Laman utama/Pengetahuan/Sijil SSL/Butir-butir kandungan

Penguraian menyeluruh sijil SSL: Daripada prinsip, jenis hingga panduan terakhir untuk penempatanan dan pengoptimuman

Baca dalam masa 2 minit.
2026-06-08
2,008
Saya mendapat komisen apabila anda membeli-belah melalui pautan di bawah, tanpa sebarang kos tambahan kepada anda.

Dalam dunia maya, data bagaikan sungai yang mengalir deras, dan sijil SSL merupakan benteng yang kukuh untuk melindungi data tersebut daripada pengintipan dan pengubahsuaian. Ia bukan sahaja simbol kunci hijau kecil di bar alamat laman web, tetapi juga asas komunikasi selamat di internet moden, menyediakan jaminan enkripsi untuk setiap klik, log masuk, dan transaksi pengguna.

Prinsip kerja protokol SSL/TLS

Untuk memahami sijil SSL, kita perlu mengetahui terlebih dahulu tentang protokol SSL/TLS yang terletak di sebaliknya. SSL/TLS merupakan protokol keselamatan yang digunakan untuk membina saluran penghantaran data yang dienkripsi antara pihak klien (seperti pelayar web) dan pihak server (seperti laman web), memastikan bahawa data yang dihantar tidak boleh digodam atau diubah oleh pihak ketiga.

Kombinasi penyulitan asimetrik dan simetrik.

Proses persetujuan (handshake) SSL/TLS menggabungkan dua teknik penyulitan dengan bijak. Pada permulaan proses persetujuan, pelayan akan menunjukkan sijil SSL-nya kepada klien, yang mengandungi kunci awam pelayan tersebut. Klien kemudian menggunakan kunci awam ini untuk menyulitkan sebuah “kunci utama awal” (pre-master key) dan menghantarkannya kepada pelayan; hanya pelayan yang memiliki kunci persendirian yang sesuai sahaja yang boleh mendekripsi kunci tersebut. Kunci utama awal ini seterusnya digunakan oleh kedua-dua pihak untuk menjana “kunci sesi” (session key) yang sama.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Apa itu Sijil SSL? Dari prinsip asas hingga proses pemasangan, sebuah penjelasan menyeluruh tentang asas keselamatan HTTPS

Proses berjabat tangan secara terperinci:

Seterusnya, kedua-dua pihak komunikasi akan menggunakan “kunci sesi” yang simetri dan berkesan ini untuk mengenkripsi dan mendekripsi semua data yang dihantar selepas ini. Proses ini melibatkan beberapa langkah utama: Klien menghantar permintaan komunikasi yang telah dienkripsi (ClientHello), pelayan membalas dan menghantar sijil (ServerHello), klien mengesahkan sijil tersebut dan menghasilkan kunci utama sementara (pre-master key), dan akhirnya kedua-dua pihak mengesahkan persetujuan sebelum memulakan komunikasi yang dienkripsi. Adalah mekanisme inilah yang memastikan bahawa walaupun ada pihak yang menangkap paket data di tengah jalan, apa yang mereka lihat hanyalah kod yang tidak boleh difahami.

Sijil SSL Bluehost.
Sijil SSL Bluehost.
Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.
Bermula dari $7.49 USD sebulan.
Kunjungi sijil SSL Bluehost →
Sijil SSL Hosting.com
Sijil SSL Hosting.com
Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.
Bermula dari $2.5 USD sebulan.
Kunjungi hosting.com Sijil SSL →

Jenis-jenis utama sijil SSL dan cara memilihnya

Tidak semua sijil SSL adalah sama; berdasarkan tahap pengesahan dan skop liputannya, ia terutamanya dibahagikan kepada tiga jenis utama untuk memenuhi keperluan keselamatan dan kepercayaan dalam pelbagai senario.

Sijil pengesahan nama domain.

Sijil DV merupakan pilihan yang sesuai untuk pemula. Badan pemberian sijil tersebut hanya mengesahkan hak milik pemohon terhadap nama domain (contohnya, melalui pengesahan melalui e-mel atau DNS). Proses pemberian sijil adalah cepat dan kosnya rendah, menjadikannya sesuai untuk laman web peribadi, blog, atau persekitaran ujian, dengan tujuan utama untuk menyediakan keselamatan penggunaan protokol HTTPS yang asas.

Sijil pengesahan organisasi.

Sijil OV menyediakan tahap kepercayaan yang lebih tinggi. Pihak berkuasa sijil (CA) tidak hanya mengesahkan pemilikan nama domain, tetapi juga memeriksa kesahihan organisasi yang memohon sijil tersebut (seperti nama syarikat, alamat, dan sebagainya). Maklumat ini akan disertakan dalam butiran sijil, yang membantu pengguna mengesahkan kewujudan entiti sebenar di sebalik laman web tersebut. Sijil OV biasanya digunakan untuk laman web rasmi syarikat dan platform perniagaan.

Sijil Pengesahan Diperluas

Sijil EV (Extended Validation) mematuhi standard pengesahan yang paling ketat, di mana entiti pemberi sijil (CA – Certificate Authority) akan melakukan pemeriksaan menyeluruh terhadap organisasi tersebut secara luar talian. Laman web yang mempunyai sijil EV akan menunjukkan nama syarikat dalam warna hijau pada kebanyakan pelayar web, yang merupakan manifestasi langsung daripada tahap kepercayaan yang tertinggi. Sijil ini biasanya digunakan oleh institusi kewangan dan platform e-dagang yang besar.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penguraian menyeluruh sijil SSL: Jenis, Scenari Penggunaan, dan Panduan Penempatan

Penunjuk serba guna (wildcards) dan sijil domain pelbagai (multi-domain certificates)

Selain daripada tahap pengesahan, terdapat juga klasifikasi berdasarkan skop liputan. Sijil pengganti (“wildcard”) dapat melindungi satu nama domain utama dan semua subdomain peringkat yang sama, menjadikannya sangat mudah untuk diurus. Sijil pelbagai domain (“multi-domain”) membenarkan penambahan beberapa nama domain yang berbeza dalam satu sijil, memberikan fleksibiliti kepada organisasi yang mempunyai beberapa laman web berasingan.

Proses Permohonan, Penempatan, dan Pengesahan

Mendapatkan dan mengaktifkan sijil SSL adalah proses yang sistematik, dan memahami langkah-langkahnya akan membantu melaksanakan konfigurasi dengan lancar.

Permohonan Sijil dan Penghasilan CSR (Certificate Signing Request)

Pertama sekali, anda perlu menjana sebuah fail permintaan tandatangan sijil (Certificate Signing Request – CSR) pada pelayan. Fail CSR mengandungi kunci awam anda dan maklumat identiti anda. Semasa proses menjana CSR, sistem akan membuat sepasang kunci persendirian yang berkaitan erat dengannya. Anda mesti menyimpan kunci persendirian tersebut dengan selamat pada pelayan, dan tidak boleh membiarkannya terlepas.

Sijil SSL UltaHost
Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.
Logo sijil SSL Kunjungi UltaHost.

Submit for verification and certificate issuance

Serahkan dokumen CSR (Certificate Signing Request) kepada pihak pengeluarkan sijil yang anda pilih, dan lengkapi proses pengesahan domain atau organisasi mengikut jenis sijil yang dibeli. Setelah pengesahan oleh pihak CA (Certificate Authority) berjaya, mereka akan menghantar fail sijil SSL yang telah dikeluarkan kepada anda. Sijil ini pada asasnya merupakan fail yang telah disahkan secara digital oleh pihak CA menggunakan kunci peribadi mereka terhadap maklumat yang terdapat dalam dokumen CSR anda, yang membuktikan pengakuan pihak CA terhadap identiti anda.

Pengaturcaraan dan Pengikatan Server

Akhir sekali, konfigurasikan fail sijil yang diterima bersama kunci persendirian yang telah dijana sebelumnya pada pelayan. Ini biasanya melibatkan penentuan laluan untuk sijil dan kunci persendirian dalam perisian pelayan web, serta mengalihkan laluan trafik HTTP ke HTTPS. Setelah proses penempatan selesai, pastikan anda menggunakan alat dalam talian untuk memeriksa sama ada sijil telah dipasang dengan betul, masih sah, dan tiada kelemahan keselamatan.

Pengoptimuman Lanjutan dan Amalan Terbaik

Mengimplementasikan HTTPS bukanlah titik akhir; mengoptimumkan konfigurasi SSL/TLS dapat meningkatkan lagi prestasi, keselamatan, dan pengalaman pengguna.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Panduan Terakhir Mengenai Sijil SSL: Belajar Cara Memohon, Memasang dan Mengkonfigurasi Sijil HTTPS Dari Awal

Aktifkan protokol HTTP/2

Protokol TLS moden adalah prasyarat untuk mengaktifkan HTTP/2. HTTP/2 dapat meningkatkan kelajuan muat turun laman web dengan ketara, kerana ia menyokong ciri-ciri seperti multiplexing, pengekstrakan header, dan penghantaran data oleh pelayan (server push). Pastikan pelayan anda menyokong HTTP/2 setelah HTTPS diaktifkan.

Melaksanakan dasar HSTS (HTTP Strict Transport Security)

Dengan mengamalkan polisi keselamatan penghantaran yang ketat melalui HTTP, anda boleh memaksa pelayar untuk mengakses laman web anda hanya melalui HTTPS, sekali gus mencegah serangan pengeluaran sijil SSL (SSL stripping attacks). HSTS (HTTP Strict Transport Security) memberitahu pelayar melalui sebuah header respons HTTP khusus bahawa semua akses ke domain tersebut harus dilakukan menggunakan HTTPS dalam tempoh masa yang ditentukan.

Kemaskini berkala dan penggantian kunci (key rotation)

Jangan anggap bahawa pemasangan sijil itu akan menyelesaikan masalah sepenuhnya dan tidak perlu diulangi lagi. Sijil mempunyai tempoh sah yang ditentukan, biasanya selama setahun. Pastikan anda memperbaharui dan menggantikan sijil tersebut sebelum ia tamat tempoh. Mengganti kunci persendirian (private key) yang digunakan untuk menghasilkan CSR secara berkala juga merupakan amalan keselamatan yang baik.

Pilih suite enkripsi yang kuat.

Dalam konfigurasi pelayan, protokol lama yang diketahui tidak selamat dan suite enkripsi yang lemah perlu diaktifkan. Utamakan penggunaan TLS 1.2 atau TLS 1.3, dan pilihlah suite enkripsi yang menyokong ciri Forward Secrecy. Dengan cara ini, walaupun kunci peribadi pelayan terbocor pada masa akan datang, rekod komunikasi sebelumnya tidak akan dapat dipecahkan.

RINGKASAN

Sijil SSL merupakan komponen utama dalam membina persekitaran internet yang selamat dan boleh dipercayai. Dari memahami prinsip penggunaan kombinasi pengesahan kriptografi asimetri dan simetri, hingga memilih jenis sijil yang sesuai berdasarkan keperluan (sijil pengesahan domain, organisasi, atau pengesahan lanjutan), serta melaksanakan proses penuh dari penghasilan CSR (Certificate Signing Request) hingga penempatan pada pelayan, setiap langkah adalah sangat penting. Kerja-kerja pengoptimuman selepas penempatan, seperti mengaktifkan HTTP/2, melaksanakan HSTS (HTTP Strict Transport Security), dan memastikan keserasian dengan suite kriptografi yang terkini, merupakan kunci untuk meningkatkan tahap keselamatan, prestasi, dan pengalaman pengguna. Dengan memahami sepenuhnya konsep sijil SSL, anda dapat menyediakan saluran penghantaran data yang cepat dan selamat untuk pengguna.

FAQ - Soalan Lazim

Adakah sijil SSL dan sijil TLS adalah perkara yang sama?

Ya, dalam konteks harian, kedua-duanya biasanya merujuk kepada perkara yang sama. SSL adalah nama protokol yang lebih lama, dan penggantinya, TLS, lebih canggih dan selamat dari segi teknikal. Walaupun protokol tersebut telah ditingkatkan kepada TLS, istilah “sijil SSL” masih digunakan secara meluas kerana kebiasaan.

免费的 SSL 证书(如 Let's Encrypt)与付费证书有何区别?

Sijil percuma (biasanya jenis DV) mempunyai kekuatan pengesanan kod (encryption strength) yang sama seperti sijil DV berbayar. Perbezaan utama terletak pada jaminan kepercayaan (trust assurance), pampasan insurans, dan sokongan teknikal. Sijil berbayar biasanya menawarkan insurans tanggungjawab yang lebih tinggi, proses pengesahan yang lebih ketat untuk menunjukkan maklumat organisasi, serta perkhidmatan sokongan teknikal yang profesional, manakala sijil percuma lebih menekankan pada proses pemberian sijil yang automatik dan penyebaran fungsi pengesanan kod yang asas.

Mengapa selepas memasang sijil SSL, pelayar masih menunjukkan “tidak selamat”?

Ini mungkin disebabkan oleh pelbagai faktor. Yang paling biasa ialah kewujudan sumber HTTP yang dimuat turun bersama-sama dalam halaman web, seperti gambar, skrip, atau fail gaya yang berasal dari pautan yang tidak menggunakan protokol HTTPS. Selain itu, masalah seperti ketidaksesuaian antara sijil keselamatan (certificates) dan nama domain, sijil yang telah tamat tempoh, atau sijil yang dikeluarkan oleh organisasi yang tidak dipercayai oleh pelayar juga boleh menyebabkan amaran keselamatan. Anda perlu memeriksa ralat dalam konsol (console) dan memastikan konfigurasi sijil keselamatan adalah betul.

Bolehkah sijil wildcard melindungi pelbagai subdomain?

Sijil wildcard standard biasanya hanya melindungi subdomain peringkat pertama. Sebagai contoh, jika sijil tersebut adalah… *.example.comIa boleh memberikan perlindungan. blog.example.comshop.example.comTetapi ia tidak dapat melindungi dev.www.example.comJika anda ingin melindungi subdomain yang mempunyai beberapa tahap, anda perlu memohon sijil yang lebih khusus atau mengkonfigurasi setiap tahap secara berasingan.

Adakah sijil SSL mempengaruhi kelajuan laman web?

Proses persetujuan TLS yang asal (TLS handshake) akan menambah sedikit masa untuk membina sambungan, tetapi kesannya sangat kecil. Berkat pengoptimuman seperti proses persetujuan yang lebih ringkas dalam TLS 1.3 dan pemulihan sesi (session recovery), serta sokongan terhadap protokol moden seperti HTTP/2 setelah HTTPS diaktifkan, peningkatan prestasi yang diperoleh jauh lebih besar berbanding dengan kos yang ditimbulkan oleh proses persetujuan tersebut. Secara keseluruhan, sebuah laman web HTTPS yang dioptimumkan dengan baik boleh beroperasi dengan lebih cepat dan lebih cekap berbanding dengan laman web HTTP.

Selanjutnya, apa yang perlu kita lakukan seterusnya?

Jika anda sedang mengkonfigurasi HTTPS untuk laman web, langkah seterusnya adalah untuk memahami jenis-jenis sijil SSL, kaedah penggunaannya, dan tetapan-tetapan yang serasi dalam pelbagai persekitaran hos.

Bacaan lanjutan dan pengetahuan praktikal

Konten berikut berkaitan dengan topik artikel ini dan sesuai untuk bacaan lanjut. Lebih baik untuk memulakan dengan artikel yang paling dekat dengan masalah anda sekarang, dan kemudian secara bertahap mengembangkan ke topik yang berkaitan, kerana ini biasanya akan memberikan hasil yang lebih baik.

Tag: