用于在线业务的安全套接字层(SSL)的A-to-Z指南

更新日期:12年2020月XNUMX日/撰写者:Timothy Shim

建立一种关系需要信任,对于双方最有可能并且永远不会见面的关系来说,这种关系要强烈得多。 信任互联网 是最重要的,尤其是如果这种关系是交易性的; 涉及金钱的地方。 甚至更深层次的事实是 数据是新的黄金因此,我们在网上做的几乎所有事情都需要保证安全。

建立这种信任关系并不容易,但是压力越来越大 网站所有者创建一个环境 这让他们的用户感到安全。 SSL证书是实现此目的的一个关键手段,因为它们向用户保证他们与该网站的连接是安全的。

对于最终用户,他们需要验证这一点是他们的浏览器上显示的简单图标。 对于网站所有者来说,它有点复杂,但并非必须如此。

表的内容

另请阅读–在哪里购买SSL证书

什么是安全套接字层(SSL)?

SSL是一种安全协议,可确保用户计算机与其访问的站点之间的连接是安全的。 在连接期间,许多信息在两台计算机之间传递,包括可能是高度机密的数据,如信用卡号,用户标识号甚至密码。

在正常情况下,此数据以纯文本形式发送,这意味着如果连接被第三方拦截,则该数据可能被盗。 SSL通过强制在两端连接期间使用加密算法来防止这种情况。

挂锁或绿色挂锁图标已成为用户的保证指示,他们正在访问的网站严肃对待他们的安全。

在不同的Internet浏览器上指示SSL。
在不同的Internet浏览器上指示SSL。

为什么我们需要SSL证书?

本来要问的常见问题是“我们需要SSL证书”。

典型的答案是'它取决于'。 毕竟,为什么不需要处理敏感财务相关数据的网站需要如此安全?

不幸的是,如前所述,数字时代意味着除了即时现金外,今天的黑客越来越多地开始追求个人信息。

谷歌因素

认识到这一点,从7月2018开始,Google将所有标准HTTP页面标记为非安全。 这一点很重要,因为这意味着谷歌认为不安全的网站可能会遭受搜索排名惩罚。 网站在流量上茁壮成长,如果您没有出现在Google列表中,那么您在网站流量方面的收益就不会太多。

亲们的提示

如果排名有所改善,则可以忽略不计。 尽管如此,拥有SSL仍然是一个聪明的举动。

这是一个信任信号,它避免了Chrome在您的网站上显示“不安全”的可能性。 尽管目前的直接排名优势可能很小,但将来可能会变得更加重要。

我最初没有切换到SSL。 我听过很多关于交通鼻子潜水但没有恢复的恐怖故事。 幸运的是,事实并非如此。 交通量略有下降约一周,然后回来。

– Adam Connell, 博客向导

谷歌在线安全博客截至2018开头,Android和Windows上68%的Chrome流量受到保护,网络上顶级81网站的100默认使用HTTPS。

通过Google Chrome在不同平台上进行HTTPS连接。
Chrome平台在HTTPS上通过HTTPS加载的百分比。 Android上64%的Chrome流量现已受到保护。 ChromeOS和Mac上的75%Chrome流量现已受到保护。 与一年前相比,这三个数字均显示出显着增长。

目前,您可能还不需要SSL证书,但认真考虑实施SSL证书可能是明智之举。 虽然目前谷歌只发布警告并惩罚搜索排名,但考虑到今天的网络安全状况,它可能不会就此止步。

也可以参考: SEO新手指南

SSL如何工作

简单地说,创建连接有三个主要组成部分;

  1. 客户端 - 这是请求信息的计算机。
  2. 服务器 - 保存客户端请求的信息的计算机。
  3. 连接 - 数据在客户端和服务器之间传输的路径。
SSL的工作原理 -  HTTP和HTTPS之间的区别。
HTTP与HTTPS连接(来源: Sucuri)

要与SSL建立安全连接,还需要了解一些术语。

  • 证书签名请求(CSR) - 这会在服务器上创建两个密钥,一个私有密钥和一个公共密钥。 这两个键协同工作以帮助建立安全连接。
  • 证书颁发机构(CA) - 这是SSL证书的颁发者。 有点像一个拥有可信网站数据库的安全公司。

请求连接后,服务器将创建CSR。 然后,此操作将包含公钥的数据发送到CA. 然后,CA创建与私钥匹配的数据结构。

SSL证书最关键的部分是它由CA进行数字签名。 这一点至关重要,因为浏览器只信任由非常具体的CA列表签名的SSL证书,例如 威瑞信 or DigiCert。 CA的列表经过严格审查,并且必须符合浏览器设置的安全性和身份验证标准。

SSL证书的类型

浏览器识别SSL证书(此图像中显示EV证书)并激活浏览器界面安全增强功能。

尽管所有SSL证书都是为同一目的而设计的,但并非所有证书都相同。 想想就像买手机一样。 所有手机基本上都是为了做同样的事情而设计的,但是有不同的公司制造它们并以不同的价格生产许多不同的型号。

为简化问题,我们按信任级别细分SSL证书类型。

1-域验证(DV)证书 

在SSL证书中,域验证证书是最基本的,只是向用户保证站点是安全的。 除了这个简单的事实之外没有太多细节,许多安全组织不建议对处理商业交易的网站使用域验证证书。 域验证证书是SSL世界的预算智能手机。

2-组织验证(OV)证书

CA认证的组织证书持有者比域认证证书持有者更严格。 实际上,这些证书的所有者是由专职人员进行身份验证的,他们会根据政府运营的业务注册表对其进行验证。 OV证书包含有关持有它们的业务的信息,通常用于商业网站,代表SSL世界的中端智能手机。

3-扩展验证(EV)证书

EV证书代表了对SSL排名的最高信任度,它选择了最优秀且经过严格审查的最佳证书。 通过选择使用EV证书,这些网站正在深入购买消费者信任。 这些是SSL世界的iPhoneX。

事实上,SSL认证已经成为如此强烈推荐的事实,许多欺诈网站也采用了SSL。 毕竟,除绿色认证挂锁外,网站几乎没有什么区别。 这是更多信誉良好的组织进行更严格审核的SSL认证的关键原因。

由于任何成功的SSL连接都会导致出现挂锁图标,因此用户不太可能知道网站所有者是否已经过验证。 因此,欺诈者(包括网络钓鱼网站)已开始使用SSL为其网站增加感知可信度。 - 维基百科上的数据.

从哪里获得SSL 证书?

要获得SSL证书,您需要转到证书颁发机构(CA)。

证书颁发机构(CA)就像私人安全公司一样。 他们是颁发数字证书以促进SSL建立过程的人。 它们还属于满足详细条件以保持其在该列表中的位置的有限企业列表。 保留在该列表中位置的CA可以颁发SSL证书-因此该列表是唯一的。

这个过程并不像听起来那么简单,因为在颁发证书之前,CA必须检查申请它的网站的身份。 这些检查的详细程度取决于所应用的SSL类型。

是什么使证书颁发机构(CA)出色?

最好的CA是那些已经从事业务一段时间并遵循业务最佳实践的CA,不仅是为了自己,也为了与业务相关的任何合作伙伴。 理想情况下,他们还应该能够展示该领域的成熟专业知识。

寻找符合当前标准的CA,积极参与安全行业并拥有尽可能多的资源来支持其客户。

一个好的CA也将:

  • 验证时间相当短
  • 方便客户使用
  • 得到很大的支持

推荐证书颁发机构

NameCheap提供了全部SSL证书,因此无论您的要求或预算如何,您都可以找到。 Standard Domain Validation certificates start from $8.88 per year, but there are also premium certificates that go for up to $169 per year (标准网域验证证书的价格从每年$ XNUMX起,但也有一些高级证书,每年的价格高达$ XNUMX(在线访问).

SSL.comNameCheap 是我需要购买SSL证书时最喜欢去的地方。 或者,查看此最佳SSL证书提供商列表。

让我们免费加密SSL

对于那些经营个人或业余爱好网站或任何非商业网站的人来说,谷歌可以为您提供服务。

让我们加密 是一个可信的CA,它是开放的,可以免费使用()。 不幸的是,它只发布了经过域验证或DNS验证的证书,并没有计划将其扩展到OV或EV。 这意味着他们的证书只能验证所有权而不是控股公司。 如果你是一个商业网站,这是主要的缺点。

在某些托管公司(例如, GreenGeeks)。 如果您打算使用Let's Encrypt Free SSL,则最好使用这些Web主机之一进行托管。

有趣的读物: GreenGeeks评论

GreenGeeks提供免费的“让我们加密SSL”,并在其用户仪表板上提供易于使用的安装程序。

如何安装SSL证书

cPanel的SSL安装

程序:

  1. 在“安全”选项下,点击“SSL / TLS管理器”
  2. 在“安装和管理SSL”下,选择“管理SSL网站”
  3. 复制您的证书代码,包括-BEGIN CERTIFICATE-和-END CERTIFICATE-,然后将其粘贴到“ Certificate:(CRT)”字段中。
  4. 点击“按证书自动填充”
  5. 将中间证书链(CA Bundle)复制并粘贴到Certificate Authority Bundle(CABUNDLE)下的框中
  6. 点击“安装证书”

*注意:如果您不使用专用IP地址,则必须从“IP地址”菜单中选择一个。

Plesk的SSL安装

程序:

  1. 转到网站与域名选项卡,然后选择您要为其安装证书的域。
  2. 点击“保护您的网站”
  3. 在“上载证书文件”部分下,单击“浏览”,然后选择所需的证书和CA捆绑文件。
  4. 点击“发送文件”
  5. 返回“网站与域名”,然后单击要安装证书的域的“主机设置”。
  6. 在“安全”下,应该有一个下拉菜单供您选择证书。
  7. 确保选中“SSL支持”框。
  8. 确保单击“确定”以保存更改

要验证您的安装是否成功,您可以使用它 免费的SSL验证工具.

更新您网站的内部链接

如果检查网站的内部链接,您会发现它们都使用HTTP。 显然,这些需要更新为HTTPS链接。 现在,通过几个步骤,我们将向您展示一种使用重定向技术在全局范围内执行此操作的方法。

但是,最佳做法是将内部链接从HTTP更新为HTTPS。

如果你有一个只有几页的小网站,不应该花太长时间。 但是,如果您有数百页,则需要很长时间,因此您最好使用工具自动执行此操作以节省时间。 如果您的站点在数据库上运行,请执行 数据库搜索和替换使用此免费脚本。

更新指向您网站的链接

如果您有外部网站链接到您,切换到HTTPS后,他们将指向HTTP版本。 我们将在几个步骤中设置重定向,但如果有任何外部网站您可以控制您的配置文件,那么您可以更新URL以指向HTTPS版本。

这些的好例子是您的社交媒体配置文件以及您拥有受您控制的个人资料页面的任何目录列表。

有趣的读物: 在哪里托管您的小型企业网站

设置301重定向

好的,对于技术人员,如果你对这类事情没有信心,那么肯定是时候得到一些专家帮助。 它非常简单,事实上并没有花太多时间,但你只需要知道你在做什么。

使用301重定向,您正在做的就是告诉Google特定页面已被永久移动到另一个地址。 在这种情况下,您将告诉Google您网站上的所有HTTP页面现在都是HTTPS,因此它将Google重定向到正确的页面。

对于大多数使用Linux网络托管的用户,这将通过.htaccess文件完成(请参见下面的代码– 根据Apache推荐).

 ServerName www.example.com重定向“/”“https://www.example.com/”

更新您的CDN SSL

这实际上是一个可选步骤,因为不是每个人都使用CDN。 CDN代表Content Delivery Network,它是一组地理位置分散的服务器,用于存储Web文件的副本,并通过地理位置紧密的服务器将其呈现给访问者,以提高为其加载的速度。

除了性能改进之外,CDN还可以提供更好的安全性,因为它的服务器可以监控和识别恶意流量并阻止它到达您的网站。

流行的CDN的一个例子是 CloudFlare的.

无论哪种方式,只要询问您的托管公司是否使用CDN。 如果你不好,那就继续下一步。

如果您是,那么您需要联系CDN并询问他们更新SSL的说明,以便他们的CDN系统能够识别它。

常见的SSL证书错误和快速解决方案

1. SSL证书不受信任

几乎所有的浏览器都广泛使用如 , 微软边缘, Mozilla Firefox浏览器苹果Safari 已内置存储库,用于识别受信任的SSL证书。

如果您收到一条消息,指出某个站点的证书不受信任,请谨慎操作,因为这可能意味着所存在的证书未由受信任的CA签名。

2.缺少中间SSL证书

此错误通常是由错误安装的SSL证书引起的。 安装过程中的错误可能会导致一些SSL连接错误。 应该有一个'信任链'意味着签署过程中的所有必要组件应该不间断地运行。

如果您是网站所有者并遇到此错误,请尝试参阅“我已介绍过的部分”。SSL安装“。

3.自签名证书的问题

为了规避SSL问题,一些网站所有者创建了自己的SSL证书。 这是可能的,但没有太大的区别,因为它不会由受信任的CA签名。 可能使用自签名证书的唯一时间是在测试或开发环境中。 具有自签名证书的站点不会显示为安全。

4.混合内容错误 

这是配置问题。 要使SSL证书有效,您网站上的每个页面和文件都应与HTTPS链接。 这不仅包括页面,还包括图像和文档。 如果单个页面未进行HTTPS链接,则该站点将遇到混合内容错误并恢复为HTTP。

要避免这些问题,请确保使用HTTPS链接更新所有链接。

总结

在一天结束时,SSL证书是一个双赢的局面。 是的,谷歌这样的大企业可能会强迫我们这样做,但实际上很少有下行空间。

只需很小的价格,您就可以向客户保证其数据和隐私的安全性。 另一方面,客户可以重新获得对数字技术的信心,这个领域越来越受到黑客,垃圾邮件发送者和其他网络犯罪分子的攻击。

电子商务是数字经济的关键支柱之一,现在比以往任何时候都更有助于增加跨境贸易。 通过保持数据的安全性,作为网站所有者,您也可以亲自为互联网安全做出贡献。

最后,在选择您的SSL时,尽量避免只关注价格,并尽量在您感到迷茫或困惑时始终回复一个简单的单词; 信任。

当你准备好的时候: 最好的网站购买便宜的SSL证书


收益披露

WHSR收到本页提到的公司的推荐费用。 我们的意见基于实际经验和实际的服务器数据。 请阅读我们的评论政策页面 了解我们的主机评论和系统评级是如何运作。

关于Timothy Shim

Timothy Shim是一位作家,编辑和技术爱好者。 从信息技术领域开始他的职业生涯,他迅速进入印刷领域,并与国际,地区和国内媒体合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的专长在于消费者和企业的技术领域。