Penguraian menyeluruh sijil SSL: Panduan lengkap daripada jenis, permohonan hingga pelaksanaan

Sijil SSL merupakan teknologi utama untuk memastikan keselamatan komunikasi dalam talian. Ia berfungsi seperti “kunci digital” yang membina terowong penghubungan yang dienkripsi antara pihak klien (seperti pelayar web) dan pelayan, sehingga memastikan kerahsiaan, integriti, dan keaslian identiti data yang dihantar. Dalam persekitaran web yang kini menggunakan HTTPS sebagai standard, penggunaan sijil SSL yang betul telah menjadi tugas asas dan penting, sama ada untuk penarikan ranking oleh enjin carian, kepercayaan pengguna, mahupun pematuhan kepada keperluan peraturan.

Jenis-jenis utama sijil SSL dan perbezaan antara mereka

Memahami pelbagai jenis sijil SSL adalah langkah pertama untuk membuat pilihan yang betul. Sijil-sijil ini terutamanya diklasifikasikan berdasarkan kaedah pengesahan dan lingkupan nama domain yang diliputinya.

Sijil pengesahan nama domain.

Sijil jenis pengesahan domain name (Domain Name Validation Certificate) merupakan jenis sijil yang mempunyai kos paling rendah dan proses pengeluaran yang paling cepat. Badan pemberian sijil hanya mengesahkan hak pemohon ke atas domain name tersebut, biasanya melalui penghantaran emel ke alamat e-mel yang didaftarkan untuk domain name tersebut, penetapan rekod DNS, atau pengunggahan fail yang ditentukan ke direktori akar laman web. Sijil DV sesuai untuk laman web peribadi, blog, persekitaran ujian, atau perkhidmatan dalaman. Ia dapat menyediakan keselamatan dengan mengenkripsi komunikasi, namun nama syarikat tidak akan dipaparkan di bar alamat pelayar, menjadikan keselamatannya agak asas.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penerangan Terperinci Mengenai Sijil SSL: Jenis Sijil, Proses Permohonan, dan Panduan Komprehensif Untuk Pelaksanaan HTTPS。

Sijil pengesahan organisasi.

Sijil jenis Organisasi Verifikasi (Organisation Validation Certificate) mempunyai tahap keselamatan yang lebih tinggi berbanding dengan sijil DV (Domain Validation Certificate). Selain mengesahkan pemilikan domain name, pihak CA (Certificate Authority) juga akan memeriksa kewujudan sebenar organisasi yang memohon sijil tersebut, seperti memeriksa maklumat pendaftaran mereka di jabatan perniagaan. Ini membolehkan sijil OV membuktikan kepada pengguna bahawa terdapat entiti yang sah dan nyata di sebalik laman web tersebut. Sijil OV biasanya digunakan untuk laman web rasmi syarikat, platform e-dagang, dan laman web perniagaan formal lain yang memerlukan pembinaan kepercayaan pengguna. Butiran sijil OV boleh menunjukkan maklumat syarikat yang berkaitan.

Sijil SSL Bluehost.

Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.

Bermula dari $7.49 USD sebulan.

Kunjungi sijil SSL Bluehost →

Sijil SSL Hosting.com

Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.

Bermula dari $2.5 USD sebulan.

Kunjungi hosting.com Sijil SSL →

Sijil Pengesahan Diperluas

Sijil jenis Extended Validation (EV) merupakan sijil dengan tahap keselamatan yang paling tinggi dan proses pengesahan yang paling ketat. Pihak pengeluarkan sijil (CA – Certificate Authority) akan melakukan pemeriksaan yang menyeluruh terhadap organisasi yang memohon sijil tersebut, termasuk pengesahan dari aspek undang-undang, fizikal, dan operasi. Laman web yang menggunakan sijil EV akan menunjukkan penanda kepercayaan yang paling jelas dalam pelayar web utama – bar alamat berwarna hijau atau nama syarikat yang dipaparkan secara langsung. Ini memberikan sokongan identiti yang paling kuat untuk laman web yang memerlukan tahap kepercayaan yang sangat tinggi, seperti dalam sektor kewangan, pembayaran, dan e-dagangan besar, serta membantu mencegah laman web penipuan (phishing).

Klasifikasi berdasarkan lingkup penutupan: Domain tunggal, Penunjuk serba guna (wildcard), Berbilang domain

Selain daripada tahap pengesahan, sijil juga dibezakan berdasarkan jumlah domain yang diliputinya. Sijil untuk satu domain hanya melindungi satu domain yang ditentukan sepenuhnya (seperti… www.example.com）。通配符证书可以保护一个主域名及其所有同级子域名（如 *.example.comSesuai untuk platform yang mempunyai beberapa subdomain. Sijil pelbagai domain (multi-domain certificate) membenarkan penambahan beberapa domain yang berbeza dalam satu sijil, yang memudahkan pengurusan beberapa domain yang berasingan oleh organisasi.

Bagaimana untuk memohon dan mendapatkan sijil SSL?

Proses permohonan sijil SSL biasanya melibatkan beberapa langkah standard: memilih jenis sijil, menghasilkan fail CSR (Certificate Signing Request), melalui proses pengesahan, dan kemudian memuat turun serta memasang sijil tersebut.

Pilih penyedia sijil dan jana CSR (Certificate Signing Request).

Pertama sekali, pilih CA (Certificate Authority) yang sesuai atau ejen mereka berdasarkan keperluan laman web (seperti tahap pengesahan, jumlah domain name). Kemudian, jana permintaan tandatangan sijil (Certificate Signing Request/CSR) pada pelayan web anda. CSR mengandungi kunci awam anda serta maklumat organisasi yang akan ditulis dalam sijil (negara, negeri, bandar, nama organisasi, nama domain, dll.). Semasa proses menjana CSR, satu set kunci peribadi juga akan dihasilkan, dan kunci peribadi tersebut mesti disimpan dengan selamat pada pelayan; ia tidak boleh didedahkan kepada pihak ketiga.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Panduan Komprehensif Mengenai Sijil SSL: Analisis Proses Penuh Dari Pembelian Hingga Pelaksanaan。

Menyelesaikan pengesahan yang diperlukan oleh CA (Certificate Authority)

Selepas menghantar permohonan CSR (Certificate Signing Request), anda perlu melengkapkan proses pengesahan oleh CA (Certificate Authority) berdasarkan jenis sijil yang dimohon. Untuk sijil DV (Domain Validation), pengesahan biasanya dapat dilakukan dalam masa beberapa minit melalui DNS atau pengesahan fail. Bagi sijil OV (Organization Validation) dan EV (Extended Validation), CA mungkin akan menghubungi nombor telefon organisasi yang anda berikan, atau meminta penghantaran dokumen undang-undang seperti lesen perniagaan, dan proses ini mungkin mengambil masa beberapa hari.

Muat turun dan buat salinan fail sijil tersebut.

Setelah pengesahan berjaya, CA (Certificate Authority) akan mengeluarkan sijil tersebut. Anda perlu memuat turun fail sijil tersebut dari konsol CA (biasanya dalam format tertentu)..crt或.pemFormat) serta fail rantai sijil peringkat sederhana yang mungkin ada. Pastikan anda membuat salinan fail sijil dan kunci persendirian yang dijana di lokal komputer anda, untuk kegunaan semasa pemindahan atau penetapan semula pelayan.

Panduan Penggunaan Pelayan Web Utama

Setelah memperoleh fail sijil, ia perlu dideploy ke pelayan web. Proses konfigurasi berbeza bergantung pada perisian pelayan yang digunakan.

Sijil SSL UltaHost

Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

Kunjungi UltaHost.

Mengkonfigurasi pada pelayan Nginx

Untuk Nginx, anda perlu mengedit fail konfigurasi laman web (yang biasanya terletak di…) /etc/nginx/sites-available/Intinya adalah pengaturan (configuration). ssl_certificate 和 ssl_certificate_key Arahan.ssl_certificate Merujuk kepada fail gabungan yang mengandungi sijil pelayan anda dan rantai sijil perantara (atau nyatakan secara berasingan).ssl_certificate_key Ini adalah petunjuk ke laluan fail kunci peribadi anda. Setelah konfigurasi selesai, gunakannya. nginx -t Uji sintaks konfigurasi tersebut, dan setelah dipastikan tiada ralat… systemctl reload nginx Memuat semula perkhidmatan.

Mengkonfigurasi pada pelayan Apache

Dalam Apache, anda perlu mengaktifkan ssl Modul tersebut perlu digunakan dalam konfigurasi fail hos maya. SSLCertificateFile Arahan ini menentukan laluan fail sijil pelayan anda, sila gunakannya. SSLCertificateKeyFile Arahan tersebut menentukan laluan fail kunci peribadi yang akan digunakan. SSLCertificateChainFile Arahan tersebut menentukan fail rantai sijil peringkat sederhana (jika belum digabungkan). Selepas konfigurasi disimpan, perkhidmatan Apache perlu dihidupkan semula agar perubahan berkuat kuasa.

Mengkonfigurasi pada pelayan IIS

Dalam persekitaran pelayan Windows dan IIS, operasi grafik biasanya dilakukan melalui IIS Manager. Anda perlu memindahkan fail sijil (seperti…) .pfx Format the certificate (including the private key) and import it into the “Computer Accounts” certificate store on the server. Then, in the IIS Manager, select your website, go to the “Bindings” settings, and add a new binding with the following type: https Pautan tersebut akan mengikat (bind) sijil SSL yang anda import, dan anda perlu memilih sijil tersebut daripada menu drop-down yang disediakan untuk sijil SSL.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Apa itu Sijil SSL: Analisis menyeluruh mengenai cara kerjanya, jenis-jenisnya, dan panduan penggunaannya。

Setelah semua penempatan (deployment) selesai, sangat disyorkan untuk menggunakan alat pemeriksaan SSL dalam talian (seperti SSL Test dari SSL Labs) untuk melakukan pemeriksaan menyeluruh terhadap konfigurasi anda. Ini bertujuan untuk memastikan tiada ralat dalam konfigurasi, penggunaan paket enkripsi yang kuat, dan untuk mendapatkan penarafan keselamatan yang lebih tinggi.

Pemeliharaan dan Pengurusan Sijil SSL

Penggunaan sijil bukanlah sesuatu yang boleh dilakukan sekali sahaja dan kemudian diabaikan; pengurusan kitaran hayat sijil yang berkesan merupakan kunci kepada keselamatan yang berterusan.

Memonitor tarikh sah sijil dan menambahnya secara berkala.

Sijil SSL mempunyai tempoh sah yang ditentukan (pada masa kini, tempoh sah yang paling lama adalah 13 bulan). Apabila sijil tersebut tamat tempoh, amaran keselamatan akan muncul pada laman web, yang menyebabkan perkhidmatan terganggu. Adalah penting untuk mewujudkan mekanisme pemantauan yang berkesan dan memulakan proses pembaharuan 30 hingga 45 hari sebelum sijil tersebut tamat tempoh. Banyak penyedia sijil (CA) atau platform pengurusan sijil menawarkan perkhidmatan pengingat automatik apabila sijil hampir tamat tempoh, dan beberapa daripada mereka juga menyokong proses pembaharuan secara automatik.

Menguruskan pemberitahuan pembatalan sijil (certificate revocation)

Jika kunci persendirian terbocor secara tidak sengaja, atau nama domain laman web atau maklumat organisasi berubah, anda perlu segera membatalkan sijil yang sedia ada dan memohon pengeluaran sijil baru daripada CA (Certificate Authority). Selepas pembatalan, sijil tersebut akan dimasukkan ke dalam senarai sijil yang dibatalkan, dan pelayar web tidak akan lagi mempercayainya. Ini merupakan prosedur kecemasan keselamatan yang penting.

Menguatkuasakan pengalihan halaman dari HTTP ke HTTPS secara paksa

Selepas mengatur sertifikat SSL, amalan terbaik adalah memaksa semua laluan data untuk menggunakan protokol HTTPS. Ini boleh dicapai dengan mengkonfigurasi pelayan web untuk meredireksikan semua permintaan HTTP (pada port 80) ke alamat HTTPS yang sesuai (pada port 443) secara kekal menggunakan kod 301. Dengan cara ini, pengguna pasti akan mengakses laman web melalui sambungan yang dienkripsi, yang juga memberikan manfaat kepada strategi SEO.

RINGKASAN

Sijil SSL merupakan asas penting untuk melaksanakan pengesahan data menggunakan protokol HTTPS dan membina kredibiliti laman web. Dari memahami perbezaan tahap keselamatan sijil DV, OV, dan EV, hingga memilih jenis sijil yang sesuai berdasarkan keperluan domain (satu domain, wildcard, atau beberapa domain), kemudian melalui proses permohonan dan pengesahan yang terperinci, sehingga pemasangan yang betul pada pelayan seperti Nginx, Apache, atau IIS, setiap langkah adalah sangat penting. Selepas pemasangan yang berjaya, pengurusan dan penyelenggaraan yang berterusan, terutamanya pemantauan tempoh sah sijil dan pengaturan penggunaan HTTPS yang wajib, merupakan kunci untuk memastikan keselamatan dan reputasi laman web yang berterusan. Dengan mengikuti panduan ini, anda akan dapat membina barisan pertahanan keselamatan yang kukuh untuk laman web anda.

FAQ - Soalan Lazim

Apa perbezaan antara sijil DV, OV, dan EV yang dipaparkan dalam pelayar web?

Sijil DV hanya mengaktifkan protokol HTTPS dan simbol kunci, tanpa menunjukkan nama organisasi. Maklumat organisasi boleh dilihat dalam butiran sijil untuk sijil OV. Sementara itu, sijil EV akan menunjukkan nama syarikat dalam warna hijau terus di bar alamat pada beberapa pelayar, memberikan penandaan kepercayaan visual yang paling tinggi.

Jika sijil telah tamat tempoh dan ingin diperbaharui, adakah perlu menghasilkan semula CSR (Certificate Signing Request) dan kunci peribadi (private key)?

Berdasarkan amalan keselamatan yang terbaik, disyorkan untuk menghasilkan pasangan CSR (Certificate Signing Request) dan kunci persendirian yang baru setiap kali langganan diperbaharui. Ini dapat mengurangkan risiko yang mungkin timbul akibat penggunaan kunci persendirian yang lama untuk jangka masa yang panjang. Dalam sesetengah kes, kunci CSR yang lama boleh digunakan semula, tetapi tahap keselamatannya lebih rendah.

Bolehkah satu sijil SSL digunakan pada beberapa buah pelayan?

Boleh, asalkan pelayan-pelayan tersebut menampung nama domain yang sama (atau sekumpulan nama domain yang diliputi oleh sijil SSL). Anda perlu mengedarkan fail sijil dan kunci persendirian yang sama dengan selamat ke setiap pelayan yang perlu menyediakan perkhidmatan HTTPS.

Adakah penggunaan sijil SSL akan mempengaruhi kelajuan laman web?

Proses persetujuan awal (handshake) SSL/TLS semasa membina sambungan HTTPS memerlukan sedikit sumber CPU tambahan dan menyebabkan kelewatan yang kecil (dikenali sebagai “TLS latency”). Namun, disebabkan oleh keupayaan komputasi yang canggih pada masa kini serta pengoptimuman dalam protokol seperti TLS 1.3, kesan ini hampir tidak signifikan bagi kebanyakan laman web. Manfaat keselamatan dan kepercayaan yang diperoleh melalui penggunaan protokol HTTPS jauh melebihi kos prestasi yang kecil tersebut.