Защитите свой сайт с помощью Let’s Encrypt!

Let’s Encrypt — это инициатива, которая предоставляет бесплатный и автоматизированный способ защиты HTTP-трафика вашего веб-сайта. Настройка безопасного HTTPS всегда была сложным процессом, и мы рады поддержать любые усилия, которые сделают весь процесс проще и понятнее для людей.

Вообще говоря, чтобы включить HTTPS на вашем веб-сайте, вам необходимо получить сертификат безопасности от центра сертификации (ЦС). Центр сертификации считается доверенной третьей стороной, которая может подтвердить подлинность веб-сайта для ваших посетителей. Сертификат безопасности (также называемый SSL-сертификатом) устанавливается на веб-сервере и выполняет две функции: а) он шифрует весь HTTP-трафик между вашим веб-сайтом и вашими посетителями; б) он удостоверяет подлинность вашего веб-сайта, чтобы ваши посетители знали, что они не посещая поддельный.

Защита личности вашего веб-сайта и трафика посетителей является здесь очевидным преимуществом, но есть и другие, требующие дальнейшего объяснения.

До Let's Encrypt вам нужно было выбрать тип сертификата, который вы хотели, процесс, который был немного запутанным для пользователей, не знакомых с системами открытых ключей, затем вам нужно было сгенерировать свои ключи, подписать запрос на создание сертификата и, наконец, потратить значительную сумму. денег, чтобы купить один.

Подождите, а что такое SSL?

Уровень защищенных сокетов или SSL — это криптографический протокол, который обеспечивает безопасность связи в сети. Это обеспечивает конфиденциальность связи, а это означает, что данные, которыми обмениваются две стороны, зашифрованы и не могут быть перехвачены третьей стороной. Он также аутентифицирует личность взаимодействующих сторон, обычно сервера, с помощью SSL-сертификата, о котором мы упоминали ранее.

Как определить, является ли сайт безопасным?

Веб-сайты, защищенные SSL, легко идентифицировать по нескольким признакам:

• Рядом с URL-адресом есть значок зеленого замка (в зависимости от того, какой браузер вы используете).
• URL-адрес начинается с https вместо http.

Однако SSL-сертификаты также имеют срок действия. По истечении этой даты связь перестает быть безопасной, и сертификат необходимо обновить. Вы можете легко проверить, истек ли срок действия SSL-сертификата вашего веб-сайта, сначала щелкнув значок замка и в зависимости от того, какой браузер вы используете, выполните следующие действия:

В Firefox нажмите кнопку со стрелкой справа, а затем ссылку « Дополнительная информация ». Наконец, нажмите кнопку « Просмотреть сертификат » на вкладке « Безопасность », чтобы просмотреть сведения о сертификате.

Если вы используете Chrome, нажмите ссылку « Подробности », а затем кнопку « Просмотреть сертификат » на вкладке « Обзор безопасности ».

В разделе « Срок действия» указаны две даты, связанные с сертификатом. Дата выпуска и срок действия . Первая — это дата активации сертификата, а вторая — дата истечения срока его действия. Если дата истечения срока действия прошла, сертификат необходимо обновить, и связь больше не является безопасной!

Зачем заботиться о SSL?

Ну, есть ряд причин! Защита связи между вашим веб-сайтом и вашими посетителями, аутентификация личности вашего веб-сайта, обеспечение целостности данных между браузером и веб-сервером и даже получение более высокого рейтинга SEO.

Защищенная связь и аутентифицированная личность звучат хорошо, но от чего они защищают ваш веб-сайт? Кому-то эта концепция может показаться туманной. На самом деле эти двое работают вместе, борясь, возможно, с одним из самых классических методов атак, задокументированных в области компьютерной безопасности. Атака «человек посередине» (или сокращенно MitM).

Разместите свой сайт с Pressidium

60- ДНЕВНАЯ ГАРАНТИЯ ВОЗВРАТА ДЕНЕГ

ПОСМОТРЕТЬ НАШИ ПЛАНЫ

Допустим, у нас есть сайт под управлением Алисы, который посещает Боб (атака работает и на разные сервисы, а не только на сайты). Все идет нормально. Затем есть этот плохой парень по имени Чарльз (плохих парней в области компьютерной безопасности почему-то обычно называют Чарльзом. На ум приходят сухие мартини и тайные убежища).

Чарльз, используя ряд различных методов, которые слишком сложны, чтобы описывать их в этой статье, захватывает контроль над каналом связи между Алисой и Бобом. Он сидит тихо и незаметно, между ними.

Когда Боб посещает веб-сайт Алисы, он думает, что отправляет и получает данные от Алисы. На самом деле данные, которые он отправляет, проходят через Чарльза, который, в свою очередь, пересылает их Алисе (убедившись перед этим либо сохранить их, либо каким-то злодейским образом подделать). Когда веб-сайт Алисы отвечает, данные снова передаются от Чарльза к Бобу. Это точно так же, как мощная прослушка. Помимо возможности хранить конфиденциальные данные, такие как электронные письма, пароли и кредитные карты, Чарльз может даже олицетворять части веб-сайта Алисы или сеанс просмотра веб-страниц Боба.

Итак, мы видим, где на помощь приходят два наших союзника SSL, аутентифицированная идентификация и безопасная связь!

Когда ваш веб-сайт защищен с помощью SSL, атаки «человек посередине» становится намного сложнее осуществить. Когда Боб подключается к веб-сайту Алисы, он получает сертификат сервера и проверяет его в ЦС. После проверки сертификата сервер и клиент обмениваются некоторой дополнительной информацией, а затем начинается обмен данными (например, тип шифра, который они будут использовать, процесс, называемый квитированием). Если Чарльз попытается выдать себя за Алису, отправив Бобу свой собственный открытый ключ, он далеко не продвинется. Внутри сертификата есть строка данных, называемая цифровой подписью, которая обеспечивает целостность файла. При изменении какой-либо части сертификата меняется и подпись.
Таким образом, если Чарльз попытается изменить открытый ключ, ЦС отклонит сертификат и уведомит об этом Боба (поскольку цифровая подпись, рассчитанная ЦС, не будет соответствовать текущей подписи в сертификате). Поскольку у Чарльза нет закрытого ключа Алисы, он не может расшифровать сообщение. Единственный способ для Чарльза сделать что-либо — это попытаться скомпрометировать серверы центра сертификации.

Но помимо защиты от плохих парней, пьющих мартини, это также улучшает ваш SEO-рейтинг! Согласно сообщению Зинеб Айт Бахаджи и Гэри Иллиса в блоге Google Webmasters, HTTPS используется в качестве сигнала ранжирования:

“ Мы увидели положительные результаты, поэтому начинаем использовать HTTPS в качестве сигнала ранжирования. Пока это только очень легкий сигнал. Но со временем мы можем решить усилить его, потому что мы хотели бы призвать всех владельцев веб-сайтов перейти с HTTP на HTTPS, чтобы обезопасить всех в Интернете. “

Кроме того, в сентябре в блоге Google Security было объявлено, что браузер Chrome начнет явно помечать веб-сайты как «незащищенные». Это делается для того, чтобы «перейти к более безопасной сети» и повысить осведомленность пользователей.

Как все это работает ?

До сих пор мы говорили о сертификатах SSL и о том, насколько они важны для обеспечения безопасности и аутентификации личности. В этом разделе мы засучим рукава и перейдем к мельчайшим вещам!

SSL работает с использованием системы, называемой инфраструктурой открытых ключей (или PKI, для сортировки).
PKI — это система компьютерной безопасности, используемая для решения проблемы безопасной связи в небезопасной сети. Проще говоря, если Алиса и Боб хотят безопасно общаться через Интернет, им необходимо обменяться каким-либо ключом шифрования. Но если они сделают это, и кто-то, кто находится между ними и владеет компьютером, получит этот ключ, он сможет прочитать все будущие сообщения! (это может быть не человек типа Чарльза; системные администраторы из-за характера своей работы также имеют доступ ко всем открытым текстовым данным, проходящим через их серверы).

Это может показаться парадоксальной проблемой, но она решается за счет использования не одного, а пары ключей. Публичный и частный:

1. Алиса и Боб обмениваются открытыми ключами . Поскольку они общедоступны, их можно без опасений отправлять по незащищенной сети. На самом деле размещение их в открытом доступе — это их использование по назначению!
2. Затем Алиса шифрует сообщение, которое она хочет отправить Бобу, используя свой закрытый ключ с помощью открытого ключа Боба .
3. Боб получает сообщение и расшифровывает его, используя свой закрытый ключ с открытым ключом Алисы .

Закрытые ключи обычно хранятся локально на вашем компьютере (или на USB-накопителе, или где-то еще, где вы знаете, что они в безопасности). Независимо от того, кто читает вашу электронную почту или сетевое общение, они получат только искаженный текст без вашего личного ключа.

Еще одним полезным аспектом шифрования с открытым ключом является понятие цифровой подписи. Мы упоминали об этом ранее, когда Чарльз пытался подделать сертификат.
Когда Алиса отправляет сообщение Бобу, она также может подписать его цифровой подписью, используя свой закрытый ключ. Это гарантирует, что сообщение действительно отправлено Алисой, а не кем-либо еще. Цифровая подпись на самом деле представляет собой длинную строку шестнадцатеричных чисел, которая вычисляется с использованием информации сертификата. Даже если в сертификате изменится один байт, цифровая подпись тоже изменится, и УЦ ее отклонит.

SSL-сертификат — это просто файл данных, который устанавливается в системе (обычно на веб-сервере) и работает таким же образом. Он шифрует общение и обеспечивает идентификацию объекта (в нашем случае веб-сайта). Он содержит такую ​​информацию, как:

• имя владельца сертификата
• Адрес электронной почты
• продолжительность действия
• полное доменное имя веб-сервера
• открытый ключ владельца
• цифровая подпись, гарантирующая, что сертификат не был каким-либо образом изменен.

Он использует всю эту информацию, чтобы эффективно связать сущность/организацию с этой системой.

Существует два способа выдачи сертификата. Первый — подписать его самостоятельно (самоподписанный), а второй — получить через центр сертификации (доверенный).

В чем разница между самоподписанным и доверенным сертификатом?

Самоподписанный сертификат обеспечивает тот же уровень шифрования, что и доверенный, но не гарантирует личность владельца. Он в основном используется для тестирования или в локальной сетевой инфраструктуре, где нет острой необходимости иметь владельца, привязанного к системе.

С другой стороны, доверенный сертификат обеспечивает как шифрование, так и аутентификацию личности. Сертификат выдается третьей стороной (ЦС), которая проверяет личность владельца сертификата с помощью ряда проверок биографических данных.

Это означает, что вам нужно доверять ЦС. А если это мошенник и как узнать?

Это, безусловно, может произойти, и случалось в прошлом много раз. Поскольку это действительно вопрос доверия, единственное решение — убедиться, что ЦС, которым вы пользуетесь, является известной и уважаемой организацией. Центры сертификации берут деньги за выдачу сертификата (обычно от 10 долларов до трехзначных сумм), но не следует попадать в ловушку, думая, что дорогой Центр сертификации означает больше доверия и безопасности!

Как защитить свой сайт с помощью SSL с помощью Let’s Encrypt

Существует множество способов создать сертификат Let’s Encrypt и установить его на свой веб-сервер. Процесс зависит от того, будете ли вы работать в оболочке Unix или нет, какой тип веб-сервера вы используете и т. д. Откройте в браузере страницу «Начало работы с Let's Encrypt», чтобы узнать больше информации.

Если вы уже являетесь клиентом Pressidium, все может быть проще!
Сначала войдите в свою учетную запись на портале Pressidium:

1. Нажмите на вкладку SSL-сертификаты .
2. Нажмите кнопку « Создать бесплатный сертификат Let’s Encrypt» .
3. Выберите веб-сайт, на который вы хотите установить сертификат, выбрав его в раскрывающемся меню « Установить Let’s Encrypt ».
4. Наконец, нажмите кнопку « Создать и установить SSL-сертификат », и все готово!

Чтобы проверить, включен ли SSL на вашем веб-сайте, откройте браузер и перейдите по URL-адресу вашего веб-сайта, используя https в адресе. Если в вашем браузере отображается знакомый зеленый знак безопасного замка, вы в деле!

Срок действия вашего нового сертификата Let's Encrypt составляет 90 дней, но он автоматически обновится. Вы также можете управлять своими приобретенными сертификатами и устанавливать их на портале. Прочитайте этот пост базы знаний, чтобы узнать все об этом!

Безопасность — это процесс, а не готовое решение

Жестокая правда заключается в том, что вы не можете просто купить что-то или установить программу и забыть об этом, думая, что успешно справились со всеми проблемами безопасности. Компьютерная безопасность — это огромная головоломка, в которой задействованы технические механизмы, политики, компьютеры и, прежде всего, люди и человеческая психология! Вам нужно правильно собрать все части головоломки и постоянно стремиться к ней. Это процесс, а не готовое решение.

Человеческий фактор снова и снова используется злоумышленниками. Мы на 100 % поддерживаем любую инициативу, направленную на информирование, предоставление инструментов и повышение осведомленности общественности о вопросах безопасности в Интернете. В следующих постах мы более глубоко и подробно рассмотрим аспекты безопасности WordPress. WordPress используется людьми и корпорациями, чтобы обеспечить ценность и еду для многих. Инциденты, связанные с безопасностью, больше не связаны с порчей веб-сайтов и кибер-граффити, но они ощутимо влияют на жизнь других людей. И это то, к чему мы относимся очень серьезно.