Bảo mật Web hiện đại: Mọi nhà phát triển web nên biết gì về SSL

[ad_1]

Khi bạn phát triển một trang web,
có nhiều điều bạn cần xem xét. An ninh cũng là một trong số đó. Với
các cuộc tấn công mạng trên các trang web tăng lên hàng năm, nó đã trở thành một bổ sung
trách nhiệm của các nhà phát triển web để xây dựng một nền tảng vững chắc cho bảo mật
trang web của họ. SSL cũng là một phần của nền tảng đó. Vì vậy, nếu bạn là một trang web
nhà phát triển, có một số điều bạn phải biết về nó để đảm bảo
bảo mật trang web của bạn
. Ở đây chúng tôi sẽ bao gồm những thứ đó cho
bạn, vì vậy bạn có thể phát triển các trang web được bảo vệ SSL.

SSL và TLS: Điều gì khác biệt

Đầu tiên, một thực tế quan trọng:
Điều chúng tôi nói về KHÔNG phải là SSL!
Điều đó đúng – đó là bảo mật lớp chuyển
(TLS) giao thức bảo mật các trang web của chúng tôi ngày hôm nay. TLS là sự kế thừa cho SSL
3.0, và nó đã được thông qua từ năm 2014 sau khi SSL được tìm thấy dễ bị tổn thương
POODLE tấn công. Tuy nhiên, SSL tiếp tục là thuật ngữ chính để bảo mật
giao thức truyền dữ liệu của Web, đó là lý do tại sao chúng ta vẫn nói về SSL thay vì
TLS. Nhưng là một nhà phát triển, bạn nên nhớ rằng mặc dù chúng tôi gọi nó là SSL,
chúng tôi đề cập đến TLS.

Cách SSL hoạt động: Bắt tay TLS

Bây giờ, điều quan trọng tiếp theo
điều để một nhà phát triển biết về SSL là cách nó hoạt động. Về cơ bản, nó hoạt động bởi
thiết lập một kết nối an toàn được gọi là phiên giao dịch trực tuyến giữa các trình duyệt web
của một người dùng (được gọi là khách hàng của người dùng) và máy chủ của một trang web (được gọi là máy chủ trực tuyến. Điều này
kết nối an toàn được thiết lập qua giao thức HTTPS, và ở đây, cách thức mà Google thực hiện:

  1. Khách hàng Xin chào: Bất cứ khi nào người dùng
    kích hoạt bất kỳ URL dựa trên HTTPS nào từ trình duyệt web của anh ấy / cô ấy, trình duyệt sẽ gửi một lời chào
    thông báo đến máy chủ web lưu trữ URL đó. Thông điệp này cũng bao gồm quan trọng
    chi tiết về các khả năng của trình duyệt, như phiên bản SSL cao nhất
    hỗ trợ (ví dụ: TLS 1.0, TLS 2.0, TLS 3.0, v.v.), các bộ mật mã được hỗ trợ bởi
    nó và một chuỗi byte ngẫu nhiên có tên client ngẫu nhiên .
  2. Máy chủ Xin chào: Khi nhận được
    tin nhắn này, máy chủ sẽ gửi tin nhắn hello hello riêng của mình cho khách hàng. Điều này
    tin nhắn bao gồm thông tin về bộ mật mã được máy chủ chọn từ
    danh sách được cung cấp bởi khách hàng, ID phiên, chứng chỉ SSL của nó, khóa chung
    của chứng chỉ và một chuỗi byte ngẫu nhiên khác gọi là máy chủ ngẫu nhiên.
  3. Xác thực: Máy khách sau đó
    xác minh chứng chỉ SSL được gửi bởi máy chủ từ Tổ chức phát hành chứng chỉ
    (CA) để đảm bảo rằng giao tiếp đang diễn ra với chủ sở hữu thực sự của một
    tên miền.
  4. Gửi của Premaster
    bí mật:
    Sau khi xác minh thành công chứng chỉ SSL, khách hàng sẽ gửi
    một chuỗi byte ngẫu nhiên khác, được gọi là Bí mật Premaster cho
    máy chủ. Bí mật tiền tố này được mã hóa bằng khóa chung của chứng chỉ SSL
    đã được gửi cùng với tin nhắn Server Hello.
  5. Giải mã Premaster
    bí mật:
    Máy chủ giải mã tin nhắn nhận được từ máy khách bằng khóa riêng
    và trích xuất bí mật sớm.
  6. Tạo ra
    Khóa phiên:
    Bây giờ cả máy chủ và máy khách đều tạo khóa phiên từ máy khách ngẫu nhiên,
    máy chủ ngẫu nhiên và bí mật sớm. Kết quả tính toán trong cùng một đầu ra ( aka
    cùng một khóa) ở cả hai bên.
  7. Khách hàng đã sẵn sàng: Khách hàng gửi một
    Thông báo đã hoàn thành trên máy chủ khi máy chủ khóa đã được tạo.
  8. Máy chủ đã sẵn sàng: Máy chủ gửi một
    Thông báo đã hoàn thành và gửi tin nhắn cho khách hàng khi khóa phiên được tạo.
  9. Mã hóa
    đạt được:
    Điều đó. Kết nối an toàn đã đạt được và các trang web
    được bảo vệ bằng mã hóa có thể được chuyển ngay bây giờ giữa cả máy khách cũng như
    máy chủ.

Vì vậy, cách mà một TLS
Bắt tay giúp tạo kết nối an toàn giữa máy khách và máy chủ
qua giao thức HTTPS. Khi kết nối này được thiết lập, cả hai máy khách như
cũng như máy chủ mã hóa mọi tập tin và trang web trước khi nó được gửi bởi họ. Các
các tệp và trang web sau đó được giải mã bởi bên nhận (tức là máy chủ hoặc
khách hàng) sử dụng khóa phiên.

Thời điểm thích hợp để cài đặt chứng chỉ SSL

Nó cũng rất quan trọng đối với
mọi nhà phát triển để biết đúng thời điểm cài đặt chứng chỉ SSL. Các
Chứng chỉ SSL nên được cài đặt sớm trong vòng đời của một trang web, thường
trước khi bạn bắt đầu tải các trang web của mình lên máy chủ. Có một lý do vững chắc
đằng sau nó. Nếu bạn tải tất cả các trang web và tệp của mình lên máy chủ nhưng cài đặt
chứng chỉ SSL sau này, một số tệp của bạn (ví dụ: hình ảnh, tập lệnh java, v.v.)
có thể tải qua giao thức HTTP không an toàn mặc dù các trang web của bạn đang tải
HTTPS.

Bạn có biết tại sao không?

Bởi vì các trang web của bạn sẽ
có các liên kết HTTP đề cập đến các tệp đó. Và khi các trang web đang yêu cầu một
tập tin qua HTTP, nó sẽ tải theo mặc định qua HTTP thay vì HTTPS. Nó được gọi là
lỗi nội dung hỗn hợp. Trong tình huống như vậy, trang web của bạn có thể không hiển thị màu xanh
ổ khóa của SSL, vì một số yếu tố sẽ được tải qua HTTP không bảo mật
giao thức. Khi điều đó xảy ra, các trình duyệt có thể đánh dấu trang web của bạn là ‘Không bảo mật
mặc dù trang web của bạn có chứng chỉ SSL được cài đặt đúng cách. Để sửa lỗi này
điều mà bạn sẽ phải thực hiện công việc bổ sung là thay đổi tất cả các tham chiếu HTTP sang HTTPS
tài liệu tham khảo trong mã của mỗi trang web mà bạn đã phát triển.

Bây giờ, nếu bạn muốn tránh điều này
vấn đề, giải pháp là cài đặt chứng chỉ SSL của bạn ngay từ đầu
phát triển trang web. Nếu bạn cài đặt nó trước khi tải lên tất cả các trang web và tập tin
đến máy chủ web, các tham chiếu đến tất cả các tệp trong trang web của bạn sẽ có HTTPS
chỉ liên kết, do đó loại trừ khả năng ‘không có ổ khóa từ tất cả
trang web.

Cách bắt buộc SSL: Tạo chuyển hướng

Cuối cùng, mọi trang web
nhà phát triển cũng nên biết cách buộc một trang web tải trên HTTPS ngay cả khi
ai đó cố gắng truy cập nó thông qua giao thức HTTP không an toàn. Đó là đạt được
bằng cách tạo chuyển hướng và bạn nên học cách tạo cần thiết
chuyển hướng trong máy chủ web của bạn để buộc tải trang web của bạn trên
Giao thức HTTPS được bảo vệ SSL. Nói chung, quá trình này trông giống như thế này
(ví dụ trong cPanel):

  1. Đăng nhập vào
    cPanel (hoặc bất kỳ Bảng điều khiển nào khác, tùy thuộc vào máy chủ của bạn) trên trang web của bạn;
  2. Điều hướng đến các Chuyển hướng
    phần bằng cách nhấp vào biểu tượng hoặc tìm kiếm nó;
  3. Tạo một
    chuyển hướng vĩnh viễn (301) cho trang chủ HTTP của bạn (tức là http://xyz.com/) sang HTTPS
    trang chủ (tức là https://xyz.com/);[19459015[[19459014[Save the
    thay đổi.

Rằng nó. Quá trình có thể
thay đổi một chút cho các cPanel khác nhau, nhưng nó lại gần giống nhau. Bạn có thể phải nghiên cứu
thêm một chút để có được hướng dẫn cho cPanel.

Giá chứng chỉ SSL thay đổi

Nếu bạn sẽ mua
Bản thân chứng chỉ, nó cũng rất quan trọng để biết rằng việc định giá SSL
chứng chỉ khác nhau giữa CA và nhà cung cấp. Ví dụ: chứng chỉ Wildcard RapidSSL có thể
chi phí nhiều hơn hoặc ít hơn chứng chỉ SSL DigiCert Wildcard. Do đó, bạn
cũng nên so sánh giá trước khi chọn chứng chỉ SSL cho
trang web mà bạn đang phát triển.

Kết luận

Vì vậy, đó là những gì mà mọi web
nhà phát triển nên biết về chứng chỉ SSL. Thông tin này có thể có ích
khi bạn phát triển trang web tiếp theo vì nó có thể giúp bạn không phải làm bất kỳ loại
sai lầm trong khi triển khai chứng chỉ SSL. Và khi bạn làm ít sai lầm hơn, bạn sẽ
tiết kiệm cả thời gian cũng như tiền bạc. Vì vậy, hãy giữ tất cả những thứ này ở phía sau của bạn
tâm trí, và tiếp tục phát triển!

Chia sẻ thật chu đáo!

[ad_2]
Source link: webdesignernews

Leave a Reply

Your email address will not be published. Required fields are marked *

.
.
.
.