用於在線業務的安全套接字層(SSL)的A-to-Z指南

更新日期:16年2021月XNUMX日/文章作者:Timothy Shim

建立一種關係需要信任,對於雙方最有可能並且永遠不會見面的關係來說,這種關係要強烈得多。

互聯網上的信任是最重要的因素之一,尤其是在這種關係是交易性的情況下; 涉及金錢的地方。 甚至比這更深的事實是 數據是新的黃金因此,我們在網上做的幾乎所有事情都需要保證安全。

建立這種信任關係並不容易,但是網站所有者面臨越來越大的壓力,要求其創建一個使用戶感到安全的環境。 SSL證書是執行此操作的一種重要方法,因為它們可確保用戶與該網站的連接是安全的。

對於最終用戶,他們需要驗證這一點是他們的瀏覽器上顯示的簡單圖標。 對於網站所有者來說,它有點複雜,但並非必須如此。

表中的內容


什麼是安全套接字層(SSL)?

SSL是一種安全協議,可確保用戶計算機與其訪問的站點之間的連接是安全的。 在連接期間,許多信息在兩台計算機之間傳遞,包括可能是高度機密的數據,如信用卡號,用戶標​​識號甚至密碼。

在正常情況下,此數據以純文本形式發送,這意味著如果連接被第三方攔截,則該數據可能被盜。 SSL通過強制在兩端連接期間使用加密算法來防止這種情況。

掛鎖或綠色掛鎖圖標已成為用戶的保證指示,他們正在訪問的網站嚴肅對待他們的安全。

相關閱讀:

Indication of SSL on different Internet browsers.
在不同的Internet瀏覽器上指示SSL。

為什麼我們需要SSL證書?

最初要問的常見問題是“我們需要SSL證書”。

典型的答案是'它取決於'。 畢竟,為什麼不需要處理敏感財務相關數據的網站需要如此安全?

不幸的是,如前所述,數字時代意味著除了即時現金外,今天的黑客越來越多地開始追求個人信息。

谷歌因素

Beginning in July 2018 with the release of Chrome 68, Chrome will mark all HTTP sites as “not secure”. Google's change of policy has made a huge impact on the Internet – Over 75 percent of Chrome traffic is now protected. If you haven’t made the switch to HTTPS and would like to learn more, this article is for you.
從2018年68月發布Chrome 75開始,Chrome會將所有HTTP網站標記為“不安全”。 Google的政策變更對互聯網產生了巨大影響-現在超過XNUMX%的Chrome流量受到了保護。

認識到這一點,從7月2018開始,Google將所有標準HTTP頁面標記為非安全。 這一點很重要,因為這意味著谷歌認為不安全的網站可能會遭受搜索排名懲罰。 網站在流量上茁壯成長,如果您沒有出現在Google列表中,那麼您在網站流量方面的收益就不會太多。

親們的提示

如果排名有所改善,則可以忽略不計。 儘管如此,擁有SSL仍然是一個聰明的舉動。

這是一個信任信號,它避免了Chrome在您的網站上顯示“不安全”的可能性。 儘管目前的直接排名優勢可能很小,但將來可能會變得更加重要。

我最初沒有切換到SSL。 我聽過很多關於交通鼻子潛水但沒有恢復的恐怖故事。 幸運的是,事實並非如此。 交通量略有下降約一周,然後回來。

– Adam Connell, 博客嚮導

根據本 谷歌在線安全博客截至2018開頭,Android和Windows上68%的Chrome流量受到保護,網絡上頂級81網站的100默認使用HTTPS。

HTTPS connection via Google Chrome on different platforms.
Chrome平台在HTTPS上通過HTTPS加載的百分比。 Android上64%的Chrome流量現已受到保護。 ChromeOS和Mac上的75%Chrome流量現已受到保護。 與一年前相比,這三個數字均顯示出顯著增長。

目前,您可能還不需要SSL證書,但認真考慮實施SSL證書可能是明智之舉。 雖然目前谷歌只發布警告並懲罰搜索排名,但考慮到今天的網絡安全狀況,它可能不會就此止步。

另請閱讀: SEO新手指南

SSL如何工作?

簡單地說,創建連接有三個主要組成部分;

  1. 客戶端 - 這是請求信息的計算機。
  2. 服務器 - 保存客戶端請求的信息的計算機。
  3. 連接 - 數據在客戶端和服務器之間傳輸的路徑。
How SSL works - the difference between HTTP and HTTPS.
HTTP與HTTPS連接(來源: Sucuri)

要與SSL建立安全連接,還需要了解一些術語。

  • 證書籤名請求(CSR) - 這會在服務器上創建兩個密鑰,一個私有密鑰和一個公共密鑰。 這兩個鍵協同工作以幫助建立安全連接。
  • 證書頒發機構(CA) - 這是SSL證書的頒發者。 有點像一個擁有可信網站數據庫的安全公司。

請求連接後,服務器將創建CSR。 然後,此操作將包含公鑰的數據發送到CA. 然後,CA創建與私鑰匹配的數據結構。

SSL證書最關鍵的部分是它由CA進行數字簽名。 這一點至關重要,因為瀏覽器只信任由非常具體的CA列表簽名的SSL證書,例如 威瑞信 or DigiCert。 CA的列表經過嚴格審查,並且必須符合瀏覽器設置的安全性和身份驗證標準。

SSL證書的類型

瀏覽器識別SSL證書(此圖像中顯示EV證書)並激活瀏覽器界面安全增強功能。

儘管所有SSL證書都是為同一目的而設計的,但並非所有證書都相同。 想想就像買手機一樣。 所有手機基本上都是為了做同樣的事情而設計的,但是有不同的公司製造它們並以不同的價格生產許多不同的型號。

為簡化問題,我們按信任級別細分SSL證書類型。

1.域驗證(DV)證書 

在SSL證書中,域驗證證書是最基本的,只是向用戶保證站點是安全的。 除了這個簡單的事實之外沒有太多細節,許多安全組織不建議對處理商業交易的網站使用域驗證證書。 域驗證證書是SSL世界的預算智能手機。

2.組織驗證(OV)證書

CA認證的組織證書持有者比域認證證書持有者更嚴格。 實際上,這些證書的所有者是由專職人員進行身份驗證的,他們會根據政府運營的業務註冊表對其進行驗證。 OV證書包含有關持有它們的業務的信息,通常用於商業網站,代表SSL世界的中端智能手機。

3.擴展驗證(EV)證書

EV證書代表了對SSL排名的最高信任度,它選擇了最優秀且經過嚴格審查的最佳證書。 通過選擇使用EV證書,這些網站正在深入購買消費者信任。 這些是SSL世界的iPhoneX。

事實上,SSL認證已經成為如此強烈推薦的事實,許多欺詐網站也採用了SSL。 畢竟,除綠色認證掛鎖外,網站幾乎沒有什麼區別。 這是更多信譽良好的組織進行更嚴格審核的SSL認證的關鍵原因。

由於任何成功的SSL連接都會導致出現掛鎖圖標,因此用戶不太可能知道網站所有者是否已經過驗證。 因此,欺詐者(包括網絡釣魚網站)已開始使用SSL為其網站增加感知可信度。 - 維基百科.

從哪裡獲得SSL 證書?

要獲取SSL證書,您需要轉到證書頒發機構(CA)。

證書頒發機構(CA)就像私人安全公司一樣。 他們是頒發數字證書以促進SSL建立過程的人。 它們還屬於滿足詳細條件以保持其在該列表中的位置的有限企業列表。 保留在該列表中位置的CA可以頒發SSL證書-因此該列表是唯一的。

這個過程並不像聽起來那麼簡單,因為在頒發證書之前,CA必須檢查申請它的網站的身份。 這些檢查的詳細程度取決於所應用的SSL類型。

是什麼使證書頒發機構(CA)出色?

最好的CA是那些已經從事業務一段時間並遵循業務最佳實踐的CA,不僅是為了自己,也為了與業務相關的任何合作夥伴。 理想情況下,他們還應該能夠展示該領域的成熟專業知識。

尋找符合當前標準的CA,積極參與安全行業並擁有盡可能多的資源來支持其客戶。

一個好的CA也將:

  • 驗證時間相當短
  • 方便客戶使用
  • 得到很大的支持

推薦證書頒發機構

NameCheap提供了全部SSL證書,因此無論您的要求或預算如何,您都可以找到。 Standard Domain Validation certificates start from $8.88 per year, but there are also premium certificates that go for up to $169 per year (標準網域驗證證書的價格從每年$ XNUMX起,但也有一些高級證書,每年的價格高達$ XNUMX(在線訪問).

SSL.comNameCheap 是我需要購買SSL證書時最喜歡去的地方。 或者 - 查看此最佳SSL證書提供商列表.

讓我們免費加密SSL

對於那些經營個人或業餘愛好網站或任何非商業網站的人來說,谷歌可以為您提供服務。

讓我們加密 是一個可信的CA,它是開放的,可以免費使用()。 不幸的是,它只發布了經過域驗證或DNS驗證的證書,並沒有計劃將其擴展到OV或EV。 這意味著他們的證書只能驗證所有權而不是控股公司。 如果你是一個商業網站,這是主要的缺點。

在某些託管公司(例如, GreenGeeks)。 如果您打算使用Let's Encrypt Free SSL,則最好使用這些Web主機之一進行託管。

另請閱讀:

GreenGeeks提供免費的“讓我們加密SSL”,並在其用戶儀表板上提供易於使用的安裝程序。

如何安裝SSL證書?

cPanel的SSL安裝

程序:

  1. 在“安全”選項下,點擊“SSL / TLS管理器”
  2. 在“安裝和管理SSL”下,選擇“管理SSL網站”
  3. 複製您的證書代碼,包括-BEGIN CERTIFICATE-和-END CERTIFICATE-,然後將其粘貼到“ Certificate:(CRT)”字段中。
  4. 點擊“按證書自動填充”
  5. 將中間證書鏈(CA Bundle)複製並粘貼到Certificate Authority Bundle(CABUNDLE)下的框中
  6. 點擊“安裝證書”

*注意:如果您不使用專用IP地址,則必須從“IP地址”菜單中選擇一個。

Plesk的SSL安裝

程序:

  1. 轉到網站與域名選項卡,然後選擇您要為其安裝證書的域。
  2. 點擊“保護您的網站”
  3. 在“上載證書文件”部分下,單擊“瀏覽”,然後選擇所需的證書和CA捆綁文件。
  4. 點擊“發送文件”
  5. 返回“網站與域名”,然後單擊要安裝證書的域的“主機設置”。
  6. 在“安全”下,應該有一個下拉菜單供您選擇證書。
  7. 確保選中“SSL支持”框。
  8. 確保單擊“確定”以保存更改

要驗證您的安裝是否成功,您可以使用它 免費的SSL驗證工具.

切換到HTTPS之後

更新您網站的內部鏈接

如果檢查網站的內部鏈接,您會發現它們都使用HTTP。 顯然,這些需要更新為HTTPS鏈接。 現在,通過幾個步驟,我們將向您展示一種使用重定向技術在全局範圍內執行此操作的方法。

但是,最佳做法是將內部鏈接從HTTP更新為HTTPS。

如果你有一個只有幾頁的小網站,不應該花太長時間。 但是,如果您有數百頁,則需要很長時間,因此您最好使用工具自動執行此操作以節省時間。 如果您的站點在數據庫上運行,請執行 數據庫搜索和替換使用此免費腳本。

更新指向您網站的鏈接

如果您有外部網站鏈接到您,切換到HTTPS後,他們將指向HTTP版本。 我們將在幾個步驟中設置重定向,但如果有任何外部網站您可以控制您的配置文件,那麼您可以更新URL以指向HTTPS版本。

這些的好例子是您的社交媒體配置文件以及您擁有受您控制的個人資料頁面的任何目錄列表。

設置301重定向

好的,對於技術人員,如果你對這類事情沒有信心,那麼肯定是時候得到一些專家幫助。 它非常簡單,事實上並沒有花太多時間,但你只需要知道你在做什麼。

使用301重定向,您正在做的就是告訴Google特定頁面已被永久移動到另一個地址。 在這種情況下,您將告訴Google您網站上的所有HTTP頁面現在都是HTTPS,因此它將Google重定向到正確的頁面。

對於大多數使用Linux網絡託管的用戶,這將通過.htaccess文件完成(請參見下面的代碼– 根據Apache推薦).

 ServerName www.example.com重定向“/”“https://www.example.com/”

另請閱讀: .htaccess的基礎-用例和示例

更新您的CDN SSL

這實際上是一個可選步驟,因為不是每個人都使用CDN。 CDN代表Content Delivery Network,它是一組地理位置分散的服務器,用於存儲Web文件的副本,並通過地理位置緊密的服務器將其呈現給訪問者,以提高為其加載的速度。

除了性能改進之外,CDN還可以提供更好的安全性,因為它的服務器可以監控和識別惡意流量並阻止它到達您的網站。

流行的CDN的一個例子是 的CloudFlare.

無論哪種方式,只要詢問您的託管公司是否使用CDN。 如果你不好,那就繼續下一步。

如果您是,那麼您需要聯繫CDN並詢問他們更新SSL的說明,以便他們的CDN系統能夠識別它。

常見的SSL證書錯誤和快速解決方案

1. SSL證書不受信任

SSL Not Trusted Error

幾乎所有的瀏覽器都廣泛使用如 谷歌Chrome, 微軟邊緣, Mozilla Firefox瀏覽器蘋果Safari 已內置存儲庫,用於識別受信任的SSL證書。

如果您收到一條消息,指出某個站點的證書不受信任,請謹慎操作,因為這可能意味著所存在的證書未由受信任的CA簽名。

2.缺少中間SSL證書

此錯誤通常是由錯誤安裝的SSL證書引起的。 安裝過程中的錯誤可能會導致一些SSL連接錯誤。 應該有一個'信任鏈'意味著簽署過程中的所有必要組件應該不間斷地運行。

如果您是網站所有者並遇到此錯誤,請嘗試參閱“我已介紹過的部分”。SSL安裝“。

3.自簽名證書的問題

為了規避SSL問題,一些網站所有者創建了自己的SSL證書。 這是可能的,但沒有太大的區別,因為它不會由受信任的CA簽名。 可能使用自簽名證書的唯一時間是在測試或開發環境中。 具有自簽名證書的站點不會顯示為安全。

4.混合內容錯誤

SSL Mixed Content Errors

這是配置問題。 要使SSL證書有效,您網站上的每個頁面和文件都應與HTTPS鏈接。 這不僅包括頁面,還包括圖像和文檔。 如果單個頁面未進行HTTPS鏈接,則該站點將遇到混合內容錯誤並恢復為HTTP。

要避免這些問題,請確保使用HTTPS鏈接更新所有鏈接。

結束語

在一天結束時,SSL證書是一個雙贏的局面。 是的,谷歌這樣的大企業可能會強迫我們這樣做,但實際上很少有下行空間。

只需很小的價格,您就可以向客戶保證其數據和隱私的安全性。 另一方面,客戶可以重新獲得對數字技術的信心,這個領域越來越受到黑客,垃圾郵件發送者和其他網絡犯罪分子的攻擊。

電子商務是數字經濟的關鍵支柱之一,現在比以往任何時候都更有助於增加跨境貿易。 通過保持數據的安全性,作為網站所有者,您也可以親自為互聯網安全做出貢獻。

最後,在選擇您的SSL時,盡量避免只關注價格,並儘量在您感到迷茫或困惑時始終回復一個簡單的單詞; 信任。

當你準備好的時候: 最好的網站購買便宜的SSL證書

關於Timothy Shim

Timothy Shim是一位作家,編輯和技術愛好者。 從信息技術領域開始他的職業生涯,他迅速進入印刷領域,並與國際,地區和國內媒體合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的專長在於消費者和企業的技術領域。