Sijil SSL yang anda mesti tahu: pilihan jenis, proses permohonan dan panduan penuh untuk penggunaan selamat.

Dalam persekitaran internet masa kini, sijil SSL telah menjadi asas keselamatan dan kepercayaan terhadap laman web. Ia melindungi data yang dihantar daripada digodam atau diubah suai dengan membina sambungan yang dienkripsi antara pelayar pengguna dan pelayan laman web, serta mengaktifkan ikon “kunci keselamatan” yang jelas pada pelayar, seterusnya meningkatkan keyakinan pengguna.

Jenis-jenis utama sijil SSL dan cara memilihnya

Memilih jenis sijil SSL yang betul adalah langkah pertama untuk memastikan keseimbangan antara keselamatan dan keberkesanan. Setiap jenis sijil mempunyai tahap pengesahan dan lingkupan perlindungan yang berbeza.

Sijil pengesahan nama domain.

Sijil jenis pengesahan domain name (Domain Name Validation Certificate) merupakan sijil SSL yang paling asas. Badan penerbit hanya mengesahkan hak milik pemohon terhadap domain name tersebut, biasanya melalui e-mel atau rekod DNS. Proses pengesahan adalah cepat dan sijil boleh dikeluarkan dalam masa satu jam. Sijil ini sesuai untuk laman web peribadi, blog, atau persekitaran ujian, dan terutamanya menyediakan fungsi penyulitan asas.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Panduan Lengkap Sijil SSL: Jenis, Pemilihan, dan Penempatan (Semua Dalam Satu Tempat)。

Sijil pengesahan organisasi.

Sijil jenis pengesahan organisasi memerlukan pihak yang mengeluarkannya untuk tidak hanya mengesahkan pemilikan nama domain, tetapi juga memeriksa kewujudan sebenar dan sah syarikat yang memohon, seperti maklumat lesen perniagaan dan lain-lain. Proses ini mengambil masa beberapa hari bekerja. Butiran sijil akan menunjukkan nama syarikat, yang membantu membina kepercayaan dalam perniagaan. Ia sesuai untuk laman web perusahaan kecil dan sederhana serta platform e-dagang.

Sijil SSL Bluehost.

Sijil SSL BlueHost menawarkan pilihan tempoh perpanjangan selama 1-2 tahun, menyokong algoritma RSA atau ECC, dengan panjang kunci sehingga 4096 bit, dan menyediakan jumlah perlindungan sehingga $1.75 juta.

Bermula dari $7.49 USD sebulan.

Kunjungi sijil SSL Bluehost →

Sijil SSL Hosting.com

Sijil SSL DV, OV, EV yang berharga mampu milik, dengan enkripsi sehingga 256-bit, perlindungan sehingga $5 juta hingga $1 juta, dan sokongan 24 jam sehari.

Bermula dari $2.5 USD sebulan.

Kunjungi hosting.com Sijil SSL →

Sijil Pengesahan Diperluas

Sijil jenis pengesahan yang diperluas (Extended Validation Certificates) menyediakan tahap pengesahan dan kepercayaan yang paling tinggi. Badan penerbit sijil akan melakukan pemeriksaan yang paling ketat, termasuk keadaan undang-undang, fizikal, dan operasi syarikat tersebut. Setelah sijil tersebut diterbitkan, nama syarikat akan dipaparkan dalam warna hijau terus di bar alamat pelayar. Ini merupakan pilihan utama untuk institusi kewangan, platform e-dagang yang besar, dan sebarang laman web yang memerlukan tahap kepercayaan pengguna yang paling tinggi.

Sijil pelbagai nama domain dan wildcard.

Sijil domain pelbagai membenarkan penggunaan satu sijil sahaja untuk melindungi beberapa domain yang berbeza sepenuhnya. Sijil penunjuk (wildcard certificate) pula dapat melindungi satu domain utama dan semua subdomain yang setaranya. *.example.com Boleh ditutupi. blog.example.com 和 shop.example.comKedua-dua jenis ini menyediakan fleksibiliti dan keberkesanan kos untuk syarikat yang menguruskan beberapa titik masuk.

Proses permohonan sijil SSL yang terperinci:

Mengajukan dan melaksanakan sijil SSL adalah proses yang teratur, dan mengikuti langkah-langkah yang betul dapat memastikan pelaksanaan yang berjaya.

Langkah pertama: Menjana permintaan tandatangan sijil.

Cipta sijil pengesahan (Certificate Signing Request/CSR) pada pelayan web anda. Proses ini akan membuat sepasang kunci: satu kunci peribadi dan satu fail CSR yang mengandungi maklumat anda. Kunci peribadi mesti disimpan dengan rahsia dan dengan selamat. Fail CSR pula mengandungi maklumat seperti nama domain anda, nama organisasi, lokasi, dan lain-lain, dan akan dihantar kepada pihak yang mengeluarkan sijil (certificate issuer).

Diperoleh daripada WEB\nDisyorkan untuk membaca. Panduan Terakhir Mengenai Sijil SSL: Jenis, Pemilihan, dan Proses Pemasangan。

Langkah kedua: Pilih CA (Certificate Authority) dan hantar permohonan pengesahan.

Pilih sebuah badan pemberian sijil (Certificate Authority/CA) yang boleh dipercayai untuk menghantar Sijil Permintaan (Certificate Request/CSR) anda. Berdasarkan jenis sijil yang anda minta, CA akan memulakan proses pengesahan yang sesuai. Untuk jenis pengesahan domain name, anda mungkin perlu mengkonfigurasi rekod DNS yang khusus atau menerima emel pengesahan. Untuk jenis pengesahan organisasi atau pengesahan lanjutan, anda perlu menyediakan dan menghantar dokumen-dokumen undang-undang yang berkaitan.

Langkah Ketiga: Mengeluarkan dan Memuat Turun Sijil

Setelah pengesahan berjaya, CA (Certificate Authority) akan mengeluarkan sijil. Anda akan menerima fail yang mengandungi sijil SSL daripada CA, yang biasanya berbentuk kod teks. Pada masa yang sama, anda juga mungkin menerima fail rantai sijil perantara (intermediate certificate chain), yang sangat penting untuk membina rangkaian kepercayaan yang lengkap.

Langkah keempat: Memasang dan mengkonfigurasi sijil

Muat naik fail sijil yang dikeluarkan dan fail rantai sijil perantara ke pelayan anda. Dalam konfigurasi pelayan, arahkan laluan sijil ke fail-fail tersebut, dan sambungkannya dengan kunci persendirian yang telah dijana sebelumnya. Konfigurasikan pengalihan paksa ke HTTPS untuk memastikan semua laluan HTTP dialihkan ke HTTPS dengan selamat.

Sijil SSL UltaHost

Sijil DV, EV, OV, menyokong jumlah jaminan maksimum $1,750,000 USD, menyokong domain tambahan tanpa had, menyokong aplikasi iOS dan Android, dengan harga istimewa 20% mulai daripada USD 15.95 sebulan, jaminan pulangan wang dalam tempoh 30 hari.

Kunjungi UltaHost.

Mengaturcara pemasangan sijil SSL dengan selamat pada pelayan

Setelah mendapatkan sijil tersebut, pengaturcaraan dan penempatan yang betul merupakan kunci untuk memastikan keberkesanan ciri keselamatan yang terdapat di dalamnya. Pengaturcaraan yang tidak sesuai boleh menyebabkan kelemahan keselamatan.

Melaksanakan keselamatan penghantaran HTTP yang ketat

HSTS (HTTP Strict Transport Security) merupakan satu dasar keselamatan yang penting. Ia memberitahu pelayar, melalui header respons, bahawa laman web tersebut hanya boleh diakses melalui HTTPS dalam tempoh masa yang ditentukan. Ini berkesan dalam mencegah serangan jenis “SSL stripping” dan serangan pengurangan tahap keselamatan protokol (protocol downgrade attacks), serta memastikan bahawa sambungan sentiasa dilindungi oleh penyulitan.

Memilih suite dan protokol enkripsi yang kuat

Dalam konfigurasi pelayan, protokol yang lapuk dan tidak selamat seperti SSL 2.0, SSL 3.0, serta versi lama TLS 1.0 dan TLS 1.1 perlu diaktifkan. Utamakan penggunaan protokol TLS 1.2 dan TLS 1.3. Pilih juga suite enkripsi dengan berhati-hati, dan berikan keutamaan kepada suite enkripsi berdasarkan prinsip Forward Secrecy (FS) yang menggunakan algoritma berdasarkan kurva elips. Algoritma enkripsi yang lemah perlu diaktifkan.

Diperoleh daripada WEB\nDisyorkan untuk membaca. Penguraian menyeluruh sijil SSL: Perbezaan jenis, proses permohonan, dan panduan pemasangan serta konfigurasi pada pelayan。

Pastikan rantaian sijil adalah lengkap.

Pelayan mesti menghantar rantai sijil yang lengkap dengan betul. Jika sijil perantara (intermediate certificate) hilang, pelayar pengguna tidak akan dapat menjejak kembali ke sijil akar (root certificate) yang dipercayai, yang akan menyebabkan amaran keselamatan dipaparkan. Anda boleh menggunakan alat dalam talian untuk memeriksa sama ada pelayan anda menyediakan semua sijil perantara dengan betul.

Kemaskini dan pemantauan yang berterusan

Sijil SSL mempunyai tempoh sah yang tetap, biasanya selama setahun. Adalah penting untuk mewujudkan mekanisme pemantauan bagi memastikan sijil diperbaharui dan diganti sebelum ia tamat tempoh, untuk mengelakkan masalah akses ke laman web akibat sijil yang tidak sah. Selain itu, periksa status pembatalan sijil secara berkala dan ikuti perkembangan standard penyulitan, serta kemas kini konfigurasi pelayan dengan segera.

Pengaturcaraan Lanjutan dan Pengoptimuman Prestasi

Di atas penempatan asas, pengoptimuman lanjut dapat meningkatkan keselamatan dan prestasi laman web.

Aktifkan teknologi pengikatan OCSP.

Penyediaan sijil melalui protokol OCSP (Online Certificate Status Protocol) membenarkan pelayan untuk secara proaktif memberikan bukti “kesahihan” sijil semasa proses persetujuan TLS (Transport Layer Security), menggantikan proses di mana pelayar perlu meminta maklumat tersebut secara berasingan daripada pihak CA (Certificate Authority). Ini secara signifikan mengurangkan masa yang diperlukan untuk proses persetujuan, meningkatkan kelajuan sambungan, mengurangkan beban pada pelayan CA, dan pada masa yang sama melindungi privasi pengguna.

Menggunakan mekanisme pemulihan sesi

Dengan penggunaan tiket sesi TLS atau penggunaan semula ID sesi, keperluan untuk proses persetujuan TLS yang lengkap dapat dikurangkan. Apabila pengguna menyambung semula, kunci sesi yang telah disepakati sebelumnya boleh digunakan, mengelakkan pengiraan penyulitan asimetri yang memakan masa, seterusnya mengurangkan kelewatan dengan ketara dan meningkatkan prestasi pelayan dalam senario dengan kadar konvensi yang tinggi.

Pertimbangkan pengasingan maklumat berkaitan sijil (certificates) secara terbuka (transparent).

“Sijil Transparan” (Certificate Transparency) merupakan sebuah rangka kerja pemantauan dan pengauditan yang terbuka. Ia memerlukan entiti yang mengeluarkan sijil SSL (Certificate Authorities atau CA) untuk mendedahkan secara umum rekod setiap sijil SSL yang telah dikeluarkan oleh mereka. Ini membantu dalam mengesan dan mengenal pasti kesilapan atau sijil yang dikeluarkan dengan niat jahat dengan segera, sekali gus meningkatkan ketelusan dalam ekosistem PKI (Public Key Infrastructure) secara keseluruhan. Ia merupakan langkah penting untuk meningkatkan keselamatan sistem tersebut.

RINGKASAN

Penggunaan sijil SSL bukan sekadar tentang memasang satu fail sahaja. Ia bermula dengan pemilihan yang bijak jenis sijil dan tahap pengesahan yang sesuai, diikuti oleh proses permohonan dan pengesahan yang ketat. Inti utamanya adalah konfigurasi keselamatan dan pengoptimuman pemasangan pada pelayan. Dari menguatkuasakan penggunaan HTTPS, mengaktifkan HSTS, mengkonfigurasi suite enkripsi yang kuat, hingga melaksanakan proses OCSP dan memastikan ketelusan sijil, setiap langkah tersebut bersama-sama membina benteng yang kukuh untuk kepercayaan pengguna terhadap laman web dan keselamatan data. Memahami dan mengamalkan prinsip-prinsip ini merupakan tanggungjawab asas terhadap pengunjung laman web, serta kemahiran yang penting dalam operasi rangkaian moden.

FAQ - Soalan Lazim

Adakah sijil SSL diperlukan?

Bagi mana-mana laman web moden yang melibatkan log masuk pengguna, pemindahan data, atau transaksi dalam talian, sijil SSL bukan sahaja merupakan keperluan teknikal, tetapi juga merupakan standard yang wajib untuk keselamatan dan kepercayaan pengguna. Pelayar web utama kini telah menandakan laman web yang tidak menggunakan HTTPS sebagai “tidak selamat”, yang boleh memberi kesan negatif terhadap pengalaman pengguna dan reputasi laman web tersebut. Selain itu, penggunaan SSL juga merupakan syarat wajib mengikut banyak standard rangkaian dan kedai aplikasi.

Apa perbezaan antara sijil SSL percuma dan berbayar?

Sijil percuma biasanya hanya untuk pengesahan domain sahaja, dan disediakan oleh organisasi bukan keuntungan (non-profit), sesuai untuk projek peribadi atau ujian. Sijil berbayar pula menawarkan pengesahan organisasi dan pengesahan lanjutan yang lebih tinggi, serta jaminan pembayaran yang lebih tinggi dan pengesahan identiti yang lebih ketat. Selain itu, perkhidmatan berbayar biasanya disertai dengan sokongan teknikal yang lebih baik, yang sangat penting untuk laman web perniagaan yang memerlukan penyelesaian masalah dengan segera.

Adakah memasang sijil SSL akan mempengaruhi kelajuan laman web?

Proses persetujuan awal (handshake) TLS memang menyebabkan sedikit kelewatan, kerana ia melibatkan pengiraan penyulitan asimetri. Namun, protokol TLS moden dan teknologi pengoptimuman telah mengurangkan kos ini dengan ketara. Dengan mengaktifkan ciri-ciri seperti TLS 1.3, penggunaan OCSP (Online Certificate Status Protocol), dan penggunaan semula sesi (session reuse), kesan terhadap prestasi dapat dikurangkan hingga ke tahap yang sangat rendah. Manfaat keselamatan yang diperoleh daripada penyulitan jauh lebih besar berbanding dengan kos prestasi yang kecil tersebut.

Bagaimana untuk mengurus amaran pelayar yang menyatakan “Sijil tidak boleh dipercayai”?

Penyebab paling umum bagi amaran ini adalah kerana pelayan tidak menghantar rantai sijil perantara yang lengkap dengan betul, menyebabkan pelayar tidak dapat membina rantai kepercayaan yang diperlukan. Selain itu, sijil mungkin telah tamat tempoh, atau nama domain tidak sesuai. Anda perlu menggunakan alat pemeriksaan SSL dalam talian untuk mendiagnosis masalah tersebut, dan mengikut arahan yang diberikan untuk melengkapi rantai sijil, mengemaskini sijil, atau memastikan bahawa sijil tersebut sesuai dengan nama domain yang diakses.