Penguraian menyeluruh sijil SSL: Dari prinsip, jenis hingga amalan terbaik penggunaan dan pengurusan

Baca dalam masa 2 minit.
2026-06-12
1,828
Saya mendapat komisen apabila anda membeli-belah melalui pautan di bawah, tanpa sebarang kos tambahan kepada anda.

Dalam persekitaran internet masa kini, keselamatan data merupakan asas komunikasi rangkaian. Sijil SSL, sebagai teknologi utama untuk melaksanakan penyulitan HTTPS, telah menjadi elemen penting dalam melindungi keselamatan rangkaian dengan menyulitkan data yang dihantar antara pelayan web dan pelayar pengguna, serta melakukan pengesahan identiti dan pemeriksaan integriti data. Ia bukan sahaja kunci untuk melindungi data peribadi pengguna (seperti kelayakan log masuk, maklumat pembayaran), tetapi juga merupakan penunjuk penting untuk membina kepercayaan pengguna dan meningkatkan kedudukan dalam enjin carian.

Cara kerja sijil SSL

Sijil SSL membina sambungan yang selamat dengan menggabungkan penggunaan penyulitan tidak simetri dan penyulitan simetri. Apabila pengguna mengakses laman web yang telah melaksanakan sijil SSL, proses ini akan diaktifkan secara automatik di latar belakang, memastikan bahawa data tidak boleh digodam atau diubah oleh pihak ketiga semasa proses penghantaran.

Proses persetujuan (handshake) TLS/SSL

Sambungan yang selamat bermula dengan proses persetujuan (handshake) TLS/SSL. Apabila klien (pelayar) cuba menyambung ke pelayan yang menyokong HTTPS, pelayan tersebut akan menghantar sijil SSL-nya kepada klien terlebih dahulu. Sijil tersebut mengandungi kunci awam pelayan serta maklumat pengenalan pelayan yang telah disahkan oleh badan pemberian sijil yang dipercayai.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penguraian menyeluruh sijil SSL: Daripada prinsip, jenis hingga panduan terakhir untuk penempatanan dan pengoptimuman

Klien akan mengesahkan kesahihan sijil, termasuk memeriksa sama ada pihak yang mengeluarkan sijil itu boleh dipercayai, sama ada sijil tersebut masih dalam tempoh sah, dan sama ada nama domain yang digunakan adalah betul. Selepas pengesahan berjaya, klien akan menjana sebuah kunci sesi yang rawak, dan mengenkripsi kunci tersebut menggunakan kunci awam pelayan, kemudian menghantarnya kembali ke pelayan.

Sijil SSL Bluehost.
Sijil SSL Bluehost.
Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.
Bermula dari $7.49 USD sebulan.
Kunjungi sijil SSL Bluehost →
Sijil SSL Hosting.com
Sijil SSL Hosting.com
Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.
Bermula dari $2.5 USD sebulan.
Kunjungi hosting.com Sijil SSL →

Server menggunakan kunci persendirian miliknya untuk mendekripsi kunci sesi yang telah dienkripsi. Setelah itu, kedua-dua pihak akan memiliki kunci sesi yang sama, dan mula menggunakan kunci tersebut untuk komunikasi yang dienkripsi secara simetri. Ini kerana enkripsi simetri jauh lebih cekap daripada enkripsi asimetri dari segi kecekapan penghantaran data.

Kriptografi dan Integriti Data

Setelah persetujuan melalui salam tangan (handshake) berjaya dan kunci sesi simetri (symmetric session key) dibina, semua data yang dihantar antara klien dan pelayan akan dienkripsi dan didekripsi menggunakan kunci tersebut. Walaupun paket data diintip semasa proses penghantaran, penyerang tidak akan dapat membaca kandungannya tanpa kunci yang betul.

Selain itu, protokol SSL/TLS juga memastikan integriti data melalui kod pengesahan mesej (Message Authentication Code). Ia mampu mengesan sama ada data telah diubah secara tidak sengaja atau diganggu dengan niat jahat semasa proses penghantaran, menyediakan lapisan keselamatan tambahan untuk komunikasi.

Jenis utama sijil SSL (Secure Sockets Layer) adalah:

Berdasarkan tahap pengesahan dan skop fungsi, sijil SSL terbahagi kepada tiga kategori utama untuk memenuhi keperluan keselamatan dan kepercayaan dalam pelbagai situasi.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penerangan Terperinci tentang Sijil SSL: Jenis, Tahap Pengesahan, dan Cara Memilih Sijil yang Paling Sesuai

Sijil pengesahan nama domain.

Sijil jenis pengesahan domain name (Domain Name Validation Certificate) merupakan jenis sijil dengan tahap pengesahan yang paling rendah dan proses penerbitannya yang paling cepat. Badan penerbit sijil hanya mengesahkan hak pemohon ke atas domain name tersebut, biasanya dengan mengesahkan alamat e-mel yang ditentukan, meletakkan fail khusus dalam direktori akar laman web, atau menambahkan rekod DNS yang sesuai. Ia menyediakan fungsi penyulitan asas dan sesuai untuk laman web peribadi, blog, atau persekitaran ujian. Namun, dalam bar alamat pelayar, hanya simbol kunci yang akan dipaparkan, dan nama syarikat tidak akan ditunjukkan.

Sijil pengesahan organisasi.

Sijil jenis pengesahan organisasi (Organizational Validation Certificate/OV Certificate) tidak hanya mengesahkan pemilikan domain name, tetapi juga melakukan pemeriksaan manual terhadap kewujudan dan kesahihan organisasi yang memohonnya, seperti memeriksa maklumat pendaftaran perniagaan syarikat tersebut. Ini membolehkan sijil OV menyediakan jaminan identiti yang lebih kukuh. Dalam pelayar web, pengguna boleh mengklik ikon kunci untuk melihat butiran sijil dan mengesahkan identiti syarikat sebenar di sebalik laman web tersebut. Sijil ini banyak digunakan pada laman web rasmi syarikat, platform e-dagang, dan situasi lain yang memerlukan pembinaan kepercayaan pengguna.

Sijil Pengesahan Diperluas

Sijil jenis pengesahan yang diperluas (Extended Validation Certificates) merupakan sijil yang mempunyai tahap pengesahan yang paling ketat dan tahap kepercayaan yang paling tinggi. Pemohon perlu melalui proses pemeriksaan identiti yang paling menyeluruh. Laman web yang menggunakan sijil EV akan menunjukkan nama syarikat dalam warna hijau di bar alamat pada pelayar web utama, yang merupakan penandaan visual kepercayaan yang paling tinggi. Bank, institusi kewangan, dan platform e-dagang besar biasanya menggunakan sijil EV untuk memaksimumkan keyakinan pengguna terhadap keselamatan.

Sijil SSL UltaHost
Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

Selain itu, berdasarkan jumlah domain yang diliputi oleh sijil tersebut, ia boleh dibahagikan kepada sijil domain tunggal, sijil domain pelbagai, dan sijil wildcard. Sijil wildcard dapat melindungi satu domain utama serta semua subdomain di bawahnya, menjadikannya sangat mudah untuk diurus.

Langkah-langkah praktikal untuk mengatur sijil SSL

Mengatur sijil SSL untuk laman web adalah proses yang sistematik, dan mengikuti langkah-langkah yang betul dapat memastikan keselamatan dan keserasian.

Permohonan Sijil dan Penghasilan CSR (Certificate Signing Request)

Langkah pertama dalam permohonan sijil adalah untuk menjana Permintaan Tandatangan Sijil (Certificate Signing Request atau CSR) pada pelayan. CSR merupakan fail teks yang dienkripsi dan mengandungi kunci awam anda serta maklumat organisasi anda. Semasa proses menjana CSR, sistem akan membuat sepasang kunci: kunci awam dan kunci peribadi. Kunci peribadi mesti disimpan dengan selamat pada pelayan dan tidak boleh didedahkan kepada pihak ketiga.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penguraian Lengkap Sijil SSL: Daripada Prinsip, Jenis Hingga Pelaksanaan dan Penyelenggaraan – Panduan Terakhir

Anda perlu menghantar fail CSR (Certificate Signing Request) kepada institusi pemberian sijil yang telah dipilih. Semasa penghantaran, sediakan dokumen pengesahan yang sesuai mengikut jenis sijil yang dimohon (DV, OV, EV).

Pemverian nama domain dan pengeluaran sijil (Domain Name Validation and Certificate Issuance)

Setelah menerima permohonan, CA (Certificate Authority) akan memulakan proses pengesahan. Untuk sijil DV (Domain Validation), pengesahan biasanya dilakukan secara automatik melalui DNS atau pemeriksaan fail, dan boleh diselesaikan dalam masa beberapa minit. Bagi sijil OV (Organization Validation) dan EV (Extended Validation), pemeriksaan perlu dilakukan secara manual, dan mungkin mengambil masa beberapa hari bekerja.

Setelah diluluskan, CA (Certificate Authority) akan mengeluarkan fail sijil SSL (biasanya dalam format.crt atau.pem) dan menghantarkannya kepada anda melalui e-mel. Fail sijil ini mengandungi kunci awam anda, maklumat domain anda, serta tandatangan digital CA.

Memasang sijil pada pelayan

Langkah terakhir adalah memasang fail sijil yang telah dikeluarkan bersama-sama dengan fail kunci persendirian yang telah dijana sebelumnya pada perisian pelayan web. Proses pemasangan untuk perisian pelayan yang biasa digunakan seperti Nginx, Apache, IIS, dan lain-lain adalah berbeza. Biasanya, anda perlu mengedit fail konfigurasi pelayan untuk menentukan laluan fail sijil dan kunci persendirian, serta mengalihkan permintaan HTTP ke port HTTPS.

Setelah pemasangan selesai, pastikan anda menggunakan alat pemeriksaan SSL dalam talian atau mengakses laman web secara manual melalui pelayar untuk memastikan sijil tersebut telah dipasang dengan betul, tiada amaran keselamatan, dan semua sumber laman web (seperti gambar, skrip) dimuat turun melalui HTTPS. Ini bertujuan untuk mengelakkan masalah kandungan campuran (mixed content).

Pengurusan berterusan sijil SSL

Penggunaan sijil (certificates) bukanlah sesuatu yang boleh dilakukan sekali sahaja dan kemudian diabaikan. Pengurusan kitaran hayat (lifecycle management) yang berkesan adalah sangat penting untuk mengelakkan gangguan perkhidmatan dan risiko keselamatan.

Pengurusan Pemantauan dan Penyambungan Semula (Monitoring and Renewal Management)

Sijil SSL mempunyai tempoh sah yang ditentukan. Apabila sijil tersebut tamat tempoh, pelayar akan mengeluarkan amaran keselamatan yang serius kepada pengguna, yang menyebabkan laman web tidak dapat diakses, seterusnya memberi kesan negatif terhadap reputasi jenama. Oleh itu, mekanisme pemantauan dan pembaharuan yang lengkap perlu diwujudkan.

Disarankan untuk menetapkan pengingat kalendar atau memulakan proses pembaharuan 30-60 hari sebelum sijil tersebut tamat tempoh. Banyak penyedia perkhidmatan sijil digital (CA) dan perkhidmatan pengurusan sijil menawarkan ciri pembaharuan automatik, yang dapat mengurangkan beban pengurusan dengan ketara. Pada masa yang sama, kekuatan enkripsi sijil perlu diperiksa secara berkala untuk memastikan ia memenuhi piawaian keselamatan terkini.

Pembatalan dan Kemas Kini Kunci

Jika kunci persendirian terbocor secara tidak sengaja, atau pelayan dijangkiti oleh perisian berbahaya, sijil SSL yang berkaitan harus segera dibatalkan. Anda boleh melakukan ini melalui proses pembatalan yang disediakan oleh pihak pengeluarkan sijil (CA – Certificate Authority). Pelayar akan mengemas kini senarai sijil yang telah dibatalkan secara berkala, atau menggunakan protokol status sijil dalam talian untuk memeriksa status sijil tersebut. Sijil yang telah dibatalkan dianggap tidak sah.

Walaupun tiada insiden keselamatan yang berlaku, pasangan kunci seharusnya diperbaharui secara berkala. Ini merupakan sebahagian daripada strategi pertahanan mendalam (deep defense). Semasa proses pembaharuan sijil, CSR (Certificate Signing Request) dan pasangan kunci yang baru harus dijana, bukan menggunakan kunci lama, untuk meminimalkan risiko yang berpotensi.

RINGKASAN

Sijil SSL telah berkembang dari sebuah teknologi pilihan menjadi infrastruktur yang penting untuk operasi laman web. Ia membina asas kepercayaan dalam rangkaian melalui proses penyulitan, pengesahan identiti, dan jaminan integriti data. Memahami cara kerjanya merupakan prasyarat untuk penggunaan yang betul, manakala pemilihan jenis sijil yang sesuai berdasarkan sifat laman web adalah kunci untuk mencapai keseimbangan antara kos dan kepercayaan pengguna. Proses penempatan yang betul serta pengurusan berterusan yang ketat memastikan perlindungan keselamatan yang berkesan dan berterusan. Dalam situasi keselamatan siber yang semakin genting, pelaksanaan dan pengurusan sijil SSL yang betul merupakan tanggungjawab yang tidak boleh diabaikan oleh setiap pengendali laman web.

FAQ - Soalan Lazim

Apa perbezaan antara sijil DV, OV, dan EV dari segi penampilan dalam pelayar web?

Sijil DV hanya menunjukkan ikon kunci berwarna kelabu di bar alamat pelayar. Selepas mengklik ikon kunci untuk sijil OV, nama syarikat dapat dilihat dalam butiran sijil tersebut. Sijil EV pula akan menunjukkan nama syarikat berwarna hijau terus di bar alamat beberapa pelayar, menyediakan penunjuk kepercayaan yang paling jelas dan mudah difahami.

Adakah penggunaan sijil SSL akan mempengaruhi kelajuan akses ke laman web?

Proses persetujuan (handshake) SSL/TLS akan menambah satu perjalanan data tambahan di rangkaian, yang secara teorinya akan menyebabkan kelewatan yang sangat kecil. Namun, pengoptimuman pada protokol TLS moden dan teknologi pemulihan sesi (session recovery) telah mengurangkan kos ini dengan ketara. Sebenarnya, kerana HTTPS merupakan salah satu faktor penentu kedudukan dalam enjin carian, dan protokol HTTP/2 moden biasanya memerlukan penggunaan HTTPS, penggunaan SSL memberikan manfaat yang jauh lebih besar terhadap prestasi keseluruhan laman web dan pengalaman pengguna, berbanding dengan kerugian kelajuan yang kecil.

Apa perbezaan utama antara sijil SSL percuma dan sijil SSL berbayar?

免费证书(如Let's Encrypt颁发的)通常是DV类型,提供了同等的加密强度,非常适合个人和小型项目。付费证书的主要优势在于提供OV或EV级别的组织验证、更长的有效期选择、更高的保修赔付金额以及专业技术支持。对于商业网站,付费证书提供的额外信任和保障是必要的。

Berapa banyak subdomain yang boleh dilindungi oleh sijil penunjuk seragam (wildcard certificate)?

Sijil penunjuk (wildcard certificate) boleh melindungi semua subdomain pada tahap tertentu. Sebagai contoh, jika domain yang diikat dengan sijil tersebut adalah… *.example.comJadi, ia boleh memberikan perlindungan. blog.example.comshop.example.commail.example.com Menunggu semua subdomain pada tahap yang sama, tetapi tidak dapat melindungi subdomain yang mempunyai beberapa tahap (seperti…) dev.www.example.comJika anda perlu melindungi beberapa subdomain atau domain utama yang berbeza, anda perlu mempertimbangkan penggunaan sijil wildcard untuk beberapa domain atau penyelesaian lain.