Wat wordt in deze discussie bedoeld met SSL? Wat zijn TLS-certificaten? Wat zijn de voordelen en toepassingen van SSL/TLS? Wat is het verschil tussen een SSL-certificaat en een TLS-certificaat? Hoe weet je of een website/portal een SSL/TLS-certificaat heeft? Hoe krijg je een gratis SSL-certificaat voor websites die door AWS worden gehost? Hoe vraag je een openbaar SSL-certificaat aan met AWS Certificate Manager? Hoe voeg je DNS-records toe aan je domein? Hoe installeer je je eigen certificaat op de server? Laten we dieper ingaan op het onderwerp om de antwoorden op deze vragen te begrijpen:
Amazon Web Services (AWS) biedt een gratis SSL-certificaat voor websites die bij hen worden gehost en heeft een load balancer aangeschaft. Met AWS Certificate Manager Service kunt u moeiteloos openbare en privé SSL/TLS-certificaten (Secure Sockets Layer/Transport Layer Security) aanbieden, beheren en implementeren voor gebruik met AWS-services en uw intern verbonden resources. Met AWS Certificate Manager kunt u snel een certificaat aanvragen, implementeren op ACM-geïntegreerde AWS-resources, zoals Elastic Load Balancers, Amazon CloudFront-distributies en API's op API Gateway, en AWS Certificate Manager gebruiken om certificaatverlengingen uit te voeren. Het is echter geen eenvoudig proces om toegang te krijgen tot de gratis SSL/TLS-certificaten en deze te implementeren vanuit AWS Certificate Manager. Laten we eerst in het onderstaande artikel eens kijken wat SSL- en TLS-certificaten zijn:
Wat is SSL?
SSL staat voor Secure Sockets Layer; het is de standaardtechnologie voor het beveiligen van een internetverbinding en het beschermen van gevoelige gegevens die tussen twee systemen worden verzonden. De twee systemen kunnen server-naar-client zijn (bijvoorbeeld een winkelwebsite en browser) of server-naar-server (bijvoorbeeld een applicatie met persoonlijk identificeerbare informatie of salarisgegevens). Een SSL-certificaat is een digitaal certificaat of een elektronisch document dat bewijs levert van het eigendom van de publieke sleutel. Dit certificaat is een belangrijke indicatie voor de gebruiker dat wachtwoorden, contactgegevens en creditcardnummers veilig blijven wanneer ze van de browser van de client naar de webserver van de website worden verzonden.
Wat is TLS?
TLS staat voor Transport Layer Security, een bijgewerkte en veiligere versie van SSL. TLS is een cryptografisch protocol dat een gecodeerde sessie tussen applicaties via internet tot stand brengt. TLS-certificaten bevatten doorgaans de volgende informatie:
- De onderwerp-domeinnaam
- De onderwerporganisatie
- De naam van de uitgevende CA
- Aanvullende of alternatieve onderwerpdomeinnamen, inclusief subdomeinen, indien van toepassing
- Datum van uitgave
- Vervaldatum
- De publieke sleutel (de privésleutel blijft echter geheim).
- De digitale handtekening van de CA
Hoe werkt TLS?
TLS maakt gebruik van een combinatie van symmetrische en asymmetrische cryptografie, omdat dit zorgt voor een goede balans tussen prestaties en beveiliging bij veilige gegevensoverdracht. Een TLS-certificaat is de opvolger van het SSL-certificaat.
De termen worden echter vaak door elkaar gebruikt, aangezien SSL inmiddels synoniem is geworden met website-encryptie en beveiliging.
Lees meer over certificaatbeheer, SSL- en TLS-certificaatbeheer in het onderstaande blogartikel:
Hoe krijg ik een gratis SSL-certificaat voor door AWS gehoste sites?
AWS biedt een gratis openbaar certificaat voor je gehoste website als je AWS Certificate Manager en andere Amazon-services gebruikt. Je hebt een aangepast domein nodig voor een AWS-account. AWS Certificate Manager kan worden gebruikt om Secure Socket Layer (SSL)/Transport Layer Security (TLS)-certificaten te verkrijgen. Houd er rekening mee dat er slechts één certificaat kan worden toegevoegd aan een Django-app die is geïmplementeerd in een EB-omgeving. Voeg daarom alle benodigde domeinen toe aan dat ene certificaat. AWS staat geen wijzigingen toe aan een geverifieerd certificaat, dus maak een nieuw certificaat aan als je een nieuw domein wilt toevoegen.
Stappen voor het installeren van een gratis SSL-certificaat in AWS Hosted Certificate
Je moet een app of website op AWS hosten om het gratis SSL-certificaat van Amazon te krijgen. De website/app moet een eigen poort hebben en volledige controle erover hebben. Het ontwikkelde platform voor de app/website is niet relevant.
Stap 1: Een Amazon EC2-instantie instellen
- Log in op de Amazon-console en kies onder het tabblad 'Services' de optie 'EC2'. Klik vervolgens op de knop 'Instance starten'. Hiermee wordt een instance aangemaakt.
- De volgende stap is het kiezen van een Amazon Machine Image (AMI) om het besturingssysteem te selecteren dat de instantie moet gebruiken.
- Kies vervolgens de RAM-vereisten, verwerkingskracht, grootte en het type voor uw serverinstantie. U kunt ook de standaardinstellingen selecteren.
- Klik vervolgens op de knop "Starten", waar je de mogelijkheid krijgt om een nieuwe sleutel te selecteren. Maak een nieuwe sleutel aan (of gebruik een oude als je nog toegang hebt tot het .pem-bestand en deze wilt gebruiken) en geef hem een naam. Download de sleutel en bewaar hem op een gemakkelijk toegankelijke plek op je computer (ik bewaar hem meestal in ~/).
- Verander de directory met "cd" in je terminal, wijs naar de locatie van het .pem-bestand en klik op de knop Verbinden. Nu kun je de code klonen vanaf je bronlocatie of GitHub, eventuele afhankelijkheden installeren en de server starten.
Stap 2: Uw AWS Elastic IP-adres instellen
De volgende stap is het verkrijgen van een IP-adres voor de instance die in AWS is gemaakt om de website/app openbaar beschikbaar te maken. Hiervoor zijn elastische IP-adressen in AWS vereist. De optie om een elastisch IP-adres aan te maken, staat in het linkerpaneel. Zoek deze optie en open de pagina. Klik op 'Nieuw adres toewijzen'. Wanneer de EC2-instance die u zojuist hebt gemaakt in de lijst verschijnt, klikt u erop met CTRL-toets en selecteert u 'Adres koppelen'. Selecteer vervolgens de instance die u zojuist hebt gemaakt en klik op 'Koppelen'.
Bewerk de beveiligingsgroep en voeg "Port_Num" toe met het type "http" om poorttoegang toe te staan. U kunt uw site bezoeken met het formaat " : ".
Je hebt je website/app nu succesvol geïmplementeerd in AWS. Om de beveiliging te verbeteren, moet je het SSL-certificaat op je website implementeren.
Stap 3: Een gratis SSL-certificaat instellen op een door AWS gehoste site
Amazon Certificate Manager helpt bij het aanmaken en gebruiken van gratis openbare certificaten voor je website/app die op Amazon wordt gehost. De enige vereiste is dat je een domein hebt aangemaakt in AWS, wat je al hebt gedaan. Een van de diensten die AWS aanbiedt, is een certificaatbeheerder voor SSL/TLS-certificaten. Laten we nu eens kijken naar de stappen voor het instellen van een SSL-certificaat voor verbeterde beveiliging van je website/app die op AWS wordt gehost.
- Zoek naar “AWS certificaatbeheerder” wanneer u bent ingelogd op de AWS-startpagina.
- U vindt de optie onder het kopje 'Beveiliging, identiteit en naleving' van 'Alle services'. Klik op de certificaatbeheerder.
- Om een gratis openbaar certificaat te installeren, klikt u op de knop 'Aan de slag' onder 'Certificaten inrichten' op de startpagina van AWS Certificate Manager.
- Er is een openbaar certificaat nodig, omdat dit door browsers en besturingssystemen wordt vertrouwd.
- Klik op ‘Certificaat aanvragen’ om verder te gaan.
- De volgende belangrijke stap is het toevoegen van uw domeinnamen aan het certificaat. Houd er rekening mee dat u beide domeinnaamformaten moet toevoegen zoals aangegeven: voeg "www.domeinnaam.com" en "domeinnaam.com" toe.
- U kunt maximaal 10 domeinnamen, inclusief subdomeinen, toevoegen aan één AWS-certificaat. Klik op "Volgende" nadat u alle relevante domeinnamen hebt toegevoegd.
- De volgende stap is het selecteren van de validatiemethode. U kunt kiezen voor validatie door een DNS-record toe te voegen aan de DNS-configuratie op de webhostingsite of via e-mail. Als u redelijk bekend bent met DNS-records en webhosting en toegang hebt om de records van de website te wijzigen, kiest u 'DNS-validatie'. Als u geen toegang hebt om records te wijzigen via een webhostingsite, kiest u 'E-mailvalidatie'. Klik op 'Volgende' wanneer u klaar bent om verder te gaan.
- De volgende stap is optioneel. U kunt ervoor kiezen om metadata aan uw certificaten toe te wijzen om ze beter te beheren. Klik op 'Controleren' om door te gaan naar de volgende stap.
- Het is tijd om de geselecteerde opties voor het certificaat te bekijken. Controleer nogmaals of de domeinnaam correct gespeld is en of de andere gegevens correct zijn. U kunt uw certificaat niet meer wijzigen nadat het is aangemaakt, dus zorg ervoor dat u eventuele fouten nu corrigeert. Klik als u klaar bent op 'Bevestigen en aanvragen'.
- De laatste stap is validatie. Zodra de DNS-records zijn gegenereerd, ziet u uw domeinen met de validatiestatus 'In afwachting van validatie'.
Wat zijn de voordelen van het gebruik van een gratis SSL-certificaat op een door AWS gehoste site?
Met de evolutie van het internet en technologieën zoals cloudhosting is het gemak van zakendoen toegenomen. Naast de voordelen zijn er ook verschillende bedreigingen voor bedrijven. Het gebruik van een SSL-certificaat creëert een gevoel van vertrouwen bij uw klanten. Er zijn talloze voordelen verbonden aan het gebruik van het gratis SSL-certificaat van AWS. Enkele daarvan worden hieronder besproken:
-
Beveiliging van uw website/applicatie
HTTPS geeft aan dat uw website een SSL-certificaat heeft geïnstalleerd. Het helpt u beveiligingsinbreuken te voorkomen en secundaire authenticatie te verkrijgen in de vorm van Publieke Sleutel Infrastructuur (PKI)Het is nuttig om informatie alleen naar de ontvangende server te sturen.
-
authenticatie
SSL zorgt ervoor dat de juiste website wordt bezocht tijdens het uploaden van bestanden en documenten. Het houdt ook rekening met de validatie van doelservers tijdens het uploaden van deze bestanden.
-
Vertrouwen van de klant
Klanten die uw website bezoeken, krijgen meer vertrouwen als ze de website bezoeken om gevoelige informatie te uploaden.
-
Encryptie
Gevoelige gegevens kunnen worden versleuteld tijdens de uitwisseling tussen twee apparaten.
-
Preventie van datalekken
Een SSL-certificaat op uw website kan aanvallen zoals phishing, man-in-the-middle-aanvallen, enz. voorkomen. Deze aanvallen nemen dagelijks toe op het internet en het beveiligen van uw website tegen deze aanvallen is een verplichte vereiste. Aanvallen zoals phishing maken gebruik van het klonen van een webpagina, en het is onwaarschijnlijk dat een webpagina met een SSL-certificaat kan worden gerepliceerd. Ook dit scenario wordt dus vermeden.
-
Regelgevingsnaleving via SSL
Om te voldoen aan de normen van de Payment Card Industry (PCI) moet een online bedrijf minimaal een 128-bits SSL-certificaat met de juiste encryptie hebben. De PCI-standaarden verplichten het ook om het SSL-certificaat aan te schaffen bij een vertrouwde bron. Volgens hun richtlijnen moet een website de juiste encryptie gebruiken om kaartbetalingen te kunnen verwerken. Deze richtlijnen verplichten de website ook om een privéverbinding te bieden op elke pagina waar klanten persoonlijke of gevoelige informatie moeten invoeren.
Dit is een goede mogelijkheid die AWS biedt in de vorm van een gratis SSL-certificaat. Naast het gratis SSL-certificaat kunt u ook uw eigen SSL-certificaat aanschaffen. Er zijn verschillende soorten SSL-certificaten beschikbaar.
Lees het onderstaande gedetailleerde blogartikel over SSL/TLS-certificaten voor een beter begrip:
AWS Consulting/Managed PKI/CodeSign Secure van Encryption Consulting
Encryptie Consulting LLC (EC) ontlast de Public Key Infrastructure-omgeving volledig. Dit betekent dat EC de PKI-infrastructuur bouwt en beheert voor de PKI-omgeving (on-premises, PKI in de cloud, cloudgebaseerde hybride PKI-infrastructuur) van uw organisatie. Naast PKI assisteert Encryption Consulting u ook bij het uitvoeren van het AWS-consultingproces voor uw websites die op AWS worden geïmplementeerd. EC kan daarnaast ook de beoordeling en implementatie van certificaatbeheer verzorgen, geheel volgens uw wensen.
Encryption Consulting implementeert en ondersteunt uw PKI met behulp van een volledig ontwikkelde en geteste set procedures en gecontroleerde processen. Beheerdersrechten voor uw Active Directory zijn niet vereist en u behoudt altijd de controle over uw PKI en de bijbehorende bedrijfsprocessen. Bovendien worden de CA-sleutels om veiligheidsredenen bewaard in FIPS 140-2 Niveau 3 HSM's gehost in uw beveiligde datacenter of in ons Encryption Consulting-datacenter in Dallas, Texas.
Conclusie
Met AWS-consulting, certificaatbeheer, PKI-as-a-Service (ook wel managed PKI) van Encryption Consulting profiteert u van alle voordelen van een goed beheerde PKI, zonder de operationele complexiteit en kosten van de software en hardware die nodig zijn om alles draaiende te houden. Uw teams behouden nog steeds de controle die ze nodig hebben over de dagelijkse gang van zaken, terwijl ze back-end taken uitbesteden aan een vertrouwd team van experts.
