Sijil SSL merupakan kunci untuk mengubah laman web daripada menggunakan protokol HTTP kepada protokol HTTPS.

Sijil SSL merupakan komponen teknikal kritikal untuk mengemaskini laman web daripada protokol HTTP ke protokol HTTPS. Ia merupakan sijil digital yang membina pautan terenkripsi antara pelayar dan pelayan, memastikan keselamatan dan kerahsiaan data yang dihantar. Dalam era di mana keselamatan rangkaian semakin mendapat perhatian, sijil SSL telah menjadi elemen penting dalam pembinaan laman web, terutamanya untuk laman web yang melibatkan log masuk pengguna atau transaksi dalam talian. Ia bukan sahaja dapat melindungi maklumat sensitif, tetapi juga meningkatkan keyakinan pengguna, serta memberikan impak positif terhadap pengoptimuman enjin carian (SEO). Oleh itu, memahami cara kerja sijil SSL, jenis-jenisnya, serta cara memilih dan melaksanakannya adalah sangat penting bagi pemilik dan pembangun laman web.

Prinsip kerja sijil SSL.

Inti protokol SSL/TLS adalah penggunaan kombinasi penyulitan tidak simetri dan penyulitan simetri untuk membina saluran komunikasi yang selamat. Proses ini terutamanya dilakukan melalui “SSL handshake” (perjanjian pertukaran kunci SSL).

Kombinasi penyulitan asimetrik dan simetrik.

Protokol SSL/TLS menggabungkan dengan bijak kelebihan dua kaedah penyulitan. Penyulitan tidak simetri, yang biasanya menggunakan algoritma RSA atau ECC, digunakan pada peringkat awal proses “handshake” untuk pengesahan identiti dan penghantaran kunci sesi. Ciri khas penyulitan tidak simetri adalah penggunaan kunci yang berbeza untuk proses penyulitan dan pembukaan kunci, iaitu kunci awam dan kunci peribadi. Kunci awam boleh didedahkan kepada umum dan digunakan untuk penyulitan, manakala kunci peribadi disimpan dengan rahsia oleh pelayan dan digunakan untuk pembukaan kunci.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Panduan Terakhir Mengenai Sijil SSL: Jenis, Cara Kerja, dan Amalan Terbaik Untuk Penempatan。

Kriptografi simetri, seperti algoritma AES, digunakan untuk mengenkripsi data pada lapisan aplikasi yang sebenarnya ditransmisikan setelah proses persetujuan (handshake) selesai. Ciri khasnya adalah penggunaan kunci yang sama untuk proses enkripsi dan dekripsi, serta kelajuan pengiraan yang cepat, menjadikannya sesuai untuk mengenkripsi jumlah data yang besar. Salah satu tujuan utama proses handshake SSL adalah untuk membolehkan klien dan pelayan bersetuju secara selamat tentang kunci sesi simetri yang hanya diketahui oleh kedua-dua pihak.

Sijil SSL Bluehost.

Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.

Bermula dari $7.49 USD sebulan.

Kunjungi sijil SSL Bluehost →

Sijil SSL Hosting.com

Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.

Bermula dari $2.5 USD sebulan.

Kunjungi hosting.com Sijil SSL →

Proses persetujuan SSL/TLS yang lengkap (Full SSL/TLS Handshake Process)

Apabila pengguna memasukkan alamat web HTTPS ke dalam bar alamat pelayar, proses persetujuan SSL/TLS (SSL/TLS handshake) bermula. Pertama sekali, klien menghantar mesej “Client Hello” kepada pelayan, yang mengandungi versi SSL/TLS yang disokong oleh klien, senarai pakej enkripsi, dan nombor rawak.

Server akan membalas dengan mesej “Server Hello”, memilih versi protokol dan set perisian enkripsi yang disokong oleh kedua-dua pihak, kemudian menghantar nombor rawaknya sendiri serta sijil digital. Sijil tersebut mengandungi kunci awam server dan tandatangan digital yang dikeluarkan oleh badan pemberian sijil (Certificate Authority/CA) yang dipercayai.

Setelah penerima menerima sijil tersebut, ia akan mengesahkan keberkesanannya. Penerima menggunakan sijil akar CA (Certificate Authority) yang terdapat pada peranti atau sistem operasi untuk mengesahkan tandatangan sijil pelayan. Setelah pengesahan berjaya, penerima akan mempercayai identiti pelayan tersebut.

Seterusnya, pihak klien akan menjana sebuah “kunci utama prabakal” (pre-master key) dan mengenkripsi kunci tersebut menggunakan kunci awam yang terdapat dalam sijil pelayan, kemudian menghantarnya ke pelayan. Pelayan akan mendekripsi kunci tersebut menggunakan kunci peribadinya, sehingga mendapatkan kunci utama prabakal tersebut. Setelah itu, kedua-dua pihak (klien dan pelayan) akan memiliki dua nombor rawak (nombor rawak klien dan nombor rawak pelayan) serta kunci utama prabakal. Kedua-dua pihak akan menggunakan algoritma yang sama untuk mengira kunci sesi simetri yang akhirnya digunakan dalam komunikasi.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Apa itu Sijil SSL: Dari Permulaan hingga Kemahiran Lanjutan, Memastikan Keselamatan Penghantaran Data Laman Web。

Pada akhir proses berjabat tangan, kedua-dua pihak akan menghantar mesej “Finished” yang dienkripsi menggunakan kunci sesi yang baru dijana, untuk mengesahkan kesahihan kunci tersebut. Selepas itu, semua data pada lapisan aplikasi akan dienkripsi dan dihantar menggunakan kunci sesi simetri ini.

Jenis-jenis utama sijil SSL dan cara memilihnya

Berdasarkan tahap pengesahan yang berbeza dan senario penggunaan, sijil SSL terbahagi kepada tiga kategori utama. Memilih jenis sijil yang sesuai adalah langkah penting untuk memastikan keseimbangan antara keselamatan dan kos.

DV、OV与EV证书的核心区别

Sijil Pengesahan Nama Domain (Domain Validation/DV) merupakan jenis sijil yang paling asas. Badan Pengeluarkan Sijil (Certificate Authority/CA) hanya mengesahkan hak pemohon untuk mengawal nama domain tersebut, biasanya dengan mengesahkan alamat e-mel pentadbir domain atau dengan menetapkan rekod DNS yang khusus. Pengesahan sijil ini berlangsung dengan cepat dan kosnya rendah, dan ia terutamanya digunakan untuk laman web peribadi, blog, atau persekitaran ujian, serta dapat menyediakan fungsi penyulitan asas. Bar alamat pelayar akan menunjukkan ikon kunci dan awalan HTTPS.

Sijil SSL UltaHost

Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

Kunjungi UltaHost.

Sijil Pengesahan Organisasi (Organizational Validation/OV) memerlukan pengesahan yang lebih ketat. Selain daripada pemilikan domain name, pihak pengeluarkan sijil (Certificate Authority/CA) juga akan memeriksa keaslian dan kesahihan organisasi yang memohon, seperti memeriksa maklumat syarikat dalam sistem pendaftaran perniagaan. Sijil OV akan memaparkan nama organisasi yang memohon, dan pengguna boleh melihat maklumat tersebut dengan mengklik ikon kunci dalam pelayar web. Ia sesuai untuk laman web rasmi syarikat dan laman web perniagaan umum, dan dapat memberikan tahap kepercayaan yang lebih tinggi.

Sijil Pengesahan Lanjutan (Extended Validation – EV) menjalani proses pemeriksaan yang paling ketat. Pihak pengeluarkan sijil (Certificate Authority – CA) perlu melakukan siasatan menyeluruh mengenai latar belakang organisasi tersebut, dan mematuhi standard yang ditetapkan secara global. Laman web yang memasang sijil EV akan menunjukkan warna hijau pada bar alamat dalam sesetengah pelayar, serta nama syarikat tersebut akan dipaparkan secara langsung. Ini memberikan tahap kepercayaan yang paling tinggi untuk laman web yang memerlukan keselamatan yang tinggi, seperti dalam sektor kewangan dan e-dagangan.

Sijil nama domain tunggal, nama domain berbilang, dan sijil wildcard.

Selain daripada tahap pengesahan, sijil SSL juga diklasifikasikan berdasarkan jumlah domain yang diliputinya. Sijil untuk satu domain hanya melindungi satu domain yang ditentukan sepenuhnya (FQDN), contohnya… www.example.com 或 example.com。

Diperoleh daripada WEB\nDisyorkan untuk membaca. Apa itu sijil SSL? Daripada prinsip, jenis-jenisnya hingga panduan lengkap untuk memohon dan memasangnya.。

Sijil domain pelbagai, juga dikenali sebagai sijil SAN (Subject Alternative Name), membenarkan penambahan beberapa domain yang berbeza dalam satu sijil yang sama, sama ada domain utama atau domain sub. Ini memudahkan pengurusan beberapa laman web yang berkaitan.

Sijil penunjuk (wildcard certificate) sangat sesuai untuk situasi di mana terdapat sebilangan besar subdomain. Satu sijil penunjuk dapat melindungi satu domain dan semua subdomain pada tahap yang sama, sebagai contoh… *.example.com Boleh dilindungi. a.example.com、b.example.com、shop.example.com Dan sebagainya. Ini sangat berharga dalam platform dalam talian yang besar atau perkhidmatan SaaS.

Bagaimana untuk mendapatkan dan memasang sijil SSL?

Langkah pertama untuk mengaktifkan HTTPS pada laman web adalah dengan mendapatkan dan memasang sijil SSL dengan betul. Proses ini bermula dengan menghasilkan pasangan kunci, dan berakhir dengan penempatannya pada pelayan.

Menghasilkan permintaan tandatangan sijil CSR (Certificate Signing Request) dan pengesahan

Proses permohonan sijil biasanya dimulakan pada pelayan. Pertama sekali, sebuah fail kunci peribadi (private key) dan sebuah fail permintaan tandatangan sijil (Certificate Signing Request atau CSR) perlu dijana pada pelayan. Kunci peribadi mesti disimpan dengan sangat selamat, kerana ia merupakan bukti utama identiti pelayan. Sekiranya kunci peribadi tersebut bocor, asas keselamatan sijil tersebut akan hilang sepenuhnya.

Fail CSR (Certificate Signing Request) mengandungi kunci awam pelayan serta maklumat pemohon, seperti nama domain, nama organisasi, dan lokasi. Pemohon akan menghantar fail CSR tersebut kepada institusi pemberian sijil yang telah dipilih. Institusi pemberian sijil (CA – Certificate Authority) akan mengesahkan maklumat yang diberikan berdasarkan jenis sijil yang dimohon (DV/OV/EV). Sebagai contoh, untuk sijil DV, CA akan menghantar e-mel pengesahan ke alamat e-mel pendaftaran domain tersebut, atau meminta pengaturan rekod DNS TXT yang khusus. Setelah pengesahan berjaya, CA akan mengeluarkan fail sijil SSL yang telah disahkan.

Pengaturcaraan dan Penempatan pada Pihak Server

Setelah menerima fail sijil yang dikeluarkan oleh CA (Certificate Authority), anda perlu menggunakannya bersama-sama dengan fail kunci persendirian (private key) yang telah dijana sebelumnya untuk dipasang dalam perisian pelayan web seperti Apache, Nginx, atau IIS. Selepas proses pemasangan selesai, pastikan untuk memeriksa sama ada perkhidmatan HTTPS berfungsi dengan betul. Penggunaan alat pemeriksaan SSL dalam talian dapat membantu mengesahkan sama ada sijil telah dipasang dengan betul, sama ada suite enkripsi yang selamat digunakan, serta sama ada terdapat sebarang kelemahan (vulnerability) yang diketahui.

部署不仅意味着安装证书，还包括关键的服务器配置。例如，将所有HTTP请求301重定向到HTTPS，强制使用安全连接；启用HSTS（HTTP严格传输安全）头部，指示浏览器在未来一段时间内只通过HTTPS访问该网站；禁用已知不安全的旧版SSL协议，如SSLv2和SSLv3，强制使用TLS 1.2或更高版本。

Pemeliharaan dan Pengurusan Sijil SSL

Mengatur sijil SSL bukanlah sesuatu yang boleh dilakukan sekali sahaja dan kemudian diabaikan. Pengurusan kitaran hayat yang berkesan merupakan faktor kritikal untuk memastikan keselamatan yang berterusan, yang melibatkan proses pembaruan apabila sijil tersebut tamat tempoh, penarikan sijil yang tidak lagi sah, serta pertimbangan berkaitan prestasi sistem.

Lifecycle dan Penyambungan Semula Sijil

Sijil SSL tidak sah secara kekal. Standard industri semasa menetapkan tempoh sah sijil paling lama ialah 398 hari (kira-kira 13 bulan). Tempoh ini ditetapkan oleh forum CA/B dengan tujuan untuk menggalakkan penggantian sijil secara berkala dan pengauditan keselamatan, serta mengurangkan risiko jangka panjang yang berkaitan dengan kebocoran kunci peribadi. Sebelum tamat tempoh sah, sijil tersebut akan kehilangan kesahannya, menyebabkan amaran keselamatan muncul pada laman web, yang seterusnya memberi kesan negatif terhadap pengalaman pengguna dan ketersediaan laman web tersebut.

因此，监控证书的到期日期至关重要。建议设置日历提醒，并在到期前30天开始准备续订。续订流程与初次申请类似，都需要生成新的CSR并提交给CA进行验证。理想的做法是，建立自动化的证书续订机制，尤其是在使用Let's Encrypt等提供的免费、自动化的证书服务时，可以有效避免因证书过期而导致的服务中断。

Pembatalan Sijil dan Keselamatan Kunci Peribadi

Semasa sijil masih sah, jika kunci persendirian pelayan hilang atau terbocor, atau maklumat organisasi yang memegang sijil berubah (seperti nama domain tidak lagi digunakan), adalah perlu segera memohon pembatalan sijil tersebut daripada CA (Certificate Authority). Sijil yang telah dibatalkan akan ditambahkan ke dalam senarai pembatalan sijil (Certificate Revocation List/CRL), atau ditandakan sebagai tidak sah melalui Protokol Status Sijil Dalam Talian (Online Certificate Status Protocol/OCSP).

Mengekalkan keselamatan kunci peribadi adalah asas kepada keselamatan keseluruhan sistem SSL/TLS. Kunci peribadi harus disimpan dalam bentuk yang dienkripsi pada pelayan, dan akses kepadanya harus dikawal dengan ketat, hanya membenarkan proses perkhidmatan yang perlu untuk membacanya. Kunci peribadi tidak boleh sama sekali dihantar melalui saluran yang tidak selamat, atau disertakan dalam repositori kod atau fail sandaran tanpa dienkripsi.

Pertimbangan untuk mengoptimumkan prestasi HTTPS

Pengaktifan operasi penyulitan dan penyahsulitan melalui HTTPS memang akan meningkatkan beban pengiraan pada pelayan. Namun, dengan perkembangan peranti keras yang moden, beban prestasi ini telah menjadi sangat kecil. Dengan mengaktifkan penggunaan semula sesi TLS dan mengoptimumkan pemilihan suite penyulitan (misalnya, memilih suite yang menyokong AES-GCM atau ChaCha20-Poly1305 serta pertukaran kunci ECDHE), kelewatan proses persetujuan (handshake) dan beban pelayan dapat dikurangkan dengan ketara.

Selain itu, penggunaan protokol TLS 1.3 dapat memendekkan masa proses “handshake” (proses persetujuan antara pihak-pihak yang berkomunikasi), kerana ia memudahkan proses tersebut. Alasan menggunakan prestasi sebagai halangan untuk mengaktifkan HTTPS tidak lagi relevan pada tahun 2026.

RINGKASAN

Secara ringkas, sijil SSL merupakan asas penting dalam membina internet yang selamat dan boleh dipercayai. Ia mewujudkan lapisan perlindungan yang kukuh antara pelayar pengguna dan pelayan melalui proses pengesahan enkripsi yang kompleks, menjaga kerahsiaan dan integriti data yang dihantar. Dengan pelbagai jenis sijil SSL – daripada sijil DV yang asas hingga sijil EV yang mempunyai proses pengesahan yang lebih ketat, daripada sijil yang melindungi satu domain sahaja hingga sijil yang meliputi beberapa domain menggunakan penunjuk wildcard – barisan produk yang pelbagai ini dapat memenuhi keperluan keselamatan dan perniagaan yang berbeza. Mendapatkan, mengatur, dan mengurus sijil SSL melibatkan keseluruhan proses, daripada menghasilkan kunci peribadi, menghantar permohonan pengesahan, hingga konfigurasi pelayan dan pembaharuan apabila sijil tersebut tamat tempoh. Dalam persekitaran internet masa kini, memasang sijil SSL yang berkesan pada laman web dan mengkonfigurasi sambungan HTTPS yang selamat telah bertukar daripada pilihan tambahan menjadi langkah yang penting untuk memastikan kepercayaan pengguna, meningkatkan imej profesional, dan bahkan mengoptimumkan kedudukan dalam enjin carian.

FAQ - Soalan Lazim

Adakah terdapat yuran untuk sijil SSL?

SSL证书有免费和付费两种类型。像Let's Encrypt提供的免费DV证书，完全能够满足个人网站或博客的基本加密需求。付费证书则提供了更高级别的组织验证（OV）、扩展验证（EV），以及更长的有效期、更完善的赔偿保障和技术支持，适合商业网站和企业级应用。

Adakah laman web menjadi benar-benar selamat setelah sijil SSL dipasang?

Bukan begitu. SSL/TLS terutamanya menyelesaikan masalah pengesanan data semasa proses penghantaran, untuk mencegah data daripada digodam atau diubah suai. Ia tidak dapat mencegah kelemahan keselamatan lain pada laman web, seperti pencerobohan pada pelayan, kelemahan kod pada laman web (seperti SQL injection atau XSS), atau penggunaan kata laluan yang terlalu mudah. Sijil SSL merupakan komponen yang sangat penting dalam strategi keselamatan laman web secara keseluruhan, tetapi ia bukanlah segalanya.

Kandungan laman web saya tidak mengandungi maklumat sensitif, adakah saya masih perlu sijil SSL?

Perlu. Pertama sekali, pelayar moden seperti Chrome dan Firefox akan menandakan laman web yang tidak menggunakan HTTPS sebagai “tidak selamat”, yang secara langsung mempengaruhi kesan pertama dan keyakinan pengguna terhadap laman web tersebut. Kedua, enjin carian seperti Google telah menjadikan penggunaan HTTPS sebagai petunjuk positif dalam penarikan hasil carian. Selain itu, walaupun untuk maklumat yang tidak sensitif, sambungan yang dienkripsi dapat mencegah data daripada diintip, iklan yang tidak diinginkan daripada dimasukkan, atau kod berbahaya daripada disisipkan, sekali gus melindungi integriti laman web dan pengalaman pengguna.

Bagaimana untuk melihat maklumat sijil SSL bagi sebuah laman web?

Ketika mengakses sebuah laman web HTTPS, kebanyakan pelayar akan menunjukkan ikon kunci di sebelah kiri bar alamat. Dengan mengklik ikon kunci tersebut, anda biasanya akan melihat mesej yang menyatakan “Sambungan adalah selamat”. Jika anda mengklik pilihan seperti “Sijil adalah sah” atau yang serupa, ia akan membuka tetingkap butiran sijil, di mana anda boleh melihat maklumat seperti kepada siapa sijil tersebut dikeluarkan (nama domain), pihak yang mengeluarkan sijil (CA), tempoh sah sijil, dan algoritma pengesahan yang digunakan.

Bolehkah satu sijil SSL digunakan pada beberapa buah pelayan?

Secara teknikal, ia adalah mustahil. Selagi kunci persendirian (private key) adalah sama, sijil yang sama boleh digunakan pada beberapa pelayan yang menyediakan perkhidmatan yang sama, seperti kumpulan pelayan web di belakang penyeimbang beban (load balancer). Namun, perlu berhati-hati dari segi pengurusan dan keselamatan: penghantaran dan penyimpanan kunci persendirian antara pelayan-pelayan tersebut mesti dilakukan dengan sangat selamat; sekiranya kunci persendirian salah satu pelayan bocor, semua perkhidmatan yang menggunakan sijil tersebut akan terjejas, dan sijil tersebut perlu ditarik balik serta dikeluarkan semula dengan segera.