Penguraian menyeluruh sijil SSL: Prinsip, Jenis, Cara Memohon dan Melaksanakan

Dalam dunia internet masa kini, keselamatan data dan perlindungan privasi merupakan asas penting dalam operasi laman web. Sijil SSL merupakan teknologi utama yang digunakan untuk mencapai matlamat ini. Ia berfungsi seperti pasport digital yang membina terowong komunikasi yang dienkripsi antara pelayar pengguna dan pelayan laman web, memastikan bahawa maklumat sensitif seperti kata laluan, nombor kad kredit, dan maklumat peribadi tidak digodam atau diubah semasa proses penghantaran. Apabila anda mengakses sebuah laman web, ikon kunci yang muncul di bar alamat dan awalan “https://” menunjukkan bahawa sijil SSL sedang berkuat kuasa, memberitahu pengunjung bahawa sambungan tersebut adalah selamat.

Prinsip kerja sijil SSL.

Fungsi utama sijil SSL adalah untuk mengaktifkan protokol HTTPS. Proses kerjanya berdasarkan kombinasi penggunaan pengesahan kriptografi tidak simetri (asymmetric encryption) dan pengesahan kriptografi simetri (symmetric encryption), yang dilakukan melalui proses yang dikenali sebagai “SSL/TLS handshake”.

Kombinasi penyulitan asimetrik dan simetrik.

Pada peringkat awal proses berjabat tangan (handshake), pelayan akan menghantar sijil SSL-nya (yang mengandungi kunci awam) ke pelayar. Pelayar kemudian menggunakan sijil akar (root certificate) yang telah disediakan oleh badan pemberi sijil (Certificate Authority/CA) untuk mengesahkan keaslian sijil tersebut. Setelah pengesahan berjaya, pelayar akan menjana sebuah kunci sesi (session key) yang rawak. Kunci sesi ini digunakan untuk proses enkripsi simetri, yang mempunyai kelajuan pengurusan data yang cepat, sesuai untuk penghantaran jumlah data yang besar.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penerangan Terperinci tentang Sijil SSL: Jenis, Cara Kerja dan Panduan Penggunaan, Untuk Memastikan Komunikasi Selamat Laman Web。

Pelayar menggunakan kunci awam pelayan untuk mengenkripsi kunci sesi tersebut, kemudian menghantarnya kembali ke pelayan. Hanya pelayan yang memiliki kunci persendirian yang sesuai sahaja yang boleh mendekripsi kunci sesi tersebut. Selepas itu, kedua-dua pihak menggunakan kunci sesi yang dikongsi ini untuk mengenkripsi dan mendekripsi semua data komunikasi seterusnya menggunakan algoritma pengencian simetri (seperti AES). Proses ini dengan bijak menggabungkan keselamatan pengencian tidak simetri dengan kecekapan pengencian simetri.

Sijil SSL Bluehost.

Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.

Bermula dari $7.49 USD sebulan.

Kunjungi sijil SSL Bluehost →

Sijil SSL Hosting.com

Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.

Bermula dari $2.5 USD sebulan.

Kunjungi hosting.com Sijil SSL →

Penerangan Terperinci Proses Persetujuan TLS (TLS Handshake)

Proses persetujuan TLS (TLS Handshake) yang lengkap terdiri daripada langkah-langkah berikut:
1. Klien Hello: Pelayar menghantar versi protokol keselamatan yang disokong (seperti TLS 1.2/1.3), nombor rawak yang dijana oleh klien, serta senarai pakej enkripsi yang disokong ke pelayan.
2. Server Hello: Server memilih suite enkripsi yang disokong oleh kedua-dua pihak, dan menghantar nombor rawak server serta sijil SSL miliknya.
3. Pengesahan Sijil: Pelayar akan mengesahkan kesahihan sijil tersebut (samada ia dikeluarkan oleh CA yang boleh dipercayai, sama ada nama domain padan, dan sama ada ia masih dalam tempoh sah).
4. Pertukaran Kunci: Pelayar menghasilkan kunci utama sementara, yang kemudian dienkripsi menggunakan kunci awam pelayan sebelum dihantar. Kedua-dua pihak menggunakan nombor rawak dari pelayar, nombor rawak dari pelayan, dan kunci utama sementara tersebut untuk mengira kunci sesi yang sama.
5. Penyelesaian proses persetujuan (handshake): Kedua-dua pihak bertukar maklumat yang telah dienkripsi untuk mengesahkan bahawa proses persetujuan telah selesai. Selepas itu, semua komunikasi akan dienkripsi menggunakan kunci sesi (session key).

Jenis-jenis utama sijil SSL

Berdasarkan tahap pengesahan dan fungsi, sijil SSL terutamanya dibahagikan kepada beberapa kategori berikut untuk memenuhi keperluan keselamatan dalam pelbagai senario.

Sijil pengesahan nama domain.

Sijil DV (Domain Validation) merupakan jenis sijil yang paling cepat dan berpatutan untuk diperoleh. Pihak CA (Certificate Authority) hanya mengesahkan hak pemohon ke atas domain tersebut, biasanya dengan menghantar e-mel pengesahan ke alamat e-mel yang didaftarkan untuk domain tersebut atau dengan menetapkan rekod DNS yang khusus. Sijil DV hanya dapat membuktikan bahawa komunikasi melalui domain tersebut adalah dienkripsi, tetapi tidak memberikan maklumat mengenai kewujudan atau keaslian organisasi tertentu. Ia sangat sesuai untuk laman web peribadi, blog, atau persekitaran ujian.

Sijil pengesahan organisasi.

Sijil OV menyediakan tahap kepercayaan yang lebih tinggi berbanding sijil DV. Pihak berkuasa pengesahan sijil (CA) tidak hanya mengesahkan pemilikan nama domain, tetapi juga memverifikasi kewujudan sebenar organisasi yang memohon sijil tersebut, seperti memeriksa maklumat pendaftaran mereka di agensi kerajaan. Butiran sijil akan merangkumi nama syarikat yang memohon. Sijil OV sesuai digunakan untuk laman web korporat, platform e-dagang, dan situasi lain di mana kredibiliti entiti perlu ditunjukkan.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penguraian menyeluruh sijil SSL: Panduan lengkap daripada pemilihan jenis hingga pemasangan dan penggunaan。

Sijil Pengesahan Diperluas

Sijil EV (Extended Validation) merupakan sijil yang paling ketat dalam proses pengesahan dan mempunyai tahap kepercayaan yang paling tinggi. Pihak CA (Certificate Authority) akan melaksanakan proses pemeriksaan yang ketat, termasuk mengesahkan kewujudan organisasi dari segi undang-undang, fizikal, dan operasi. Laman web yang telah melaksanakan sijil EV dengan berjaya akan menunjukkan nama syarikat dalam warna hijau di bar alamat pada kebanyakan pelayar, yang merupakan tanda pengenal keselamatan dan kepercayaan yang paling tinggi. Sijil ini biasanya digunakan oleh institusi kewangan, syarikat e-dagang yang besar, dan perusahaan terkenal.

Selain itu, berdasarkan jumlah domain yang diliputi, terdapat sijil domain tunggal, sijil domain berbilang, dan sijil wildcard. Sijil wildcard dapat melindungi satu domain utama serta semua subdomain pada tahap yang sama, contohnya… *.example.comIni sangat mudah dan menjimatkan kos bagi syarikat-syarikat yang mempunyai sebilangan besar subdomain.

Proses Permohonan dan Pengesahan Sijil SSL

Untuk mendapatkan sijil SSL, terdapat beberapa langkah yang perlu diikuti. Intinya adalah untuk membuktikan kepada pihak CA (Certificate Authority) bahawa anda mempunyai kawalan ke atas domain tersebut serta keaslian organisasi anda.

Sijil SSL UltaHost

Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

Kunjungi UltaHost.

Mengehasilkan permintaan tandatangan sijil.

Pertama sekali, anda perlu menjana permintaan tandatangan sijil (Certificate Signing Request atau CSR) pada pelayan anda. CSR adalah sebuah fail teks yang mengandungi kunci awam anda dan maklumat syarikat anda. Semasa menjana CSR, sistem akan membuat sepasang kunci: satu kunci peribadi dan satu kunci awam. Kunci peribadi mesti disimpan dengan rahsia dan hanya boleh diakses oleh pelayan anda, manakala kunci awam akan disertakan dalam CSR dan dihantar kepada entiti pemberi sijil (Certificate Authority atau CA). Maklumat dalam CSR biasanya termasuk nama domain, nama organisasi, bandar, dan negara tempat organisasi tersebut berada.

Menyerahkan laporan CSR (Certificate of Social Responsibility) untuk semakan oleh pihak CA (Certificate Authority)

Serahkan dokumen CSR (Certificate Signing Request) yang telah dihasilkan kepada penyedia sijil yang anda pilih. Kemudian, lengkapi proses pengesahan yang sesuai berdasarkan jenis sijil yang anda minta.
Pengesahan DV: Biasanya dilakukan melalui e-mel (dihantar ke e-mel pentadbir dalam maklumat WHOIS domain) atau rekod DNS (menambahkan rekod TXT yang ditentukan).
Pengesahan OV/EV: Selain pengesahan nama domain, CA mungkin menghubungi nombor telefon berdaftar syarikat anda untuk mengesahkan maklumat, atau meminta dokumen perundangan seperti lesen perniagaan. Pengesahan sijil EV mungkin memakan masa beberapa hari.

Mengeluarkan dan memasang sijil

Setelah proses semakan oleh CA (Certificate Authority) diluluskan, anda akan menerima fail sijil SSL melalui e-mel (biasanya dalam format .crt atau .cert)..crt或.pemAnda perlu mengkonfigurasi fail sijil ini bersama-sama dengan kunci persendirian yang telah dijana sebelumnya ke dalam perisian pelayan web, seperti Nginx atau Apache. Setelah pemasangan selesai, hidupkan semula perkhidmatan pelayan, dan kemudian anda boleh mengakses laman web anda melalui HTTPS.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penerangan Terperinci tentang Sijil SSL: Dari Prinsip hingga Pelaksanaan – Langkah-Langkah Kritikal untuk Memastikan Keselamatan Penghantaran Data Laman Web。

Penggunaan Sijil SSL dan Amalan Terbaik

Pemasangan sijil yang berjaya hanyalah langkah pertama; penggunaan yang betul dan penyelenggaraan yang berterusan sahaja dapat memastikan keselamatan jangka panjang.

Konfigurasi pelayan dan penempatan HSTS (HTTP Strict Transport Security)

Dalam konfigurasi pelayan, semua permintaan HTTP harus diarahkan ke HTTPS secara paksa. Yang lebih penting, protokol keselamatan penghantaran HTTP yang ketat (HTTP Strict Transport Security – HSTS) harus diaktifkan. HSTS memberitahu pelayar melalui header respons khusus bahawa laman web tersebut hanya boleh diakses melalui HTTPS dalam tempoh masa yang ditentukan (seperti setahun), walaupun pengguna memasuk alamat tersebut secara manual.http://Ia juga akan ditukar secara paksa. Ini dapat mencegah dengan berkesan serangan pengeluaran sijil SSL (SSL stripping attacks).

Pengurusan kitaran hidup sijil

Sijil SSL mempunyai tempoh sah yang tetap, biasanya selama setahun. Ia perlu diperbaharui dan diganti sebelum tamat tempoh sahnya; jika tidak, amaran keselamatan akan muncul dan pengguna tidak akan dapat mengakses laman web tersebut. Adalah disyorkan untuk mengatur pengingatan untuk pembaharuan awal, dan sebaiknya menggunakan alat automatik untuk mengurus proses pembaharuan dan penempatan sijil SSL, bagi mengurangkan beban kerja pentadbiran dan penyelenggaraan.

Pilihan Suite dan Protokol Penyulitan

Dalam konfigurasi pelayan, versi protokol yang lama dan tidak selamat, seperti SSL 2.0, SSL 3.0, dan bahkan TLS 1.0/1.1, perlu diaktifkan. Versi TLS 1.2 atau 1.3 sebaiknya digunakan sebagai pilihan utama. Pada masa yang sama, pilihan suite enkripsi harus dibuat dengan teliti, dengan mengutamakan algoritma pertukaran kunci yang selamat (seperti ECDHE), serta digabungkan dengan algoritma enkripsi yang kuat (seperti AES-GCM).

RINGKASAN

Sijil SSL telah berubah daripada satu langkah tambahan untuk meningkatkan keselamatan menjadi elemen yang penting bagi menjadikan sesuatu laman web boleh dipercayai dan boleh diakses oleh pengguna. Ia tidak hanya melindungi data pengguna melalui proses enkripsi, tetapi juga membuktikan identiti laman web tersebut kepada pengunjung melalui pelbagai tahap pengesahan. Dari memahami prinsip-prinsip enkripsi, memilih jenis sijil SSL yang sesuai berdasarkan keperluan, hingga mengikuti amalan yang betul semasa proses permohonan, pemasangan, dan penggunaan, keseluruhan sistem keselamatan SSL merupakan satu komponen yang lengkap. Mengguna pakai protokol HTTPS dan melaksanakan amalan keselamatan yang terbaik merupakan tanggungjawab setiap pemilik laman web terhadap pengguna mereka, dan juga merupakan asas untuk membina sebuah persekitaran internet yang selamat dan boleh dipercayai.

FAQ - Soalan Lazim

Apa perbezaan utama antara sijil DV, OV, dan EV?

Perbezaan utama terletak pada tahap ketatnya proses pengesahan dan tahap kepercayaan yang diberikan. Sijil DV hanya mengesahkan pemilikan nama domain sahaja, mengambil masa yang paling singkat untuk dikeluarkan, dan mempunyai harga yang paling murah, namun nama organisasi tidak ditunjukkan dalam sijil tersebut. Sijil OV mengesahkan kewujudan sebenar organisasi, dan nama syarikat terdapat dalam sijil tersebut, menjadikan tahap kepercayaan lebih tinggi. Sijil EV melalui proses pengesahan yang paling ketat, dan nama syarikat akan dipaparkan dalam bar alamat pelayar dalam warna hijau, memberikan penandaan kepercayaan yang paling tinggi secara visual.

Bolehkah satu sijil SSL melindungi beberapa domain name?

Boleh. Ini memerlukan penggunaan sijil domain pelbagai (multi-domain certificate) atau sijil wildcard. Sijil domain pelbagai membenarkan beberapa domain yang berbeza ditambahkan dalam satu sijil yang sama. Sijil wildcard pula dapat melindungi satu domain utama dan semua subdomain yang setaranya. *.example.com Boleh dilindungi. blog.example.com 和 shop.example.comKedua-dua jenis sijil ini lebih menjimatkan kos dan lebih mudah daripada membeli sijil secara berasingan untuk setiap domain.

Apa akan terjadi jika sijil SSL telah tamat tempoh?

Sebaik sahaja sijil SSL tamat tempoh, pelayar akan memaparkan amaran yang jelas “Tidak Selamat” semasa mengakses laman web tersebut, menunjukkan bahawa sambungan tersebut bukanlah sambungan yang selamat (tidak terenkripsi), dan mungkin menghalang pengguna daripada meneruskan akses. Ini akan merosakkan reputasi laman web dengan teruk dan menyebabkan kehilangan pengguna. Oleh itu, mekanisme pemantauan yang berkesan perlu diwujudkan untuk menyelesaikan proses pembaharuan dan penempatan semula sijil SSL sebelum ia tamat tempoh.

Adakah penggunaan sijil SSL akan mempengaruhi kelajuan laman web?

Perkakasan server moden dan protokol TLS yang telah dioptimumkan (terutamanya TLS 1.3) telah mengurangkan kos prestasi yang timbul semasa proses persetujuan (handshake) SSL/TLS ke tahap yang sangat rendah. Selepas mengaktifkan HTTPS, penggunaan CPU akan meningkat sedikit disebabkan oleh komunikasi yang dienkripsi, tetapi ini biasanya tidak akan memberi kesan yang ketara kepada pengalaman pengguna. Sebaliknya, HTTPS merupakan prasyarat untuk mengaktifkan protokol HTTP/2, dan ciri-ciri seperti multiplexing dalam HTTP/2 seringkali dapat meningkatkan kelajuan muat turun halaman dengan ketara, sehingga prestasi keseluruhan sistem dapat ditingkatkan.