Panduan Lengkap Sijil SSL: Tutorial Terakhir Dari Pembelian Hingga Pemasangan dan Penyebaran

Dalam persekitaran internet masa kini, sijil SSL telah menjadi asas untuk melindungi keselamatan laman web, membina kepercayaan pengguna, dan meningkatkan kedudukan dalam enjin carian. Ia menggunakan teknologi penyulitan untuk mewujudkan saluran penghantaran yang selamat antara pelayar pengguna dan pelayan laman web, memastikan data sensitif seperti kelayakan log masuk dan maklumat pembayaran tidak digodam atau diubah suai. Laman web yang telah melaksanakan sijil SSL yang sah akan menunjukkan protokol HTTPS serta simbol kunci di bar alamat, yang kini telah menjadi standard dalam keselamatan rangkaian moden.

Jenis-jenis utama sijil SSL dan cara memilihnya

Memilih jenis sijil SSL yang betul adalah langkah pertama untuk memastikan keselamatan laman web. Jenis sijil yang berbeza sesuai untuk situasi yang berbeza, dan ia terutamanya dibezakan berdasarkan tahap pengesahan dan jumlah domain yang dilindungi.

Sijil pengesahan nama domain.

Sijil jenis pengesahan domain name (Domain Name Validation Certificate) merupakan jenis yang paling mudah untuk dimohon dan dikeluarkan dengan cepat. Organisasi pengesahan sijil (CA – Certificate Authority) hanya mengesahkan hak milik pemohon terhadap domain name tersebut, biasanya dengan menghantar e-mel pengesahan ke alamat e-mel yang didaftarkan untuk domain name tersebut atau dengan menambahkan rekod DNS yang khusus. Sijil ini sangat sesuai untuk laman web peribadi, blog, atau persekitaran ujian, kerana ia dapat menyediakan pengesahan HTTPS yang asas dengan cepat. Namun, ia tidak melakukan sebarang pengesahan terhadap identiti organisasi, oleh itu keberkesanannya dalam membina kepercayaan pengguna adalah terhad.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penguraian menyeluruh sijil SSL: Panduan lengkap daripada prinsip, jenis hingga penggunaan dan pengurusan。

Sijil pengesahan organisasi.

Sijil pengesahan organisasi (Organisation Validation Certificate) memperluas ciri-ciri sijil DV (Domain Validation Certificate) dengan menambahkan pengesahan keaslian organisasi tersebut. Badan pengesahan sijil (Certification Authority/CA) akan mengaudit secara manual maklumat pendaftaran perniagaan, nombor telefon, dan bahan-bahan lain yang dikemukakan oleh pemohon untuk memastikan bahawa organisasi tersebut benar-benar wujud secara sah. Nama syarikat akan dipaparkan dalam butiran sijil OV, memberikan sokongan kepercayaan yang lebih kuat kepada pengguna. Sijil ini biasanya digunakan oleh laman web rasmi syarikat, sistem dalaman, serta laman web yang memerlukan pengesahan identiti yang boleh dipercayai.

Sijil SSL Bluehost.

Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.

Bermula dari $7.49 USD sebulan.

Kunjungi sijil SSL Bluehost →

Sijil SSL Hosting.com

Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.

Bermula dari $2.5 USD sebulan.

Kunjungi hosting.com Sijil SSL →

Sijil Pengesahan Diperluas

Sijil pengesahan lanjutan (Extended Validation Certificate) merupakan sijil SSL peringkat tertinggi yang mematuhi standard pengesahan yang ketat dan seragam di seluruh dunia. Proses semakan yang dilakukan sangat ketat; selain mengesahkan maklumat organisasi dan pemilikan nama domain, ia juga mungkin melibatkan pemeriksaan dokumen undang-undang. Untuk laman web yang menggunakan sijil EV, nama syarikat akan dipaparkan dalam warna hijau di bar alamat pelayar web utama, yang merupakan tanda kepercayaan peringkat tertinggi. Institusi kewangan, platform e-dagang besar, dan mana-mana laman web yang memproses maklumat sensitif harus mengutamakan penggunaan sijil EV.

Sijil pelbagai nama domain dan wildcard.

Selain jenis pengesahan yang telah dinyatakan di atas, sijil juga boleh dipilih berdasarkan lingkupan perlindungannya – sama ada untuk satu domain name, beberapa domain names, atau menggunakan simbol pengganti (“wildcard”). Sijil untuk satu domain name hanya melindungi satu domain name yang lengkap. Sijil untuk beberapa domain names membenarkan perlindungan beberapa domain names yang berbeza dalam satu sijil, yang memudahkan pengurusan. Sijil dengan simbol pengganti pula melindungi satu domain name utama serta semua subdomain names yang setaranya. *.example.com Boleh dilindungi. blog.example.com、shop.example.com Sesuai sangat untuk struktur perniagaan yang mempunyai banyak subdomain.

Penerangan Terperinci Mengenai Proses Pembelian dan Permohonan

Setelah berjaya membeli sijil yang sesuai, langkah seterusnya adalah mengemukakan permohonan kepada institusi CA (Certificate Authority). Proses ini mungkin berbeza mengikut institusi CA yang digunakan, tetapi langkah-langkah asasnya adalah sama.

Pertama sekali, anda perlu menyelesaikan proses pembelian di laman web penyedia perkhidmatan sijil dan menghantar permohonan sijil. Pada masa ini, anda perlu mengisi maklumat dengan tepat dalam borang permintaan tandatangan sijil, yang biasanya termasuk: nama penuh domain web anda, nama organisasi, bandar tempat tinggal, negeri, dan negara. Bagi sijil OV dan EV, keakuratan maklumat organisasi sangat penting kerana ia akan digunakan untuk semakan manual yang berikutnya.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Apa itu Sijil SSL? Analisis lengkap mengenai prinsip, jenis, dan konfigurasi pemasangan.。

Setelah menghantar permohonan CSR (Certificate Signing Request), anda perlu melengkapkan proses pengesahan yang sesuai berdasarkan jenis sijil yang dimohon. Untuk sijil DV (Domain Validation), pengesahan biasanya dapat diselesaikan dalam masa beberapa minit melalui e-mel atau rekod DNS. Bagi sijil OV/EV (Organizational Validation/Extended Validation), anda perlu menyediakan dokumen undang-undang seperti lesen perniagaan, dan bekerjasama dengan pihak CA (Certificate Authority) untuk pengesahan melalui telefon. Setelah semua pengesahan selesai, pihak CA akan menghantar fail sijil SSL yang telah dikeluarkan ke alamat e-mel yang anda daftarkan.

Pemasangan dan penempatan dalam persekitaran utama

Setelah mendapatkan fail sijil, penting untuk memasangkannya dengan betul pada pelayan. Kaedah konfigurasi berbeza mengikut perisian pelayan web yang digunakan.

Memasang pada pelayan Nginx

Pada pelayan Nginx, anda perlu memuat naik fail sijil (certificate) dan kunci persendirian (private key) ke direktori tertentu pada pelayan tersebut. Kemudian, edit fail konfigurasi laman web yang berkaitan.

Sijil SSL UltaHost

Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

Kunjungi UltaHost.

Dalam fail konfigurasi, anda perlu mencari blok server yang mendengar pada port 443, dan menentukan laluan untuk sijil (certificate) dan kunci persendirian (private key). Ia juga sangat disyorkan untuk mengaktifkan protokol HTTP/2 dalam konfigurasi ini untuk meningkatkan prestasi, serta menetapkan pengalihan permanen (301 redirect) dari HTTP ke HTTPS untuk memaksa semua laluan menggunakan sambungan yang selamat. Setelah konfigurasi selesai, gunakan arahan untuk menguji sama ada sintaks konfigurasi adalah betul, dan akhirnya muat semula perkhidmatan Nginx agar konfigurasi berkuat kuasa.

Menginstal pada pelayan Apache

Untuk pelayan Apache, proses pemasangan adalah serupa. Anda perlu memuat naik fail sijil, fail sijil CA perantara, dan fail kunci persendirian ke pelayan. Kemudian, edit fail konfigurasi hos maya.

Dalam konfigurasi, aktifkan enjin SSL dan tentukan laluan untuk fail sijil, fail kunci sijil, dan fail rantai sijil. Selain itu, konfigurasi sebuah hos maya diperlukan untuk mendengar pada port 80 dan mengalih semua permintaan HTTP ke alamat HTTPS. Setelah konfigurasi selesai, periksa kesahihan sintaks dan mulakan semula perkhidmatan Apache.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penerangan Terperinci tentang Sijil SSL: Dari Permulaan hingga Kemahiran Lanjutan, Memastikan Keselamatan dan Kepercayaan Laman Web。

Melaksanakan penempatan (deployment) dengan satu klik pada platform awan

Jika anda menggunakan perkhidmatan awan seperti Alibaba Cloud atau Tencent Cloud, atau panel kawalan yang disediakan oleh mereka, proses pemasangan akan menjadi lebih mudah. Platform-platform ini biasanya menyediakan perkhidmatan “Pusat Sijil” atau “Pengurusan Sijil SSL”. Anda hanya perlu menyalin dan menampal kandungan sijil yang diterima (termasuk kunci awam dan rantai sijil) ke dalam kotak teks yang sesuai, dan platform tersebut akan melaksanakan proses pengikatan dan penempatan secara automatik, tanpa perlu anda mengubah fail konfigurasi pelayan secara manual.

证书的维护与最佳实践

Mengatur sijil SSL bukanlah sesuatu yang boleh dilakukan sekali sahaja dan kemudian diabaikan; penyelenggaraan yang berterusan juga sangat penting, kerana ia secara langsung mempengaruhi keselamatan dan ketersediaan laman web.

Pemantauan Tempoh Sah Keselamatan: Semua sijil SSL mempunyai tempoh sah yang ditentukan, biasanya selama setahun atau lebih pendek. Pastikan anda mengatur sistem pengingat yang boleh dipercayai untuk memulakan persiapan pembaharuan atau permohonan semula sekurang-kurangnya sebulan sebelum sijil tersebut tamat tempoh. Jika sijil tamat tempoh, laman web tidak akan dapat diakses dan amaran keselamatan yang serius akan muncul dalam pelayar pengguna.

Mengaktifkan dasar HSTS: HSTS (HTTP Strict Transport Security) adalah dasar keselamatan yang penting, yang memberitahu pelayar melalui kepala respons HTTP bahawa domain tersebut mesti selalu diakses menggunakan HTTPS dalam tempoh masa yang ditentukan. Ini dapat mencegah dengan berkesan serangan SSL stripping, di mana penyerang mengalihkan pengguna ke versi HTTP yang tidak selamat. Konfigurasikan ini dalam kepala respons HTTPS untuk domain utama.

Kemaskini berkala bagi pakej penyulitan: Seiring dengan peningkatan keupayaan komputasi dan penemuan kelemahan keselamatan, algoritma penyulitan yang lama (seperti TLS 1.0, TLS 1.1) serta pakej penyulitan yang tidak selamat (seperti yang mengandungi RC4, 3DES) menjadi tidak berkesan dari segi keselamatan. Konfigurasi pelayan perlu diperiksa secara berkala, dan protokol serta algoritma yang tidak selamat perlu diaktifkan. Utamakan penggunaan TLS 1.2 atau 1.3 serta pakej penyulitan yang lebih kuat.

Melaksanakan pengaturan OCSP (Online Certificate Status Protocol): Pengaturan OCSP merupakan teknologi yang bertujuan untuk meningkatkan prestasi dan melindungi privasi pengguna. Ia membenarkan pelayan untuk menghantar bukti kesahihan sijil bersama-sama semasa proses persetujuan TLS (TLS handshake), mengelakkan langkah di mana pelayar perlu meminta maklumat tersebut secara berasingan daripada pihak pengeluarkan sijil (CA – Certificate Authority). Ini mempercepatkan proses persetujuan dan pada masa yang sama melindungi privasi pengguna.

RINGKASAN

Penggunaan sijil SSL merupakan satu usaha keselamatan yang sistematik, bermula daripada pemilihan jenis sijil yang sesuai berdasarkan keperluan perniagaan, melalui proses permohonan dan pengesahan yang teliti, hingga pemasangan serta konfigurasi yang betul dalam persekitaran pelayan. Setiap langkah ini sangat penting. Yang lebih penting lagi, dengan pemantauan tempoh sah sijil, pengaktifan ciri HSTS, pengemaskinan paket enkripsi, dan pelaksanaan amalan terbaik seperti penggunaan perkhidmatan OCSP, kita dapat membina barisan pertahanan keselamatan yang dinamik, berterusan, dan berkesan untuk laman web. Memahami dan mengaplikasikan pengetahuan asas ini merupakan kemahiran yang penting bagi semua pengendali dan pembangun laman web untuk memastikan aset dalam talian mereka selamat dan boleh dipercayai.

FAQ - Soalan Lazim

Apa perbezaan antara sijil DV, OV, dan EV yang dipaparkan dalam pelayar web?

Sijil DV hanya menunjukkan simbol kunci dan protokol HTTPS di bar alamat pelayar. Apabila anda mengklik simbol kunci untuk melihat butiran sijil untuk sijil OV, nama organisasi yang telah disahkan akan dipaparkan. Sijil EV pula akan menunjukkan nama syarikat yang telah disahkan dalam warna hijau dengan cara yang lebih jelas di bar alamat beberapa pelayar, yang merupakan penunjuk kepercayaan yang paling mudah difahami.

Apa dokumen yang perlu disediakan untuk memohon sijil OV atau EV?

Untuk memohon sijil OV/EV, biasanya diperlukan salinan lesen perniagaan yang sah, surat kuasa organisasi, dan bukti identiti pemohon. Dokumen yang diperlukan mungkin berbeza bergantung pada CA (Certificate Authority) dan dasar negara/kawasan tersebut. Semasa proses permohonan, CA akan memberikan senarai dokumen yang terperinci.

Selepas memasang sijil SSL, mengapa laman web masih ditunjukkan sebagai tidak selamat?

Masalah ini mungkin disebabkan oleh pelbagai faktor. Yang paling biasa ialah kandungan campuran dalam halaman web yang dimuat melalui protokol HTTP dalam bentuk teks terbuka (plaintext), seperti gambar, skrip, atau fail gaya (style sheets). Akibatnya, pelayar akan menganggap halaman tersebut tidak selamat. Anda perlu menggunakan alat pembangun (developer tools), khususnya tab “Console” atau “Security”, untuk mengenal pasti semua sumber data (resources) yang menggunakan protokol HTTP, dan mengubah pautan tersebut kepada protokol HTTPS atau menggunakan protokol relatif (relative protocol).

Bolehkah satu sijil SSL melindungi beberapa nama domain?

Boleh, tetapi anda perlu membeli sijil domain pelbagai (multi-domain certificate) atau sijil wildcard yang menyokong ciri ini. Sijil domain tunggal (single-domain certificate) secara lalunya hanya melindungi satu domain yang ditentukan sepenuhnya. Sijil domain pelbagai membenarkan anda menambah beberapa domain yang tidak berkaitan ke dalam satu sijil yang sama. Sijil wildcard pula boleh melindungi satu domain serta semua subdomain peringkatnya.

Bagaimana saya boleh memastikan bahawa sijil SSL saya telah dipasang dengan betul dan dikonfigurasi dengan tepat?

Anda boleh menggunakan beberapa alat pemeriksaan SSL dalam talian untuk melakukan pengimbasan. Alat-alat ini akan memeriksa secara menyeluruh sama ada rantai sijil anda adalah lengkap, sama ada ia boleh dipercayai, protokol dan pakej enkripsi yang digunakan adalah selamat, dan akan memberikan laporan penilaian terperinci serta cadangan untuk penambahbaikan.