Ang Hypertext Transfer Protocol (HTTP) ay isang hanay ng mga panuntunang ginagamit ng mga browser para tukuyin kung paano basahin at ilipat ang data sa web. Kapag may “http” ang isang URL, alam ng browser na dapat sundin ang protocol na ito para matagumpay na makapag-load ng web page.
Ang HTTPS ay kapareho ng HTTP pero sinasabi ng HTTPS sa isang browser na i-encrypt ang data na ipinapadala sa isang web page. Itinatago ng pag-encrypt ang data at binabawasan nito ang posibilidad na matingnan o mamanipula ang iyong impormasyon. Mahalaga ito kapag may kasamang sensitibong data ang isang website tulad ng iyong mga personal na detalye o pinansyal na impormasyon.
Mag-set up ng HTTPS
Para magamit ang HTTPS sa iyong domain name, kailangang may naka-install kang SSL o TLS certificate sa website mo. Posibleng mag-alok ang iyong web host (Web Hosting Provider) ng seguridad ng HTTPS o puwede kang humiling ng SSL/TLS certificate mula sa Mga Awtoridad sa Certificate at ikaw mismo ang mag-install nito. Posibleng kailangang pana-panahong i-renew ang mga SSL/TLS certificate.
Mayroong iba't ibang uri ng mga server sa web, at ang bawat isa ay may sarili nito proseso para sa pag-install at pag-update ng mga SSL/TLS certificate. Kakailanganin mong alamin kung aling server sa web ang ginagamit ng iyong website at sundin ang mga tagubilin nito para sa pag-install at pag-update ng certificate mo.
Awtomatikong nagbibigay, nag-i-install, at nagre-renew ng mga SSL/TLS certificate ang mga sumusunod na serbisyo ng Google nang walang karagdagang bayad:
Maraming 3rd party na web host ang nagbibigay, nag-i-install, at nagre-renew rin ng mga SSL/TLS certificate. Puwede kang gumamit ng anumang web host kasama ng Google Domains, kabilang ang Bluehost, Shopify, Squarespace, Weebly, at Wix.
Alamin kung paano kumonekta sa web host at mag-set up ng HTTPS.
Kung hindi nag-aalok ng seguridad ng HTTPS ang iyong web host, puwede kang kumuha ng SSL/TLS certificate para sa domain mo mula sa Awtoridad sa Certificate (Certificate Authority o CA). May sariling CA ang Google, ang Google Trust Services. Para sa mga customer ng Google Domains, makakakuha ka ng certificate mula sa Google Trust Services sa pamamagitan ng pagsunod sa mga tagubilin sa "page na Seguridad" ng iyong domain.
Ang isa pang sikat na CA na nagbibigay ng mga certificate para makagawa ng mas ligtas na Internet ay Let’s Encrypt.
Kapag nakakuha ka na ng certificate, dapat kang makipagtulungan sa iyong web host para i-install ang certificate. Kung hino-host mo ang iyong site sa mga sarili mong server, alamin kung paano i-enable ang HTTPS. Kung gagamitin mo ang Automatic Certificate Management Environment (ACME) protocol para pamahalaan ang iyong mga certificate, puwede mong sundin ang mga hakbang sa ibaba para pamahalaan ang mga certificate gamit ang ACME at DNS.
Para makakuha ng certificate mula sa Google Trust Services:
- Mag-sign in sa Google Domains.
- Piliin ang domain na gusto mong ikuha ng certificate.
- Sa kaliwang bahagi sa itaas, i-tap ang Menu
Seguridad.
- Sa ilalim ng seksyong “Mga SSL/TLS Certificate para sa iyong domain,” i-expand ang “Google Trust Services.”
- I-click ang Kumuha ng EAB Key.
- May bubukas na dialog na may 2 value, “EAB Key ID” at “EAB HMAC Key."
- Kopyahin ang dalawang value na ito sa pamamagitan ng pag-tap sa mga button na Kopyahin sa tabi ng bawat isa sa mga ito.
- Gamitin ang 2 value na ito para magparehistro ng account sa Google Trust Services CA. Bahagyang nag-iiba ang bawat pagpapatupad ng ACME client depende sa kung paano mo tutukuyin ang EAB na ito. Sumangguni sa dokumentasyon para sa ACME client na gusto mong gamitin.
- Narito ang isang halimbawa ng configuration gamit ang sikat na Certbot ACME client.
- Para magparehistro ng account:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- Kapag nagawa na ang account, puwede kang mag-isyu ng mga certificate sa pamamagitan ng pagpapatakbo ng:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- Para magparehistro ng account:
- Narito ang isang halimbawa ng configuration gamit ang sikat na Certbot ACME client.
- May bubukas na dialog na may 2 value, “EAB Key ID” at “EAB HMAC Key."
Seguridad.Pamahalaan ang mga certificate gamit ang ACME at DNS
Ang Automatic Certificate Management Environment (ACME) ay isang karaniwang protocol na ginagamit para i-automate ang mga certificate ng pamamahala sa pagitan ng Awtoridad sa Certificate (CA) at server. Gamit ang automation, puwedeng mapaliit ng mga user ang posibilidad na magkaroon ng mga outage dahil sa hindi pag-renew ng kanilang mga HTTPS certificate.
Para mapatunayang mayroon kang kontrol sa isang domain name, gumagamit ng mga challenge ang ACME protocol. Sinusuportahan ng Google Domains ang uring DNS-01 challenge sa mga DNS server nito sa pamamagitan ng paggamit ng mga API Token.
Para makagawa ng API Token:
- Mag-sign in sa Google Domains.
- Piliin ang domain na gusto mong gamitin.
- Sa kaliwang bahagi sa itaas, i-tap ang Menu
- Sa ilalim ng seksyong “ACME DNS API,” i-tap ang Gumawa ng token.
MAHALAGA: Isang beses lang ipapakita ang value na ito. Kapag isinara ang dialog, hindi mo na makikita ulit ang API Token na ito. Itabi ang token na ito sa ligtas na lugar dahil magkakaroon ng kakayahang baguhin ang ilang DNS record para sa iyong domain ang sinumang may hawak nito.
- May bubukas na dialog na may “API Token.”
- Kailangan mo ang API Token na ito para makapasok sa iyong ACME client.
- Para kopyahin ang value na ito, i-tap ang button na Kopyahin sa tabi ng API Token.
- Kung hindi mo na-save ang value na ito bago isara ang dialog, puwede mong i-delete na lang ang API Token at gumawa ng bago.
- Puwedeng magkaroon ng hanggang 10 API Token kada domain sa bawat pagkakataon.
- Kapag sumara ang dialog, may lalabas na a record sa listahan. Para bawiin ang access nito, puwede mong i-delete ang token na ito anumang oras.
- Puwedeng gamitin ang API Token sa ACME client na sinusuportahan ang Google Domains ACME DNS API. Bahagyang nag-iiba ang bawat pagpapatupad ng ACME depende sa kung paano mo tutukuyin ang API Token na ito. Sumangguni sa dokumentasyon para sa ACME client na gusto mong gamitin.
- May bubukas na dialog na may “API Token.”
- Certbot sa pamamagitan ng plugin ng komunidad
- Caddy web server
- Certify The Web
- Posh-ACME
Pag-ingatan ang iyong mga SSL/TLS certificate
Nakakatulong ang HTTPS na pigilan ang mga Man in the Middle (MitM) na pag-atake, pero kung magagawa ng isang taong gayahin ang iyong SSL/TLS certificate, posible pa rin ang mga pag-atakeng iyon. Para mapigilan ito, dapat mong suriin ang mga certificate na ibinibigay para sa iyong website na hindi mo nakikilala. Puwede mo ring paghigpitan kung sino ang makakapagbigay ng mga certificate para sa iyong domain sa pamamagitan ng mga resource record ng Certification Authority Authorization (CAA).
Tingnan ang mga certificate na ibinigay para sa iyong domain
Para suriin ang mga certificate na ibinigay para sa iyong domain, puwede kang maghanap sa censys.io.