Penerangan Terperinci Mengenai Sijil SSL: Jenis Sijil, Proses Permohonan, dan Panduan Komprehensif Untuk Pelaksanaan HTTPS

Konsep asas dan prinsip kerja sijil SSL

Sijil SSL merupakan “kad pengenalan” dalam dunia digital, dan ia mematuhi standard X.509. Sijil ini memainkan peranan yang sangat penting dalam komunikasi rangkaian. Prinsip asasnya berdasarkan teknologi pengesanan kriptografi tidak simetri dan infrastruktur kunci awam (public key infrastructure). Apabila pengguna mengakses laman web (pelayan) yang telah memasang sijil SSL melalui pelayar (klien), proses yang kompleks yang dikenali sebagai “SSL/TLS handshake” akan dimulakan. Tujuan utama proses ini adalah untuk menetapkan kunci pengesanan kriptografi simetri yang selamat untuk komunikasi seterusnya, dalam persekitaran rangkaian yang tidak selamat.

Pertama sekali, pelayan akan menghantar sijil SSL-nya (yang mengandungi kunci awam) ke pelayar. Pelayar akan mengesahkan keaslian sijil tersebut, memeriksa sama ada ia dikeluarkan oleh badan pemberian sijil yang dipercayai, sama ada sijil itu masih sah, dan sama ada nama domain dalam sijil itu selaras dengan laman web yang sedang diakses. Setelah pengesahan berjaya, pelayar akan menggunakan kunci awam dalam sijil untuk mengenkripsi “kunci utama awal” yang dijana secara rawak, dan menghantar kembali maklumat tersebut ke pelayan. Hanya pelayan yang memiliki kunci persendirian yang sesuai sahaja yang boleh mendekripsi maklumat tersebut. Kemudian, kedua-dua pihak akan menggunakan kunci utama awal ini untuk menghasilkan kunci sesi simetri yang sama secara berasingan. Selepas itu, semua data yang dihantar dan diterima akan dienkripsi serta didekripsi menggunakan kunci simetri yang cekap dan cepat ini, bagi memastikan kerahsiaan dan integriti maklumat.

Sijil SSL yang sah bukan sahaja melaksanakan proses penyulitan data, tetapi juga menunjukkan simbol kunci dan protokol “HTTPS” di bar alamat pelayar, yang secara langsung menunjukkan kepada pengguna bahawa sambungan tersebut adalah selamat. Ini merupakan asas penting dalam membina kepercayaan pengguna terhadap laman web tersebut.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Ingin tahu bagaimana untuk memohon dan memasang sijil SSL untuk melindungi keselamatan laman web anda?。

Jenis Sijil SSL Utama dan Panduan Pemilihan

Berdasarkan tahap pengesahan dan skop liputannya, sijil SSL terutamanya dibahagikan kepada tiga kategori utama untuk memenuhi keperluan keselamatan dan kepercayaan dalam pelbagai senario.

Sijil SSL Bluehost.

Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.

Bermula dari $7.49 USD sebulan.

Kunjungi sijil SSL Bluehost →

Sijil SSL Hosting.com

Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.

Bermula dari $2.5 USD sebulan.

Kunjungi hosting.com Sijil SSL →

Sijil pengesahan nama domain.

Sijil DV merupakan sijil peringkat permulaan, di mana pihak yang mengeluarkannya hanya mengesahkan hak milik pemohon terhadap nama domain (contohnya melalui penyelesaian DNS atau pengunggahan fail yang ditentukan). Proses pengesahan adalah cepat dan mudah, dan sijil tersebut biasanya boleh dikeluarkan dalam masa beberapa minit sahaja. Ia menyediakan fungsi penyulitan asas, sesuai untuk laman web peribadi, blog, atau persekitaran ujian. Kekurangannya adalah ia hanya menunjukkan ikon kunci penyulitan, dan tidak menunjukkan nama syarikat pemilik domain, yang menjadikan tahap kepercayaan terhadap sijil tersebut agak rendah.

Sijil pengesahan organisasi.

Sijil OV, berdasarkan proses pengesahan DV (Domain Validation), menambahkan pemeriksaan yang lebih ketat terhadap keaslian organisasi yang memohonnya. Pihak CA (Certificate Authority) akan memeriksa maklumat pendaftaran rasmi syarikat (seperti butir-butir pendaftaran perniagaan) untuk memastikan kewujudan syarikat tersebut yang sah. Maklumat organisasi tersebut akan disertakan dalam sijil OV. Apabila pengguna melihat butiran sijil, mereka dapat melihat nama syarikat, yang secara signifikan meningkatkan keyakinan terhadap laman web syarikat tersebut. Sijil OV sesuai digunakan untuk laman web rasmi syarikat, platform e-dagang, dan situasi lain yang memerlukan penunjukkan kredibiliti entiti yang nyata.

Sijil Pengesahan Diperluas

Sijil EV (Extended Validation) merupakan sijil yang paling ketat dalam proses pengesahan dan mempunyai tahap kepercayaan yang paling tinggi. Selain daripada proses pengesahan organisasi pada tahap OV (Organizational Validation), pihak CA (Certificate Authority) juga akan melakukan siasatan latar belakang yang lebih mendalam untuk memastikan organisasi tersebut memenuhi pelbagai standard yang ketat. Laman web yang memperoleh sijil EV akan menunjukkan nama syarikat dalam warna hijau di bar alamat (atau bersama-sama dengan simbol kunci) dalam kebanyakan pelayar web utama, yang merupakan tanda pengenalaman keselamatan yang paling tinggi. Laman web yang memerlukan tahap kepercayaan yang sangat tinggi, seperti dalam sektor kewangan, pembayaran, dan e-dagangan besar, biasanya akan menggunakan sijil EV.

Selain itu, berdasarkan jumlah domain yang diliputi, sijil boleh dibahagikan kepada sijil domain tunggal, sijil domain pelbagai, dan sijil wildcard. Sijil wildcard (seperti…) *.example.comIa dapat melindungi satu nama domain utama dan semua subdomain pada tahap yang sama, menjadikannya sangat mudah untuk diurus.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Apa itu Sijil SSL? Panduan lengkap tentang prinsip, jenis, dan proses permohonannya。

Dari permohonan hingga pemasangan: Proses penempatan yang lengkap

Penggunaan sijil SSL yang berjaya memerlukan satu siri langkah yang jelas, bermula dari persiapan hingga pelancaran akhir.

Langkah pertama: Menjana permintaan tandatangan sijil.

Pertama sekali, anda perlu menghasilkan sebuah fail CSR (Certificate Signing Request) pada pelayan anda. Proses ini akan membuat sepasang kunci tidak simetri: satu kunci persendirian dan satu kunci awam. Kunci persendirian mesti disimpan dengan sangat selamat di pelayan dan tidak boleh didedahkan kepada pihak ketiga. Fail CSR mengandungi kunci awam anda serta maklumat permohonan yang berkaitan, seperti nama domain, nama syarikat, dan lokasi syarikat. Anda perlu menghantar fail CSR ini kepada entiti pengesahan sijil (CA – Certificate Authority) untuk memohon sijil.

Langkah Kedua: Menghantar permohonan pengesahan dan penerbitan sijil

Setelah anda menghantar permohonan CSR (Certificate Signing Request) kepada pihak pengeluarkan sijil yang dipilih, pihak CA (Certificate Authority) akan memulakan proses pengesahan yang sesuai berdasarkan jenis sijil yang anda beli (DV, OV, EV). Untuk sijil DV, anda hanya perlu mengikuti arahan pihak CA untuk mengesahkan pemilikan domain name (seperti mengubah rekod DNS). Bagi sijil OV/EV, anda perlu mengemukakan dokumen pengesahan organisasi dan mungkin perlu menjawab panggilan telefon untuk pengesahan.
Setelah semua pengesahan selesai, CA (Certificate Authority) akan mengeluarkan fail sijil SSL (biasanya dalam format .crt atau .cert). .crt 或 .pem Format tersebut akan dihasilkan dan dihantar kepada anda melalui e-mel. Secara asasnya, fail sijil ini merupakan hasil daripada proses di mana CA (Certificate Authority) menggunakan kunci peribadinya untuk menandatangani secara digital maklumat yang terdapat dalam CSR (Certificate Signing Request) anda (terutamanya kunci awam), seterusnya mengesahkan keaslian kunci awam anda.

Sijil SSL UltaHost

Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

Kunjungi UltaHost.

Langkah Ketiga: Pemasangan dan Konfigurasi Server

Muat naik fail sijil yang diterima bersama-sama dengan fail kunci peribadi yang dihasilkan pada langkah pertama ke pelayan. Kaedah pemasangan dan konfigurasi yang terperinci berbeza bergantung pada perisian pelayan yang digunakan. Sebagai contoh, dalam Nginx, anda perlu menentukan butiran yang berkaitan dalam fail konfigurasi. ssl_certificate(Laluan fail sijil) dan ssl_certificate_key(Arah fail kunci peribadi) dan mendengar pada port 443. Dalam Apache, konfigurasi diperlukan. SSLCertificateFile 和 SSLCertificateKeyFileSetelah konfigurasi selesai, mulakan semula perkhidmatan web untuk memastikan perubahan berkuat kuasa.

Langkah keempat: Semak selepas penempatan dan laksanakan penggunaan HTTPS secara wajib.

Setelah pemasangan, pastikan anda menggunakan alat pemeriksaan SSL dalam talian untuk mengesahkan bahawa sijil tersebut dipasang dengan betul, rangkaian (chain) adalah lengkap, dan bahawa protokol serta set pengekripsi yang digunakan adalah selamat. Langkah yang sangat penting seterusnya adalah mengkonfigurasi pengalihan (301 redirect) dari HTTP ke HTTPS, untuk memastikan semua pengunjung mengakses laman web anda melalui sambungan HTTPS yang selamat, dan mengelakkan kandungan daripada dihantar dalam bentuk teks biasa (plain text).

Konfigurasi Lanjutan dan Amalan Terbaik

Untuk membina perkhidmatan HTTPS yang benar-benar stabil, hanya memasang sijil tidak mencukupi; satu siri penyesuaian dan pengukuhan keselamatan juga diperlukan.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Menguasai Sijil SSL: Panduan Lengkap Dari Prinsip Ke Pelaksanaan。

Pastikan anda menggunakan sijil yang dikeluarkan oleh CA (Certificate Authority) yang boleh dipercayai, dan periksa tarikh luput sijil tersebut secara berkala. Sebaiknya, proses pembaharuan dilakukan sekurang-kurangnya 30 hari sebelum tarikh luput untuk mengelakkan gangguan perkhidmatan. Alat pembaharuan automatik seperti Certbot dapat memudahkan proses ini dengan ketara.
Pada tahap konfigurasi pelayan, protokol SSL yang lama dan tidak selamat (seperti SSL 2.0/3.0) harus diaktifkan, dan penggunaan protokol TLS 1.2 atau versi yang lebih baru harus diwajibkan. Selain itu, suite enkripsi harus dikonfigurasi dengan teliti, dengan mengutamakan suite enkripsi yang menyokong ciri Forward Secrecy. Dengan cara ini, walaupun kunci persendirian pelayan dipecahkan pada masa akan datang, rekod komunikasi yang lalu tidak akan dapat didekripsi.
Mengaktifkan keselamatan penghantaran HTTP yang ketat (HTTP Strict Transport Security) merupakan satu kepala keselamatan yang penting. HSTS akan memaksa pelayar untuk mengakses laman web tersebut melalui HTTPS dalam tempoh masa yang ditentukan, dan ini dapat membantu melindungi daripada serangan pengeluaran sijil SSL (SSL stripping attacks). Anda boleh mengaktifkannya dengan menambahkan kod yang sesuai dalam kepala respons (response header). Strict-Transport-Security Klik untuk mengaktifkannya.
Selain itu, untuk meningkatkan prestasi dan pengalaman pengguna, teknologi pengikatan OCSP (Online Certificate Status Protocol) boleh diaktifkan. Teknologi ini membenarkan pelayan untuk menyediakan bukti status pembatalan sijil semasa proses persetujuan TLS (TLS handshake), mengelakkan keperluan untuk pelayar membuat permintaan berasingan kepada entiti pengesahan sijil (CA – Certificate Authority). Ini bukan sahaja mempercepatkan proses persetujuan, tetapi juga melindungi privasi pengguna.

RINGKASAN

Sijil SSL merupakan teknologi utama untuk mengimplementasikan pengesanan rahsia dan pengesahan identiti dalam komunikasi rangkaian. Dari sijil DV, OV hingga EV, ia menyediakan penyelesaian kepercayaan keselamatan yang berbeza mengikut keperluan laman web. Proses pemasangan sijil SSL melibatkan langkah-langkah kritikal seperti penghasilan CSR (Certificate Signing Request), pengesahan oleh CA (Certificate Authority), pemasangan pada pelayan, dan pengalihan paksa ke protokol HTTPS. Dengan mengikuti amalan terbaik seperti mengaktifkan HSTS (HTTP Strict Security Policy), mengkonfigurasi PFS (Perfect Forward Secrecy), dan menghalang penggunaan protokol lama, sistem pertahanan keselamatan yang lebih komprehensif dapat dibina. Pemasangan dan penyelenggaraan sijil SSL yang betul bukan sahaja merupakan langkah penting untuk melindungi penghantaran data, tetapi juga merupakan asas untuk membina kepercayaan pengguna dan meningkatkan kredibiliti laman web.

Soalan Lazim (FAQ)

Apa perbezaan utama antara sijil DV, OV, dan EV?

Perbezaan utama terletak pada tahap ketatnya proses pengesahan dan penunjuk kepercayaan yang dipaparkan. Sijil DV hanya mengesahkan pemilikan nama domain dan hanya menunjukkan ikon kunci yang disulitkan; sijil OV selain itu juga mengesahkan keaslian syarikat, dan mengandungi maklumat syarikat tersebut di dalamnya; sijil EV pula menjalani audit yang paling ketat, dan nama syarikat akan dipaparkan dalam warna hijau di bar alamat pelayar, memberikan tahap kepercayaan visual yang paling tinggi.

Adakah pembelian diperlukan untuk memohon sijil SSL? Adakah terdapat pilihan percuma?

是的，存在可靠的免费选择。例如，由互联网安全研究小组发起的Let‘s Encrypt项目，提供完全自动化的免费DV证书，有效期90天，非常适合个人项目、中小网站和测试环境使用。对于需要OV或EV验证以及更高服务等级保证的商业网站，则建议购买商业证书。

Mengapa laman web masih menunjukkan status “tidak selamat” walaupun sijil telah dipasang?

Ini mungkin disebabkan oleh beberapa faktor. Yang paling biasa ialah kewujudan campuran sumber HTTP dalam halaman web, seperti gambar, skrip, atau fail gaya yang dimuat melalui protokol HTTP yang tidak selamat. Akibatnya, pelayar akan menganggap seluruh halaman sebagai tidak selamat. Pastikan semua sumber dalam halaman web menggunakan pautan HTTPS. Faktor lain termasuk rantaian sijil yang tidak lengkap, ketidaksesuaian antara sijil dan nama domain, atau konfigurasi pelayan yang salah yang menyebabkan HTTPS tidak diaktifkan dengan betul.

Bolehkah sijil wildcard melindungi semua subdomain?

Sijil penunjuk (wildcard certificate) boleh melindungi semua subdomain pada tahap yang ditentukan. Sebagai contoh, satu sijil penunjuk boleh melindungi semua subdomain di bawah domain utama. *.example.com Sijil tersebut dapat memberikan perlindungan. blog.example.com、shop.example.com Dan sebagainya, tetapi tidak dapat melindungi subdomain yang mempunyai beberapa tahap (multi-level subdomains), seperti… admin.shop.example.comJika anda ingin melindungi subdomain yang berada pada beberapa tahap, anda perlu memohon sijil yang merangkumi nama domain yang khusus atau sijil yang berasingan. *.shop.example.com Sijil penunjuk khusus (wildcard certificate).

Berapakah tempoh sah sijil SSL/TLS?

Menurut piawaian industri, sijil SSL/TLS yang dikeluarkan oleh institusi pemberian sijil utama pada masa kini mempunyai tempoh sah yang paling lama iaitu 398 hari (kira-kira 13 bulan). Dasar ini dilaksanakan untuk meningkatkan keselamatan dengan menggalakkan penggantian sijil dan pembaruan kunci secara lebih kerap. Oleh itu, pemantauan dan pengemaskinan sijil secara berkala telah menjadi sebahagian daripada tugas operasi dan penyelenggaraan yang penting.