用于在线业务的安全套接字层(SSL)的A-to-Z指南

文章撰写者:
  • 托管指南
  • 更新:May 10,2019

建立一种关系需要信任,对于双方最有可能并且永远不会见面的关系来说,这种关系要强烈得多。 信任互联网 是最重要的,尤其是如果这种关系是交易性的; 涉及金钱的地方。 甚至更深层次的事实是 数据是新的黄金因此,我们在网上做的几乎所有事情都需要保证安全。

建立这种信任关系并不容易,但是压力越来越大 网站所有者创建一个环境 这让他们的用户感到安全。 SSL证书是实现此目的的一个关键手段,因为它们向用户保证他们与该网站的连接是安全的。

对于最终用户,他们需要验证这一点是他们的浏览器上显示的简单图标。 对于网站所有者来说,它有点复杂,但并非必须如此。

表的内容


FTC披露

WHSR收到本页提到的公司的推荐费用。 我们的意见基于实际经验和实际的服务器数据。 请阅读我们的评论政策页面 了解我们的主机评论和系统评级是如何运作。


什么是安全套接字层(SSL)?

SSL是一种安全协议,可确保用户计算机与其访问的站点之间的连接是安全的。 在连接期间,许多信息在两台计算机之间传递,包括可能是高度机密的数据,如信用卡号,用户标识号甚至密码。

在正常情况下,此数据以纯文本形式发送,这意味着如果连接被第三方拦截,则该数据可能被盗。 SSL通过强制在两端连接期间使用加密算法来防止这种情况。

挂锁或绿色挂锁图标已成为用户的保证指示,他们正在访问的网站严肃对待他们的安全。

在不同的Internet浏览器上指示SSL。

为什么我们需要SSL证书?

最初要问的常见问题是“我们是否需要SSL证书”。

典型的答案是'它取决于'。 毕竟,为什么不需要处理敏感财务相关数据的网站需要如此安全?

不幸的是,如前所述,数字时代意味着除了即时现金外,今天的黑客越来越多地开始追求个人信息。

谷歌因素

认识到这一点,从7月2018开始,Google将所有标准HTTP页面标记为非安全。 这一点很重要,因为这意味着谷歌认为不安全的网站可能会遭受搜索排名惩罚。 网站在流量上茁壮成长,如果您没有出现在Google列表中,那么您在网站流量方面的收益就不会太多。

亲们的提示

如果排名有所改善,则可以忽略不计。 尽管如此,拥有SSL仍然是一个聪明的举动。

这是一个信任信号,它可以避免Chrome在您的网站上显示“不安全”的可能性。 虽然直接排名的好处目前可能很小,但未来可能会更加重要。

我最初没有切换到SSL。 我听说过很多关于交通鼻子潜水并且没有恢复的恐怖故事。 幸运的是,事实并非如此。 交通量略有下降约一周,然后又回来了。

- Adam Connell, 博客向导

谷歌在线安全博客截至2018开头,Android和Windows上68%的Chrome流量受到保护,网络上顶级81网站的100默认使用HTTPS。

通过Google Chrome在不同平台上进行HTTPS连接。
Chrome平台在HTTPS上通过HTTPS加载的百分比。 Android上64%的Chrome流量现已受到保护。 ChromeOS和Mac上的75%Chrome流量现已受到保护。 与一年前相比,这三个数字均显示出显着增长。

目前,您可能还不需要SSL证书,但认真考虑实施SSL证书可能是明智之举。 虽然目前谷歌只发布警告并惩罚搜索排名,但考虑到今天的网络安全状况,它可能不会就此止步。

SSL如何工作

简单地说,创建连接有三个主要组成部分;

  1. 客户端 - 这是请求信息的计算机。
  2. 服务器 - 保存客户端请求的信息的计算机。
  3. 连接 - 数据在客户端和服务器之间传输的路径。
SSL的工作原理 -  HTTP和HTTPS之间的区别。
HTTP与HTTPS连接(来源: Sucuri)

要与SSL建立安全连接,还需要了解一些术语。

  • 证书签名请求(CSR) - 这会在服务器上创建两个密钥,一个私有密钥和一个公共密钥。 这两个键协同工作以帮助建立安全连接。
  • 证书颁发机构(CA) - 这是SSL证书的颁发者。 有点像一个拥有可信网站数据库的安全公司。

请求连接后,服务器将创建CSR。 然后,此操作将包含公钥的数据发送到CA. 然后,CA创建与私钥匹配的数据结构。

SSL证书最关键的部分是它由CA进行数字签名。 这一点至关重要,因为浏览器只信任由非常具体的CA列表签名的SSL证书,例如 威瑞信 or DigiCert。 CA列表经过严格审查,必须符合浏览器设置的安全和身份验证标准。

SSL证书的类型

浏览器识别SSL证书(此图像中显示EV证书)并激活浏览器界面安全增强功能。

尽管所有SSL证书都是为同一目的而设计的,但并非所有证书都相同。 想想就像买手机一样。 所有手机基本上都是为了做同样的事情而设计的,但是有不同的公司制造它们并以不同的价格生产许多不同的型号。

为简化问题,我们按信任级别细分SSL证书类型。

1-域验证(DV)证书

在SSL证书中,域验证证书是最基本的,只是向用户保证站点是安全的。 除了这个简单的事实之外没有太多细节,许多安全组织不建议对处理商业交易的网站使用域验证证书。 域验证证书是SSL世界的预算智能手机。

2-组织验证(OV)证书

CA认证的组织证书持有者比域认证证书持有者更严格。 实际上,这些证书的所有者是由专职人员进行身份验证的,他们会根据政府运营的业务注册表对其进行验证。 OV证书包含有关持有它们的业务的信息,通常用于商业网站,代表SSL世界的中端智能手机。

3-扩展验证(EV)证书

EV证书代表了对SSL排名的最高信任度,它选择了最优秀且经过严格审查的最佳证书。 通过选择使用EV证书,这些网站正在深入购买消费者信任。 这些是SSL世界的iPhoneX。

事实上,SSL认证已经成为如此强烈推荐的事实,许多欺诈网站也采用了SSL。 毕竟,除绿色认证挂锁外,网站几乎没有什么区别。 这是更多信誉良好的组织进行更严格审核的SSL认证的关键原因。

由于任何成功的SSL连接都会导致出现挂锁图标,因此用户不太可能知道网站所有者是否已经过验证。 因此,欺诈者(包括网络钓鱼网站)已开始使用SSL为其网站增加感知可信度。 - 维基百科上的数据.

如何选择正确的证书颁发机构

证书颁发机构就像私人保安公司。 他们是发布促进SSL建立过程的数字证书的人。 它们也属于有限的企业列表,这些企业符合详细标准以保持其在该列表中的位置。 在该列表中保留其位置的CA可以颁发SSL证书 - 因此该列表是独占的。

这个过程并不像听起来那么简单,因为在颁发证书之前,CA必须检查申请它的网站的身份。 这些检查的详细程度取决于所应用的SSL类型。

最好的CA是那些已经从事业务一段时间并遵循业务最佳实践的CA,不仅是为了自己,也为了与业务相关的任何合作伙伴。 理想情况下,他们还应该能够展示该领域的成熟专业知识。

寻找符合当前标准的CA,积极参与安全行业并拥有尽可能多的资源来支持其客户。

一个好的CA也会;

  • 验证时间相当短
  • 方便客户使用
  • 得到很大的支持

要考虑的信誉良好的SSL提供商列表

*注意:功能反映了服务提供商提供的基本计划。 有关详细计划,请访问各个服务提供商。

1- SSL.com

SSL.com已经为思科和惠普等主要组织提供SSL证书,现已接近20年。

这个强大的历史由每个已颁发的证书提供保修,其金额取决于您购买的证书,范围从$ 10,000到$ 2百万。

SSL.com

显着特点

  • 自动验证
  • 99%浏览器兼容性
  • 无限制的服务器许可证
  • 无限次重新发行和关键对
  • 包括WWW
  • 激活SSL安全站点密封
  • 2048位加密
  • 30日无条件退款
  • 90-day礼貌结转保险

价格从$ 36.75 /年起

网站: https://www.ssl.com


2- Comodo

Comodo已经被企业和消费者称为网络安全解决方案提供商,涵盖了从个人到大型企业的各种用户兴趣。

提供高达2048位加密,Comodo认证是值得信赖的,并提供电话支持和最高$ 250,000保修。 你可以用$ 99.95获得他们的包裹。

Comodo SSL

显着特点

  • 快速在线自动验证
  • 256位加密,2048位根
  • 99.9%浏览器识别
  • SSL证书管理工具
  • PCI扫描服务
  • Trustlogo网站印章
  • 电话,邮件和网络支持
  • 网站漏洞扫描
  • 30天退款保证

价格从$ 99.95

网站: https://www.comodo.com

*注意:Comodo SSL也直接在 InMotion HostingHostGator的 - 您可以直接从您的网络托管服务商处购买。


3- GoDaddy

许多网站所有者已经知道并信任的名称,GoDaddy使用SSL证书补充其服务,其价格低至$ 75.15。 因为它出售它 虚拟主机 套餐,也有机会优惠初次购买SSL证书,续订时费用更高。 这使得GoDaddy成为网站所有者的一站式服务提供商。

Godaddy SSL

显着特点

  • 获得一个网站
  • SHA2和2048位加密
  • 提供DV,OV和EV SSL证书
  • EV SSL将浏览器栏变为绿色
  • McAfee SECURE信任标志

价格从$ 75.15 /年起

网站: https://www.godaddy.com/


4- NameCheap

另一个网站托管和域名提供商,如GoDaddy,NameCheap提供全面的SSL证书,因此无论您的要求或预算如何,您都可以在那里找到一些东西。 标准域验证证书每年从$ 8.88开始,但也有高级证书,每年最高可达$ 169。

显着特点

  • 域验证
  • 单个域
  • 256位加密

价格从$ 8.88 /年起

网站: https://www.namecheap.com/security


5- DigiCert

作为SSL中最古老和最强大的名字之一,DigiCert被互联网上的大多数顶级狗使用,包括微软,维基百科和亚马逊。 它们也提供高达2048位的加密,并在最低端以每年$ 175的速率提供时钟。

显着特点

  • 支持24 / 7
  • 256位加密
  • 受99.9%以上浏览器的信任
  • 全球客户服务评级最高的CA.
  • 证书有效期内免费重发和更换

价格从$ 175 /年起

网站: https://www.digicert.com


6- GeoTrust

对于那些可能不愿意使用DigiCert价格的人来说,GeoTrust也是一个行业坚定的选择。 基本保护从$ 149开始,即使使用最基本的选项也可获得$ 500,000保修。 超过100,000国家的150客户已承诺采用GeoTrust保护。

GeoTrust SSL

显着特点

  • 最多256位加密
  • 2048位根
  • 备用名称(SAN)多域支持
  • 快速域验证
  • 99 +%浏览器兼容性
  • $ 500,000保修

价格从$ 149 /年起

网站: https://www.geotrust.com/


7-网络解决方案

凭借每年$ 59.99起的SSL证书,Network Solutions令人印象深刻,因为它即使在这个价格下也提供$ 10,000的保修。 但是,他们确实在一段时间内执行2年锁,但这不应该是一个主要问题。 该公司在web.com集团下运营。

显着特点

  • 域验证
  • 256位加密
  • 快速证书验证
  • $ 10,000保修

价格从$ 59.99 /年起

网站: https://www.networksolutions.com/


谁来买?

有SSL证书问题,然后有SSL证书专家。 选择最低出价者可能会在您的钱包上稍微容易一些,但就像我在本文中多次提到的那样,这是一个值得信赖的问题。

想想你想从谁那里购买产品 - 除了其他任何东西 - 然后考虑你对SSL提供商的选择。 此外,超出价格,请确保所提供的功能也符合您的需求。 除了认证和信任,不同的提供商提供不同级别的支持。 超越炒作和花哨的名字,去寻找你真正需要的东西。


免费SSL:让我们加密

对于那些经营个人或业余爱好网站或任何非商业网站的人来说,谷歌可以为您提供服务。

让我们加密 是一个可信的CA,它是开放的,可以免费使用()。 不幸的是,它只发布了经过域验证或DNS验证的证书,并没有计划将其扩展到OV或EV。 这意味着他们的证书只能验证所有权而不是控股公司。 如果你是一个商业网站,这是主要的缺点。

我们在某些托管公司预先配置了加密(例如 - SiteGroundA2 Hosting)。 如果您打算使用Let's Encrypt Free SSL,最好主持其中一个Web主机。

所有托管帐户域名可免费安装标准版 Let’s Encrypt SSL ,只要使用SiteGround自动安装系统即可。

用户可以通过几次简单的点击切换到HTTPS(在Siteground使用Let的加密)。

要检查您的免费标准,请在SiteGround上加密SSL证书,登录cPanel>安全> SSL / TLS管理器>证书(CRT)。

从三月29,2018开始,Let的加密通配符SSL也包含在所有SiteGround主机帐户中(免费)。 这对于在多个子域(mail.domain.com,billing.domain.com等)上运行的网站所有者来说可以节省时间。 在我的SiteGround评论中了解更多信息.

如何安装SSL证书

cPanel的SSL安装

程序:

  1. 在“安全”选项下,点击“SSL / TLS管理器”
  2. 在“安装和管理SSL”下,选择“管理SSL网站”
  3. 复制您的证书代码,包括--BEGIN CERTIFICATE--和--END CERTIFICATE--并将其粘贴到“证书:(CRT)”字段中。
  4. 点击“按证书自动填充”
  5. 将中间证书链(CA Bundle)复制并粘贴到Certificate Authority Bundle(CABUNDLE)下的框中
  6. 点击“安装证书”

*注意:如果您不使用专用IP地址,则必须从“IP地址”菜单中选择一个。

Plesk的SSL安装

程序:

  1. 转到网站与域名选项卡,然后选择您要为其安装证书的域。
  2. 点击“保护您的网站”
  3. 在“上载证书文件”部分下,单击“浏览”,然后选择所需的证书和CA捆绑文件。
  4. 点击“发送文件”
  5. 返回“网站与域名”,然后点击您正在安装证书的域名的“托管设置”。
  6. 在“安全”下,应该有一个下拉菜单供您选择证书。
  7. 确保选中“SSL支持”框。
  8. 确保单击“确定”以保存更改

要验证您的安装是否成功,您可以使用它 免费的SSL验证工具.

更新您网站的内部链接

如果您查看网站的内部链接,您会发现他们都在使用HTTP。 显然,这些需要更新为HTTPS链接。 现在,我们将通过几个步骤向您展示使用重定向技术全局执行此操作的方法。

但是,最佳做法是将内部链接从HTTP更新为HTTPS。

如果你有一个只有几页的小网站,不应该花太长时间。 但是,如果您有数百页,则需要很长时间,因此您最好使用工具自动执行此操作以节省时间。 如果您的站点在数据库上运行,请执行 数据库搜索和替换使用此免费脚本。

更新指向您网站的链接

如果您有外部网站链接到您,切换到HTTPS后,他们将指向HTTP版本。 我们将在几个步骤中设置重定向,但如果有任何外部网站您可以控制您的配置文件,那么您可以更新URL以指向HTTPS版本。

这些的好例子是您的社交媒体配置文件以及您拥有受您控制的个人资料页面的任何目录列表。

设置301重定向

好的,对于技术人员,如果你对这类事情没有信心,那么肯定是时候得到一些专家帮助。 它非常简单,事实上并没有花太多时间,但你只需要知道你在做什么。

使用301重定向您正在做的是告诉Google特定页面已永久移动到另一个地址。 在这种情况下,您将告诉Google您网站上的所有HTTP网页现在都是HTTPS,因此它会将Google重定向到正确的网页。

对于大多数使用Linux网络托管的人来说,这将通过.htaccess文件完成(请参阅下面的代码 - 根据Apache推荐).

 ServerName www.example.com重定向“/”“https://www.example.com/”

更新您的CDN SSL

这实际上是一个可选步骤,因为不是每个人都使用CDN。 CDN代表Content Delivery Network,它是一组地理位置分散的服务器,用于存储Web文件的副本,并通过地理位置紧密的服务器将其呈现给访问者,以提高为其加载的速度。

除了性能改进之外,CDN还可以提供更好的安全性,因为它的服务器可以监控和识别恶意流量并阻止它到达您的网站。

流行的CDN的一个例子是 CloudFlare的.

无论哪种方式,只要询问您的托管公司是否使用CDN。 如果你不好,那就继续下一步。

如果您是,那么您需要联系CDN并询问他们更新SSL的说明,以便他们的CDN系统能够识别它。

常见的SSL证书错误和快速解决方案

1- SSL证书不受信任

几乎所有的浏览器都广泛使用如 , 微软边缘, Mozilla Firefox浏览器苹果Safari 已内置存储库,用于识别受信任的SSL证书。

如果您收到一条消息,指出某个站点的证书不受信任,请谨慎操作,因为这可能意味着所存在的证书未由受信任的CA签名。

缺少2-中级SSL证书

此错误通常是由错误安装的SSL证书引起的。 安装过程中的错误可能会导致一些SSL连接错误。 应该有一个'信任链'意味着签署过程中的所有必要组件应该不间断地运行。

如果您是网站所有者并遇到此错误,请尝试参阅“我已介绍过的部分”。SSL安装“。

3-自签名证书的问题

为了规避SSL问题,一些网站所有者创建了自己的SSL证书。 这是可能的,但没有太大的区别,因为它不会由受信任的CA签名。 可能使用自签名证书的唯一时间是在测试或开发环境中。 具有自签名证书的站点不会显示为安全。

4-混合内容错误

这是配置问题。 要使SSL证书有效,您网站上的每个页面和文件都应与HTTPS链接。 这不仅包括页面,还包括图像和文档。 如果单个页面未进行HTTPS链接,则该站点将遇到混合内容错误并恢复为HTTP。

要避免这些问题,请确保使用HTTPS链接更新所有链接。

总结

在一天结束时,SSL证书是一个双赢的局面。 是的,谷歌这样的大企业可能会强迫我们这样做,但实际上很少有下行空间。

只需很小的价格,您就可以向客户保证其数据和隐私的安全性。 另一方面,客户可以重新获得对数字技术的信心,这个领域越来越受到黑客,垃圾邮件发送者和其他网络犯罪分子的攻击。

电子商务是数字经济的关键支柱之一,现在比以往任何时候都更有助于增加跨境贸易。 通过保持数据的安全性,作为网站所有者,您也可以亲自为互联网安全做出贡献。

最后,在选择您的SSL时,尽量避免只关注价格,并尽量在您感到迷茫或困惑时始终回复一个简单的单词; 信任。

Timothy Shim的文章

Timothy Shim是一位作家,编辑和技术爱好者。 从信息技术领域开始他的职业生涯,他迅速进入印刷领域,并与国际,地区和国内媒体合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的专长在于消费者和企业的技术领域。

连接: