全面了解WordPress网站的SSL安全证书(https)

我一直以为自己足够了解SSL证书了,但最近又深入学习了下,顺道也把自己的SSL得分从原来的 B 改进成了A+。一番研究下来发现原来错过了很多知识点,网上要不写得很复杂,要不就写得很简单。

于是为了梳理思路,我根据自己的理解重新写了篇,发表在我黑科技娃娃这个博客,如有不准确的地方欢迎一起学习交流。

SSL证书定义:
数字证书的一种,全称Secure Sockets Layer安全套接层协议,是互联网信息安全的信息加密传输协议。简而言之就是对数据进行加密,保障网络数据传输的安全性。
其目的是在网站的访问者和网站之间创建了一个安全的互联网通道,未经授权的任何人都无法对其进行解密,从而确保所有登录凭据、个人信息、信用卡数据免受黑客的侵害。
证书是由值得信任的组织担任第三方来发放的,这种组织称为CA。
TLS(传输层安全)
是更为安全的升级版 SSL,由于 SSL 这一术语更为常用,因此我们仍然将我们的安全证书称作 SSL。

只要有SSL证书的网站,网址都是“HTTPS”开头的,而且在浏览器的前面会出现个小锁。没有装证书的网站就会显示感叹号。

SSL证书的作用

影响网站信任度和 SEO 排名

现在已经很少见到那些没用SSL证书的,即网址前是 HTTP 地址开头的网站了。

网络安全是谷歌的主要排名因素之一,SSL 证书向搜索引擎显示该网站使用数据加密来保护敏感信息,这鼓励了谷歌在搜索结果中显示 SSL 认证网站,从而增加网站的自然流量。

不用SSL证书会影响 Google 的信任度,Google 将不受 SSL 证书保护的网站显示为“不安全”,会直接提醒用户不要打开这个网站。

不用说什么SEO和排名了,连基本的用户体验都没了,等于做了个废站。这种网站淘汰是早晚的事。

保护客户数据和电子商务交易,对网站的信息传输加密

HTTP之所以退出历史舞台,主要是网站上的所有信息没有加密,都是明文传输的,黑客如果用点手段就会看到你的账号密码等一切信息。

在网上进行电子商务交易时,有SSL 证书的网站 ,采取更为严格的企业及所有权验证,让客户知道他们的交易安全可靠,并且充分信任该网站。

SSL 会创建一种加密方式和一个唯一的会话密钥,为了加密所有的传输数据,所以电商网站都必须要加这个SSL证书,哪怕它全站都不用HTTPS,登录页和结算页面也必定是加了SSL证书的,可以说SSL证书已经成电商网站标配了。

你看黑科技娃娃的博客就是添加了SSL证书的,点击灰色小锁——“连接是安全的”,就能看到具体的证书细节。

并不是说网上的所有拥有 HTTPS开头的网站就是绝对安全的,毕竟ssl只是确保交易类网站的安全,保证涉及金额的信用卡等信息不泄露,在seo或者权重上增加一些效果。

而有些下载类网站是夹带后门私货的,还有部分钓鱼网站也会申请免费的SSL证书来增加信任感,这个就无关SSL是否安全了,主要是看做网站的人是个什么目的。


SSL证书分类

了解证书分类十分重要,只有这样你才能分辨自己应该使用哪类证书,到底选择付费的还是免费的,付费的话如何买到最优惠的价格。

SSL证书根据安全验证级别主要分为三大类:DV证书、OV证书、EV证书。

排名从左至右:安全性从低到高,审核难度从低到高,价格从低到高。

有相应SSL证书的网站说明已经验证了网站及其背后企业的真实性以及合法性,更贵的 SSL 证书的验证过程通常更加严谨。

SSL 证书根据级别不同,给网站提供的安全性也不同,有 ECC、RSA 或 DSA 三种加密方式可以选择,密钥加密越长位数越多,越难解码,一般128位就可以保证安全了,最高加密是256位。有些加密需要托管服务器和浏览器的配置都在相同的位数运行,三方都达到可遇不可求。

目前由于安全性原因,SHA1签名算法已被淘汰,CA证书均使用SHA2签名算法。无论哪一种SSL证书在最长有效期大多只有1年,意味着每年就需要申请续订,如果不续订会导致项目业务被终止并且发生错误警告。

在详细讲述证书分类前,先了解下下面的名词解释。

名词解释:
代码签名:一般由软件开发者或者发行商申请,通过对代码的数字签名来显示软件来源以及软件开发者的真实身份。能保证代码在签名之后不被恶意篡改,使用户在下载时能够有效的验证该代码的可信度。
要想实现代码签名必须首先需要获得数字证书,OV和EV证书都有代码签名,代码签名证书是存储在Ukey中, CA通过邮寄的方式送到用户手中。
没有证书代码签名的软件在安装时,操作系统会弹出软件不安全的提示从而导致产品可信度问题。
代码签名能免费提供时间戳服务(即使代码签名过期了,由时间戳也可以验证软件有效完整性),保证已经签名的代码长期有效,而且在证书有效期内不限签名次数。
邓白氏:邓白氏编码是国际认可的标准企业身份标识,是作为电子商务中一个国际认可的、常用的公司识别符号,邓氏编码已经在如国际标准组织(ISO)等全球最有影响力的标准定制机构、50多家全球行业及贸易机构、美国政府、欧盟、联合国、ISO组织等,承认、推荐或是要求使用该编码。

DV SSL 证书(域验证 Domain Validation)

在域验证中,证书颁发机构只验证域所有权,申请比较简单。DV证书不包含颁发电子邮件加密和代码签名类的证书。

DV证书虽然包含通配符证书和多域名证书,但有些要看所在的服务器能否能开通使用。

DV证书分免费和付费的,现在的主机商(像Hostinger之类)一般都会送你免费的DV SSL证书,不需要自己另外买, 不过一般只送一个,多网站就需要付费购买了。

Let’s Encrypt 是最常见的免费DV证书,支持多域名和通配符证书,Certbot 是官方推荐的证书生成客户端工具,每三个月自动一续,除了自动定时外,获取通配符证书需要ACMEv2 协议。

Cloudflare也提供免费的Flexible ssl 证书,前提是你的域名要放在 Cloudflare 解析。

适用个人和小型网站的DV证书,很多小公司为了摆脱繁琐的验证和省钱,不用 OV 证书,都用了付费的DV证书,因为一些CA机构颁发的付费DV证书也有保险金额赔付,只是不多而已,适合小微企业购买。

PositiveSSL 和 RapidSSL 是两种最普遍的付费DV证书。

OV SSL 证书(组织验证Organization Validation)

适用企业网站的OV证书,具有中等验证级别的 SSL 证书,证书颁发机构通常要求提供文件以验证网站管理员的站点、组织名称、联系信息和地址,提交相关的证明、执照,还有上面说的邓白氏等材料,过程更复杂、签发更严谨,价格自然就更高。

使用组织机构企业使用,例如淘宝用的是 Globalsign的 OV 证书。

EV SSL 证书(扩展增强验证Extended Validation)

是目前业界安全级别最高的SSL证书,比OV还严格,审核极端严格,证书颁发机构将对各自所有者进行广泛的背景调查,除了要验证域名所有权、企业相关信息、提供邓白氏外,CA机构还会进行电话回访。特需情况下可能还会使用到律师意见信的协助,当然有了律师意见信就不需要邓白氏了。

最大特点是不仅浏览器地址栏会显示安全锁标志,还在浏览器界面中显示你的组织名称,而且浏览器地址栏会变成绿色(谷歌浏览器不会显示,IE会显示)。

适用有实力的大企业的,像银行、证券行业基本都用的这个证书。比如中国银行就用了EV证书,亚马逊用的就是Digicert的EV证书。

从域名数量证书又分为:单域名证书、通配符证书、多域名证书。

单域 SSL 证书 —— 保护单个域及其子目录,包括带WWW的子域名。

通配符 SSL 证书( wildcard certificates)—— 涵盖单个域及其多个子域的通配符证书。例如:申请 xxx . com 的SSL证书,则所有用根域名 xxx . com 下的 *. xxx . com 子域名都能得到保护。

多域 SSL 证书 ——保护彼此不相关的多个域

如何选购付费的SSL证书

名词解释:
商业赔付保障(warranty)
如果证书颁发机构未能正确验证数字证书中包含的信息,从而导致最终用户因欺诈性在线信用卡交易而蒙受金钱损失,在这种情况下,最终用户可以要求保修赔偿。此保障仅在最终用户被欺诈性收费时支付,证书供应商将根据其服务条款提供报销。

一定要选择正规品牌的SSL证书,高价值的SSL证书只要是正规的CA机构颁发的,都会赠送一个商业赔付保障(warranty),相当于SSL证书的一份安全保险。

证书是由不同的CA机构颁发的,所以同样分类下也就有了不同品牌区分,这里以选择大厂货为准。最好直接选择国外平台购买,国内的公司都是代理的,必然加了自己的利润,国内的SSL购买都比国外贵。

Digicert、Globalsign、Sectigo(原名Comodo)均是全球知名的SSL证书品牌 。

Sectigo:性价比高,是签发量最多的品牌,EV代码签名证书的审核时间较长,一般为1-7工作日,邮寄不用清关。

Globalsign:在国内有公司,有中文技术支持,签发速度较快,EV代码签名是国内邮寄,但价格较高。

Digicert:品牌知名度高,价格贵。其中包括被Digicert收购的GeoTrust创建的证书子品牌RapidSSL(DV证书)。Digicert EV代码签名证书1-3个工作日可签发,但是邮寄需要清关,所以不能快速获取到证书。

总结:
如果考虑价格的话,选择Sectigo机构颁发的证书(原名Comodo),性价比较高,其他两个有点贵。
DV证书虽好,但不支持ECC协议,同时苹果APP不支持某些免费证书,不包含颁发电子邮件加密和代码签名类的证书,免费的DV证书也没有保障金措施。
对于博客和个人网站,如果只是单纯想提高在搜索结果中的竞争力,不进行交易的话,那就用免费的DV SSL 证书就足够了。 如果网站需要进行小额电子商务,就购买付费DV证书。
如果是大型电子商务网站,或者网站上有软件下载,需要代码签名证书的,就需要购买付费的OV 和 EV 证书,银行和大型交易网站等对数据敏感的大企业最好用安全性最高的EV证书。

如果你不会英文也没关系,根据下方的说明指导完全可以成功购买,如果实在担心,可以安装网页翻译插件,都不是问题。

SSLS证书机构是Comodo官方指定的授权销售平台,付费证书可以从这种专门的证书机构里购买,购买证书后不满意支持15 天内退款。

首先进入SSLS官方平台后,选择 PERSONAL,会显示DV证书,选择BUSINESS选项就会出现OV证书,选择ECOMMERCE就会展示EV证书。

根据证书安全等级的不同,所提供的补偿金额也是不一样的,这也是导致证书价格存在差异的原因之一。

PositiveSSL

DV证书分为单域名、通配符和多域名证书,证书金额是根据年限来的,买越长越划算,根据自己的要求选择,不要选错了,单域名证书五年也就20美金不到,支持保证金10000美金,适合只有很小交易的网站。

如果你网站不是只有做一年,那就建议五年一步到位,都白菜价了,还要什么自行车。

如果想看更多证书细节,可以点击每个项目里的证书标题,就可以看到具体的保险金额等细节。签发也很快,15分钟内搞定。

这里就不介绍同个牌子下的Essential SSL证书了,两款证书没什么区别,唯一的不同就在 Essential SSL的保障金更高,当然价格也更贵,这个网站也没卖,估计也是选过产品的,毕竟都差不多的情况下,还是选择性价比更高的 PositiveSSL 来进行售卖了。

InstantSSL

Sectigo颁发的OV证书,如果想看更多证书细节,可以点击每个项目里的证书标题,就可以看到具体的保险金额等细节,签发验证资料大概需要2天,前提是你要配合传送好企业资料等。

OV证书分为单域名、通配符和多域名证书,证书金额是根据年限来的,买越长越划算,根据自己的要求选择,不要选错了,保障金额是五万美金。

单域名证书购买一年是16.88美金,五年的话就是64.4美金,也就400多吧。对企业来说这种价格毫无压力,连淘宝也不过就是OV证书的安全级别了,当然它用的牌子高端,会贵很多,估计没个几千是下不来的。

EV SSL

Sectigo颁发的EV证书,如果想看更多证书细节,可以点击每个项目里的证书标题,就可以看到具体的保险金额等细节,签发验证资料大概需要2周,前提是你要配合传送好企业资料等。

EV证书分为单域名和多域名证书,证书金额是根据年限来的,买越长越划算,根据自己的要求选择,不要选错了,保障金额是175万美金。

本来以为EV证书很贵,结果一看,单域名证书购买一年是52.88美金,五年也才184.4美金,对,你没看错,简直绝了,国外果然卷啊。如果用上EV证书在自己的电商网站,可以去吹牛了,淘宝也就是个OV证书,你的电子商务企业网站都EV证书了,绝对排面!

购买证书后,一般会给你三个文件,SSL 数字证书一般包括公共密钥和私用密钥,公共密钥用于加密信息,私用密钥用于解译加密的信息 ,下面文件保存下来,后面要用,如果不知道怎么安装咨询客服,都是包教会的。

  • SSLCertificateFile:主要 SSL 证书文件 (certificate.crt)
  • SSLCertificateKeyFile:私钥文件(private.key)
  • SSLCertificateChainFile:CA 捆绑文件 (ca_bundle)

提醒:有任何疑问记得一定要咨询网站的实时对话框客服,回复也挺快的,我中午咨询的,基本五六分钟内就回复我了。

如何在Hostinger安装SSL证书

在主机商平台安装免费SSL很简单,你只要在后台一键操作下就可以了,下面以 Hostinger 平台为例,其他相似主机平台原理应该是一样的,套用下即可。

首先要确认你已经完全把域名和空间绑定了,可以自由进入网站的WordPress后台,确定后才可以设置SSL证书。

HG本身会送一个网站的 free Lifetime SSL 证书,这个证书其实就是Let’s Encrypt 证书。

Hostinger后台的SSL那栏点击 Setup,然后会让你选择想要安装的域名,

安装完就如下显示证书激活:

而第二个网站就要收你SSL的费用了,这个证书本身是免费的,但是需要靠技术手段才能实现免费使用(比较麻烦,需要三个月续期),所以这个收费也算合情合理吧,你可以把它理解为续期人工费,也不贵,大概一次性给11.95美金。

这里开拓下思路,既然第二个网站的SSL都要花钱了,那就干脆买个 DV付费证书,五年也就20美金,还有保障金,如果你以后网站需要电子交易的话,可以用来保护下资金。

下面来说说如何安装从证书平台购买来的SSL证书:

打开HG后台,直接点击顶部菜单上的SSL,进入SSL设置页。单击 Import SSL,选择要安装证书的域,然后把之前得到的三个证书文件内容对应输入。

输入后点击安装,安装成功后如下会显示 CUSTOM SSL 自定义证书。

如果SSL 安装不成功,请尝试卸载老的重新安装,如果仍然无法正常工作,请联系SSL 购买平台教你如何安装,出问题了就让hostinger 客服帮你安装下,或者发你教程。

如何把HTTP链接改成HTTPS链接

安装证书成功后,就需要把原来的HTTP链接更改成HTTPS ,不然网站HTTP和HTTPS都可以打开,对SEO不好。我们需要把网站的所有流量都跳转到HTTPS。

在 WordPress 后台设置-常规中把两个网站链接都改成不带 www的 https 的地址。(我之前把根域名用301重定向到 www,现在谷歌自动给我定向到不带www 的域名了,所以谷歌趋势是不带 www 的。别忘记把Users的Porfile里的网站也改成HTTPS链接。)

如果你是老网站搬迁,可能修改完后仍旧说链接不安全,这个就代表网站仍旧存在部分http 链接。如果你用的是elementor这个插件,那可以利用插件里自带的“工具 ”来 “替换网址”,如果出现0,代表OK了。

如果你没用Elementor的话,就可以安装下 Velvet 插件,功用跟上面的是一样的,用完生效后卸载掉插件即可。

生效后会自动退出WP后台,你等一会看看 http 会不会自动跳转到 https,如果不会就要把HTTP重定向到HTTPS ,你可以在HG后台的SSL里开启强制跳转(Force HTTPS) 到 HTTPS 。

最后SSL证书安装成功,HTTPS网站也可以成功跳转了,你用这个SSL测试工具 来查看下SSL的得分,一般测试结果是A(Hostinger直接就加了CAA记录等),如果是VPS需要你自己根据意见修改代码来改进。


转载请保留原文链接:cooltechdoll.com/ssl/

相关推荐

1条评论

  • His son bucks on the lid as he turns beet red from his carnal machinations. “I thought you usually showered after practice. In the locker room.” His dad asks as he walks into the open door of the bathroom.

    Garrett sits on the commode, where his father had sat. porn sex

请发表您的评论