các cơ quan cấp chứng chỉ thương mại chính được tích hợp vào hầu hết các trình duyệt web và hệ điều hành
Nếu tôi đã cài đặt chứng chỉ tự tạo của riêng mình trên trang này khi bạn truy cập, bạn sẽ thấy một thông báo như bên dưới cho bạn biết rằng trang này không đáng tin cậy
===============
Mã hóa chứng chỉ và phần mở rộng tệp
Chứng chỉ có thể được mã hóa thành
- Tệp nhị phân [. DER]
- Tệp ASCII [base64] [. PEM]
Các phần mở rộng tập tin phổ biến được sử dụng là
- DER
- PEM [Thư điện tử nâng cao bảo mật]
- CRT
- CHỨNG NHẬN
Ghi chú. Không có mối tương quan thực sự giữa phần mở rộng tệp và mã hóa. Điều đó có nghĩa là một. tệp crt có thể là tệp. tập tin được mã hóa der hoặc. tập tin được mã hóa pem
Câu hỏi – Làm thế nào để tôi biết nếu bạn có một. der hoặc. tập tin được mã hóa pem?
Trả lời- Bạn có thể sử dụng các công cụ openssl để tìm loại mã hóa và chuyển đổi giữa các mã hóa. Xem hướng dẫn này – DER vs. CRT so với. CER so với. Chứng chỉ PEM
Bạn cũng có thể mở tệp và nếu đó là văn bản ASCII thì đó là tệp. Chứng chỉ được mã hóa PEM
Ví dụ về chứng chỉ
Bởi vì. chứng chỉ được mã hóa pem là các tệp ASCII, chúng có thể được đọc bằng trình soạn thảo văn bản đơn giản
Điều quan trọng cần lưu ý là chúng bắt đầu và kết thúc bằng các dòng Chứng chỉ bắt đầu và Chứng chỉ kết thúc
Chứng chỉ có thể được lưu trữ trong tệp riêng của chúng hoặc cùng nhau trong một tệp duy nhất được gọi là gói
Gói CA gốc và chứng chỉ băm
Mặc dù chứng chỉ gốc tồn tại dưới dạng các tệp đơn lẻ nhưng chúng cũng có thể được kết hợp thành một gói
Trên các hệ thống Linux dựa trên Debian, các chứng chỉ gốc này được lưu trữ trong thư mục /etc/ssl/certs cùng với một tệp có tên ca-certificates. crt
Tệp này là một gói tất cả các chứng chỉ gốc trên hệ thống
Nó được tạo bởi hệ thống và có thể được cập nhật nếu các chứng chỉ mới được thêm vào bằng cách sử dụng lệnh update-ca-certificates. Xem tại đây
các chứng chỉ ca. tệp crt trông như thế này
Thư mục certs cũng chứa từng chứng chỉ riêng lẻ hoặc liên kết tượng trưng tới chứng chỉ cùng với hàm băm
Các tệp băm được tạo bởi lệnh c_rehash và được sử dụng khi một thư mục được chỉ định chứ không phải một tệp. Ví dụ: công cụ mosquitto_pub có thể được chạy dưới dạng
mosquitto_pub --cafile /etc/ssl/certs/ca-certificates.crt or mosquitto_pub --capath /etc/ssl/certs/
Chứng chỉ gốc, Chứng chỉ trung gian và Chuỗi và Gói chứng chỉ
Cơ quan cấp chứng chỉ có thể tạo cơ quan cấp chứng chỉ cấp dưới chịu trách nhiệm cấp chứng chỉ cho khách hàng
Để khách hàng xác minh tính xác thực của chứng chỉ, khách hàng cần có khả năng xác minh chữ ký của tất cả các CA trong chuỗi, điều này có nghĩa là khách hàng cần truy cập vào chứng chỉ của tất cả các CA trong chuỗi
Máy khách có thể đã cài đặt chứng chỉ gốc, nhưng có thể không phải chứng chỉ của các CA trung gian
Do đó, chứng chỉ thường được cung cấp như một phần của gói chứng chỉ
Gói này sẽ bao gồm tất cả các chứng chỉ CA trong chuỗi trong một tệp duy nhất, thường được gọi là CA-Bundle. crt
Nếu chứng chỉ của bạn được gửi riêng lẻ, bạn có thể tạo gói của riêng mình bằng cách làm theo các bước tại đây
Băng hình
- Đây là video của tôi bao gồm các điểm trên
- Đây là một video của Microsoft mà tôi tìm thấy giải thích những điều trên
Câu hỏi và câu trả lời phổ biến
Q- Cửa hàng đáng tin cậy là gì?
A- Đó là danh sách các chứng chỉ CA mà bạn tin tưởng. Tất cả các trình duyệt web đều có danh sách các CA đáng tin cậy
Q- Tôi có thể thêm CA của riêng mình vào cửa hàng đáng tin cậy của trình duyệt không?
A- Có trên Windows nếu bạn nhấp chuột phải vào chứng chỉ, bạn sẽ thấy tùy chọn cài đặt
Q- Chứng chỉ tự ký là gì?
A- Chứng chỉ tự ký là chứng chỉ được ký bởi cùng một thực thể mà chứng chỉ xác minh. Nó giống như bạn phê duyệt đơn xin hộ chiếu của riêng bạn. xem wiki
Q Dấu vân tay chứng chỉ là gì?
A- Đó là hàm băm của chứng chỉ thực tế và có thể được sử dụng để xác minh chứng chỉ mà không cần cài đặt chứng chỉ CA
Điều này rất hữu ích trong các thiết bị nhỏ không có nhiều bộ nhớ để lưu trữ các tệp CA
Nó cũng được sử dụng khi xác minh chứng chỉ theo cách thủ công
Xem tại đây để biết thêm chi tiết
Q- Điều gì xảy ra nếu chứng chỉ máy chủ bị đánh cắp?
A- Nó có thể bị thu hồi. Có một số cách mà khách hàng [trình duyệt] có thể kiểm tra xem chứng chỉ có bị thu hồi hay không, xem tại đây