Penerangan Terperinci tentang Sijil SSL: Cara Kerja, Proses Permohonan, dan Panduan Amalan Keselamatan Terbaik

Kira-kira 1 minit.
2026-06-11
2,116
Saya mendapat komisen apabila anda membeli-belah melalui pautan di bawah, tanpa sebarang kos tambahan kepada anda.

Dalam komunikasi rangkaian, memastikan keselamatan dan privasi data semasa proses penghantaran adalah sangat penting. Sijil SSL merupakan asas teknologi utama untuk membina sambungan yang selamat. Ia bukan sahaja merupakan sumber “kunci keselamatan” yang terdapat di bar alamat laman web, tetapi juga kunci untuk membina kepercayaan pengguna dan melindungi integriti data.

Prinsip kerja utama sijil SSL.

Sijil SSL menggunakan teknologi pengesanan (non-symmetric encryption) untuk memastikan proses pertukaran maklumat yang selamat antara klien dan pelayan, khususnya pertukaran kunci sesi (session key). Ini seterusnya melindungi komunikasi yang berlaku menggunakan teknologi pengesanan simetri (symmetric encryption) yang berikutnya.

Kriptografi tidak simetri dan sistem kunci awam/kunci peribadi

Inti sistem sijil SSL terletak pada sepasang kunci: kunci awam dan kunci peribadi. Kunci awam adalah bersifat umum dan terkandung dalam sijil tersebut, jadi sesiapa sahaja boleh mendapatkannya; manakala kunci peribadi pula disimpan dengan rahsia oleh pemilik pelayan, dan disimpan pada pelayan yang selamat. Apabila klien (seperti pelayar web) cuba membina sambungan yang selamat dengan pelayan, pelayan akan menghantar sijil SSL-nya (yang mengandungi kunci awam) kepada klien. Klien kemudian boleh menggunakan kunci awam untuk mengenkripsi sesuatu maklumat, tetapi maklumat yang dienkripsi tersebut hanya boleh didekripsi menggunakan kunci peribadi yang bersesuaian. Mekanisme ini memastikan bahawa walaupun maklumat yang dienkripsi diintip semasa penghantaran, penyerang yang tidak mempunyai kunci peribadi tidak akan dapat membaca kandungannya.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Panduan Lengkap Sijil SSL: Dari Permulaan Hingga Kemahiran Lanjutan, Pengetahuan Penting Untuk Melindungi Keselamatan Laman Web

Penerangan Terperinci Proses Persetujuan TLS (TLS Handshake)

Berdasarkan sistem kunci awam dan kunci peribadi, protokol TLS (Transport Layer Security) melaksanakan proses persetujuan keselamatan (security handshake). Proses ini bermula dengan mesej “ClientHello”, di mana pihak klien menghantar senarai alat enkripsi yang disokongnya serta nombor rawak kepada pihak server.
Server membalas dengan “ServerHello”, memilih set pengekripsi (encryption suite) dan menghantar nombor rawaknya sendiri, bersama-sama sijil SSL (SSL certificate).
Klien akan mengesahkan keaslian sijil (seperti sama ada pihak yang mengeluarkannya boleh dipercayai, sama ada nama domain sesuai, dan sama ada sijil masih dalam tempoh sah). Setelah pengesahan berjaya, klien akan menggunakan kunci awam yang terdapat dalam sijil untuk mengenkripsi sebuah “kunci utama prabayar” dan menghantarkannya ke pelayan.
Pelayan menggunakan kunci peribadi untuk mendekripsi dan mendapatkan kunci utama prabayar. Pada masa ini, kedua-dua pihak mempunyai nombor rawak klien, nombor rawak pelayan, dan kunci utama prabayar, dan berdasarkan ini mereka masing-masing menghasilkan kunci utama yang sama secara bebas. Kunci utama ini akan digunakan sebagai kunci sesi untuk komunikasi enkripsi simetri yang seterusnya. Setelah proses “handshake” selesai, kedua-dua pihak menggunakan algoritma enkripsi simetri untuk melakukan pemindahan data yang cekap dan selamat.

Sijil SSL Bluehost.
Sijil SSL Bluehost.
Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.
Bermula dari $7.49 USD sebulan.
Kunjungi sijil SSL Bluehost →
Sijil SSL Hosting.com
Sijil SSL Hosting.com
Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.
Bermula dari $2.5 USD sebulan.
Kunjungi hosting.com Sijil SSL →

Proses Permohonan dan Penempatan Sijil SSL

Mendapatkan dan mengkonfigurasi sijil SSL untuk laman web adalah proses yang teratur, yang memerlukan pertimbangan terhadap operasi teknikal dan pengurusan proses.

Pilih jenis sijil yang sesuai.

Pertama sekali, pilih sijil yang sesuai berdasarkan sifat dan keperluan laman web. Sijil pengesahan domain hanya mengesahkan hak pemohon ke atas domain tersebut, sesuai untuk laman web peribadi atau blog; sijil pengesahan organisasi akan memeriksa keaslian organisasi pemohon, sesuai untuk laman web rasmi syarikat; sijil pengesahan tambahan (extended validation) mempunyai proses pengesahan yang lebih ketat dan akan menunjukkan nama syarikat di bar alamat pelayar, biasanya digunakan untuk laman web yang memerlukan keselamatan tinggi seperti dalam sektor kewangan dan e-dagangan. Selain itu, berdasarkan jumlah domain yang diliputi, anda boleh memilih antara sijil untuk satu domain, beberapa domain, atau sijil penunjuk (wildcard).

Dari proses menghasilkan CSR (Certificate Signing Request) hingga pemasangan sijil (certificate)

Proses permohonan bermula dengan penghasilan permintaan tandatangan sijil pada pelayan. Proses ini akan mencipta satu pasang kunci awam dan kunci peribadi, dan fail CSR (Certificate Signing Request) yang mengandungi kunci awam serta maklumat pemohon akan dihantar kepada pihak berkuasa pemberian sijil yang dipercayai. Pihak berkuasa pemberian sijil (CA – Certificate Authority) akan mengesahkan maklumat permohonan tersebut, dan setelah pengesahan berjaya, mereka akan mengeluarkan sijil SSL yang sah.
Setelah memperoleh fail sijil, anda perlu menggunakannya bersama-sama kunci persendirian yang sesuai untuk memasangnya pada pelayan web. Langkah-langkah yang perlu diikuti berbeza bergantung pada perisian pelayan yang digunakan. Untuk perisian pelayan yang popular, anda perlu menentukan laluan fail sijil dan kunci persendirian melalui antara muka konfigurasi atau dengan mengedit fail konfigurasi, serta mengaktifkan pengawasan SSL/TLS pada port yang berkaitan. Selepas proses pemasangan selesai, pastikan anda menggunakan alat dalam talian atau baris arahan untuk memeriksa sama ada sijil telah dipasang dengan betul dan rangkaian sijil adalah lengkap.

Amalan terbaik untuk memastikan keselamatan sijil SSL

Mengatur sijil SSL bukanlah sesuatu yang boleh dilakukan sekali sahaja dan kemudian diabaikan. Pemeliharaan berterusan dan mengikuti amalan terbaik adalah kunci untuk memastikan keselamatan jangka panjang.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penerangan Terperinci tentang Sijil SSL: Cara Kerja, Jenis-Jenis, dan Panduan Pemasangan untuk Melindungi Keselamatan Laman Web

Pengurusan keseluruhan kitaran hayat sijil

Pengurusan yang berkesan terhadap kitaran hayat sijil adalah sangat penting. Tarikh tamat tempoh sijil perlu dipantau dengan teliti, dan disyorkan untuk mengaktifkan notis penggantian sekurang-kurangnya 30 hari sebelum tarikh tamat tempoh, bagi mengelakkan gangguan perkhidmatan laman web akibat sijil yang telah luput tempoh. Penggunaan alat penggantian dan penempatan sijil yang automatik dapat mengurangkan kesilapan manusia dengan ketara. Sijil yang tidak lagi digunakan perlu segera dikeluarkan dari pelayan. Selain itu, sebuah senarai aset sijil dalaman perlu dibina, di mana semua maklumat mengenai sijil seperti tujuan penggunaan, lokasi, tarikh tamat tempoh, dan pegawai yang bertanggungjawab perlu didaftarkan, bagi memastikan pengurusan yang terpusat.

Menggunakan konfigurasi dan protokol enkripsi yang kuat

Konfigurasi SSL/TLS pada pelayan harus mengikut prinsip keselamatan. Protokol yang tidak selamat, seperti SSL 2.0, SSL 3.0, dan TLS 1.0 yang mempunyai kelemahan serius, harus diaktifkan. Versi TLS 1.2 atau TLS 1.3 disyorkan untuk digunakan. Dalam pemilihan set pengekripsi, utamakan algoritma pertukaran kunci yang menyokong keselamatan data (forward secrecy), dan gunakan algoritma pengekripsi yang kuat. Ini dapat memastikan bahawa walaupun kunci peribadi pelayan ditembus pada masa akan datang, rekod komunikasi sebelumnya tidak akan dapat dipecahkan. Gunakan alat pemeriksaan keselamatan secara berkala untuk memeriksa kekuatan konfigurasi SSL pada pelayan, dan betulkan sebarang kelemahan keselamatan yang ditemui dengan segera.

Melaksanakan keselamatan penghantaran HTTP yang ketat

HSTS (HTTP Strict Transport Security) merupakan mekanisme dasar keselamatan yang penting. Ia memberitahu pelayar, melalui header respons, bahawa semua akses ke laman web tersebut harus menggunakan sambungan HTTPS dalam tempoh masa yang ditentukan. Walaupun pengguna memasukkan pautan yang bermula dengan “http://” atau mengklik pautan yang menggunakan protokol HTTP, pelayar akan secara automatik mengubahnya kepada permintaan HTTPS. Ini dapat membantu mencegah serangan perantara (man-in-the-middle attacks), seperti serangan yang bertujuan untuk mengelakkan penggunaan protokol SSL. Laman web tersebut boleh disertakan dalam senarai pra-muat (pre-load list) HSTS pelayar, supaya pengguna mendapat manfaat daripada dasar keselamatan ini sebelum kali pertama mereka mengaksesnya.

Sijil SSL UltaHost
Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

RINGKASAN

Sijil SSL merupakan asas keselamatan rangkaian, di mana ia membina saluran penghantaran data yang selamat melalui penggunaan pengesahan kriptografi tidak simetri dan protokol persetujuan TLS dalam persekitaran rangkaian yang tidak dikenali. Dari pemilihan sijil yang sesuai berdasarkan keperluan, pengisian borang permohonan dengan betul, hingga pengurusan kitaran hayat sijil, peningkatan konfigurasi pelayan, dan pengaktifan strategi lanjutan seperti HSTS, setiap langkah memainkan peranan penting dalam mencapai keselamatan yang diinginkan. Dalam situasi keselamatan rangkaian yang semakin genting, pemahaman yang mendalam dan penggunaan sijil SSL yang betul merupakan kemahiran asas bagi setiap pengendali dan pembangun laman web.

FAQ - Soalan Lazim

Sudah ada sijil SSL untuk laman web tersebut, mengapa masih diberitahu bahawa ia tidak selamat?

Ini biasanya disebabkan oleh beberapa faktor. Pertama, rantai sijil tidak lengkap; pelayan tidak mengatur sijil perantara dengan betul, menyebabkan pelayar tidak dapat menjejak ke sijil akar yang dipercayai. Kedua, halaman tersebut mengandungi sumber yang tidak selamat, seperti gambar, skrip, atau fail gaya yang dipanggil melalui protokol tertentu, yang menjadikan seluruh halaman ditandai sebagai tidak selamat. Ketiga, nama sijil tidak sesuai dengan nama domain yang diakses, atau sijil tersebut telah tamat tempoh. Perlu diperiksa satu persatu masalah konfigurasi ini untuk menyelesaikan masalah tersebut.

Apa perbezaan antara sijil DV, OV, dan EV dari segi tahap keselamatan?

Perbezaan utama terletak pada tahap ketatnya proses pengesahan. Sijil DV hanya mengesahkan pemilikan nama domain sahaja, proses pengeluarannya cepat, tetapi tidak mengesahkan identiti organisasi tersebut. Sijil OV akan memeriksa keaslian dan kesahihan syarikat yang memohon, dan maklumat sijil tersebut akan merangkumi nama organisasi tersebut. Sijil EV merupakan jenis pengesahan yang paling menyeluruh, mengikut standard antarabangsa yang ketat, dengan proses semakan yang paling lama; pelayar akan menunjukkan nama syarikat tersebut dalam warna hijau di bar alamat. Dari segi kekuatan pengesanan (enkripsi), teknologi enkripsi yang disediakan oleh ketiga-tiga jenis sijil adalah sama, perbezaannya terletak pada tahap kepercayaan terhadap entiti di sebalik sijil tersebut.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penerangan Terperinci tentang Sijil SSL: Dari Prinsip hingga Pelaksanaan, Teknologi Utama untuk Melindungi Keselamatan Laman Web

Adakah terdapat perbezaan antara sijil SSL percuma dan sijil SSL berbayar?

Dari segi fungsi pengesahan (encryption) yang asas, kedua-duanya dikeluarkan oleh pihak berkuasa pengesahan sijil (CA) yang dipercayai dan menyokong sambungan HTTPS. Perbezaan utama terletak pada perkhidmatan tambahan, jaminan, dan jenis sijil yang disediakan. Sijil percuma biasanya hanya jenis DV (Domain Validation) dan mempunyai tempoh sah yang lebih pendek, memerlukan pembaruan yang kerap. Sijil berbayar pula menyediakan jenis OV (Organization Validation) dan EV (Extended Validation) yang memberikan tahap kepercayaan yang lebih tinggi, serta sokongan teknikal dan jaminan yang berbeza-beza; kerugian yang disebabkan oleh masalah sijil boleh mendapat pampasan. Bagi laman web komersial, sokongan jenama dan profesional yang disediakan oleh sijil berbayar adalah sangat penting.

Bagaimana untuk memeriksa sama ada konfigurasi sijil SSL laman web saya betul?

Terdapat pelbagai alat dalam talian yang boleh digunakan untuk pemeriksaan menyeluruh. Alat-alat ini akan menganalisis kesahihan sijil, keterlengkapan data dalam sijil, versi protokol yang disokong, kekuatan set pengekripsi, serta sama ada ciri HSTS (HTTP Strict Security Transport) telah dilaksanakan atau tidak. Selain itu, anda boleh mengklik ikon kunci di bar alamat dalam pelayar untuk melihat butiran sijil, termasuk pihak yang mengeluarkan sijil, tempoh sahnya, dan kesesuaian nama domain dengan sijil tersebut. Di pihak pelayan, alat baris perintah (command-line tools) juga boleh digunakan untuk menguji dan mengesahkan sama ada proses persetujuan SSL (SSL handshake) berjaya dilakukan.