HTTPS 和 SSL:保护您网站的权威指南
在这份权威性的 SSL 使用指南中,我们将详细探讨该主题,并提供一些重要资源,以便您放心、轻松地保护您的网站.
您的网站是您投入时间、思想和精力的宝贵资产.保护它至关重要.
实现这一目标的最佳方法是什么?毫无疑问-HTTPS 的存在和强大功能.
继续阅读,或使用以下链接跳转:
- 域安全价值
- HTTP 与 HTTPS
- HTTPS 的实际工作原理是什么?
- 什么是 SSL?
- 什么是 SSL 证书?
- SSL 证书的类型
- 哪种类型的 SSL 证书最好?
- 如何制作网站 HTTPS
- 不要沉迷于此
这里有很多内容需要介绍,让我们开始吧.
域名安全价值
您可能已经注意到,在过去十年中,特别是在过去的五年中,许多网站 URL 从 HTTP 转变为 HTTPS.如果您想了解更多细节,时间线上有一篇有趣的维基文章.
是什么让 HTTPS 如此出色?
WordPress HTTPS 站点使您的在线业务更受访问者信赖.从您的网站在浏览器中加载的那一刻起,他们就会看到一个视觉提示,表明他们的个人信息将在您的世界角落(宽网络)受到高度保护.
您还将获得 SEO 提升,因为搜索引擎偏爱 HTTPS 网站.根据谷歌网站站长趋势分析师,SSL是Google 搜索排名算法的一部分.
获得改进页面加载时间的奖励是该包的另一个很棒的部分.谁不想要性能提升?
HTTPS,也就是端到端加密,可以帮助防止所有类型的在线攻击,包括被称为 APT 和中间人攻击的大坏蛋.以下是这些内容的简要概述:
- APT(高级持续性威胁)是一种攻击活动,入侵者使用连续、秘密和复杂的技术来访问系统,并长时间留在内部.这些都具有潜在的破坏性后果.
- MitM(中间人)攻击是指网络犯罪分子可以访问不安全或安全性差的 Wi-Fi 网络以拦截和读取传输的数据、捕获登录凭据、银行信息和其他个人信息.攻击者还可能冒充您认为正在与之交谈的人或实体,以窃取信息.
遗憾的是,这些网络攻击似乎并没有放缓.
虽然并非完全万无一失,但在您的网站上使用 HTTPS 将大大提高您对 APT、中间人攻击、恶意软件、直接黑客攻击和许多其他漏洞的防御能力.
接下来,让我们看看加密的实际工作原理.
HTTP 与 HTTPS
HTTP(超文本传输协议)允许不同系统之间的通信(例如您的浏览器与网络服务器),以便您可以查看网页或传输数据.HTTP 以纯文本形式移动数据,但不安全/易于任何人阅读.
HTTPS (安全超文本传输协议)是具有附加安全层的 HTTP.它使用 SSL(安全套接字层)证书对浏览器和服务器之间流动的信息进行加密,防止敏感信息被盗.
当网站受到保护时,HTTPS 会通过 SSL 证书出现在 URL 中.这由浏览器栏中的锁定符号指示.
您可以点击那个小锁来查看证书信息,其中提供了更多详细信息,包括证书颁发给谁(网站所有者)、由谁颁发(证书颁发机构)以及有效起始/截止日期.
HTTPS 中的额外安全层来自 TLS(传输层安全)协议.TLS 只是 SSL 的更新、更安全的版本.十有八九你会听到安全证书被称为 SSL,主要是因为人们习惯用这个词.
HTTPS 的实际工作原理是什么?
简而言之……浏览器连接到服务器,并建立了"握手"连接.在握手期间,服务器向客户端发送具有非对称公钥的 SSL 证书,以及存储在网络服务器(自身)端的私钥.这可确保流中的所有数据都经过加密.
HTTPS 使用两种类型的端到端加密,我们现在将对其进行更详细的研究.
端到端加密
非对称加密被称为公钥密码术.公钥用于加密数据,而私钥用于解密数据.这两个键是相连的,实际上是具有某些数学特性的非常大的数字.如果您使用某人的公钥对消息进行编码,则他们可以使用匹配的私钥对其进行解码.
对称加密是指仅使用一个密钥来加密和解密数据.实体将在通信过程中共享相同的密钥以对数据进行加密和解密.
公钥基础设施 (PKI)
TLS 和 SSL 都使用非对称 PKI 系统.用公钥加密的数据只能用私钥解密,反之亦然.
私钥应非常安全地保存,不得向网站所有者以外的任何人分发或访问.
公钥可以分发给需要解密用私钥加密的信息的任何人.
客户端将根据算法创建会话密钥.该会话密钥将使用公钥加密.然后将其发送到服务器.
服务器将使用非对称私钥对加密的会话密钥进行解密,并获得会话密钥.浏览器将使用会话密钥对会话数据进行加密和解密.
现在数据是安全的,因为客户端和服务器都知道会话密钥.一旦会话过期,该过程将再次重复,因为会话密钥将不再有效.
今天,我们使用 AES 加密算法,该算法已被美国国家标准与技术研究院 (NIST) 采用并发布为联邦标准.
高级加密标准 (AES) 在加密过程中使用单个密钥.密钥的长度可以是 128 位(16 字节)、192 位(24 字节)或 256 位(32 字节).鉴于最快的计算机需要数十亿年的时间来运行 256 位密钥的每一个排列,而且在这么短的时间内有效,劫持会话密钥是非常困难的.这就是为什么 AES 被认为是一种极其安全的加密标准.
什么是 SSL?
SSL 代表安全套接字层,是确保互联网连接安全的标准技术.它保护在两个系统之间发送的任何敏感数据,从而防止流中的数据被可能有犯罪意图的非预期接收者拦截.
这是通过确保用户和站点之间或两个系统之间传输的任何数据仍然无法读取来实现的.它使用加密算法对传输中的数据进行加扰,防止黑客在数据通过连接发送时对其进行读取.
这包括任何敏感或个人信息,例如姓名和地址、登录信息、电子邮件、信用卡号和其他财务信息.它扩展到 FTP、网络应用、基于云的计算机、托管行星(例如 cPanel)、V-P-N、内联网、外联网和数据库连接.
快速澄清一点:尽管这两个术语可以互换使用,并且它们具有内在的联系,但 HTTPS 不是 SSL.HTTPS 是 HTTP 与 SSL 或 TLS 的组合.所以更准确地说,HTTPS 是 SSL 的一个常见实例.
话虽如此,让我们继续讨论 SSL 证书.
什么是 SSL 证书?
SSL 证书对用户提供给网站的信息进行加密,这基本上将数据转换为复杂的代码.即使有人设法窃取了客户端和服务器之间通信的数据,也将是一团无法破译的胡言乱语.
SSL 证书是小型数据文件,可将加密密钥与组织的详细信息进行数字绑定.当安装在网络服务器上时,HTTPS 协议(通过端口 443)允许从网络服务器到浏览器的安全连接.
SSL 证书绑定在一起:
- 域名、服务器名称或主机名
- 组织标识(即公司名称)和位置
组织需要在其网络服务器上安装 SSL 证书以启动与浏览器的安全会话.根据申请的 SSL 证书类型,组织将接受适当级别的审查.
一旦安装了 HTTPS,网络服务器和网络浏览器之间的所有流量和通信都将被加密和安全.
SSL 证书的类型
SSL 证书用于加密和验证.
加密可确保流量不会被窃听者篡改,并增强了任何交易中信息的机密性和完整性.验证可确保两个通信方确实是他们所说的那样.
SSL 证书按提供的验证级别以及证书下的域或子域的数量进行分类.
证书由证书颁发机构 (CA) 处理,使用专为运行和授予这些证书而设计的软件.
每种类型的证书的加密级别都相同,这意味着,没有一种证书的安全性低于其他证书.它们之间的区别在于获取它们所需的审查和验证过程、随之而来的保证价值以及所包含域的类型和数量.
SSL 证书分为两大类:
- 验证级别
- 域名数量
SSL 证书验证级别是:
- 域验证 (DV)
- 组织验证 (OV)
- 扩展验证 (EV)
按域名数量划分的 SSL 证书是:
- 单域
- 多域
- 通配符
我们将对这些证书中的每一个进行更详细的描述,以及一些关于它们最适合谁的基本建议,以及相关成本的广泛概念.(定价是大概的,因为它不仅因类型而异,还因购买的供应商而异.).
SSL 证书(按验证级别)
1.域验证 (DV)
域验证 SSL 证书是最低级别的验证.证书颁发机构只是验证组织是否可以控制相关域.验证通常通过电子邮件完成,方法是更改 DNS 记录或将 CA 提供的文件上传到域.这通常需要几分钟到几小时才能完成.
DV 通常用于主要娱乐或提供信息的博客或信息网站.
成本是免费的.DV 证书是最便宜的证书之一.
2.组织验证 (OV)
OV 提供中等级别的验证.该证书的主要目的是在交易过程中加密敏感信息,并以高水平的保证验证业务可信度.证书颁发机构验证域的所有权以及组织信息(如名称、城市和国家/地区),这通常需要几天时间.
收集和存储客户信息的商业和面向公众的网站通常需要 OV.如果您在线销售商品或提供付费服务,则是理想之选.
成本中等.OV 证书的价格介于 DV 和 EV 之间.
3.扩展验证 (EV)
EV 是排名最高的 SSL 证书类型.对于这些,CA 验证公司的所有权、组织信息、物理位置和合法存在.在批准之前,它还检查组织是否知道 SSL 证书请求.需要文件来证明公司身份以及许多检查.这通常需要几周时间.
网络安全专家为电子商务、银行、社交媒体、医疗保健、政府和保险企业等行业推荐电动汽车.基本上,任何处理用户支付细节或大量敏感信息的实体都应该获得 EV 证书.
成本:昂贵.电动车是最贵的.
按域名数量划分的 SSL 证书
一个 SSL 证书可能与一个或多个域(也就是主机名)相关联.一旦发布,就无法更改其名称类型(例如,从单一名称切换到通配符名称).
单域 SSL 证书
就像听起来一样,此 SSL 证书保护单个域/主机名.单名证书仅对证书指定的域有效.
但是,如果您获得 www.myspecialsite.com 的单名证书,大多数证书颁发机构将颁发带有 myspecialsite.com 字段条目的签名证书 em> 也是.浏览器将信任带有或不带有 www 前缀的证书.
多域证书
多年来,多域 SSL 证书发生了很大变化.最初创建是为了支持当时的新 Microsoft 平台,它们也被称为主题备用名称 (SAN) 和统一通信证书 (UCC). >
多域 SSL 证书允许在当前证书中添加、编辑和删除域.它们适用于 DV、OV 和 EV 类型.
通配符 SSL 证书
通配符 SSL 确保如果您为一个域购买证书,您可以为子域使用相同的证书.因此,您可以保护一个基本域或主域以及无限的子域.
因为通配符比传统的单一名称证书的网络更大,所以它们的好处是三倍:
- 它减少了证书所有者涵盖与其域关联的子域数量的工作.
- 与其他选项相比,它在向现有站点添加新子域方面具有更大的灵活性.
- 与为每个子域购买单独的证书相比,这往往会更便宜.
通配符 SSL 证书仅保护 URL 一级的子域.当您到达 URL 的第二级和第三级时,事情变得更加复杂.如果您想保护多个级别,则需要使用多个通配符或多域通配符证书,它也可以用作多级通配符.
通配符证书使用星号来表示子域.
如果您为 *.myspecialsite.com 购买了通配符证书,则可以在任何一级子域中使用它,例如:
- www.myspecialsite.com
- 个人.myspecialsite.com
- 仅.myspecialsite.com
但是,您不能将其用于这些:
- www.personal.myspecialsite.com
- personal.only.myspecialsite.com
使用证书为多个分组的子域提供服务的任何尝试都会在大多数浏览器中导致安全警告.
通配符证书的费用与 OV 或 DV 价格相称,具体取决于选择的价格.EV 不适用于通配符 SSL 证书.
名称属性
您可以使用两个不同的属性将多个域关联到一个 SSL 证书:
- 通用名称 (CN)
- 主题备用名称 (SAN)
通用名称允许指定单个条目(通配符或单个名称),而 SAN 扩展支持多个条目.
理论上,今天颁发的每个证书实际上都是一个 SAN 证书,因为 CA 也要求将通用名称的内容添加到 SAN 中.即使证书包含单个名称,它仍将使用 SAN 扩展名并包含该单个名称.
在实践中,术语"SAN证书"和"多域证书"是同义词,通常表示一种证书产品,其中颁发者可以通过指定SAN的内容(直接或间接)来关联多个域.
证书的 SAN 字段中可以包含任意数量的不同域名,使其能够处理包含的任何域名.
与通配符不同,UCC 可以覆盖相对大量的域.通配符证书只能覆盖一个域,对于证书中通配符星号表示的域名部分,该域将包含给定数量的子域.
某些提供商可以在 SAN 字段中包含通配符,或颁发 EV、多域证书.这允许在同一个证书的帮助下保护多达 100 个域.
这可以在许多情况下显着节省成本.
哪种类型的 SSL 证书最好?
SSL 证书始终是一项不错的投资,但是,重要的是要考虑哪一种最适合您的业务需求.
在决定获取哪种类型的 SSL 证书时,需要考虑以下几点:
- 域名数量
- 您的业务所需的保证级别和客户
- 预算注意事项
- 发行时间
标准 SSL 证书通常足以满足大多数个人和企业的需求.如果您从事金融或保险行业(受监管行业),或者需要 PCI 合规性、优先电子邮件支持或企业级安全/性能,您可能需要 OV 或 EV.
加密类型
在通过证书颁发机构进行搜索时,您可能还会遇到不同类型的加密:
- Rivest-Shamir-Adleman (RSA) – 以姓氏命名对于它的创建者,它是最常见的加密形式,有 128 位、256 位和 2048 位加密.
- 数字签名算法 (DSA) – 网站所需的政府加密标准必须满足此标准.
- 椭圆曲线加密 (ECC) – 最常用的加密形式中最强大的一种.
加密比特率越高,安全性越好.虽然ECC比RSA强,所以ECC 256位证书比RSA 2048位证书强.
RSA 和 DSA 之间的区别在于,前者在验证签名方面更快,签名是在颁发 SSL 证书的过程中使用的加密密钥.RSA 在创建签名时也较慢.DSA 加密正好相反,因为它在创建签名时速度更快,但在验证它们时速度更慢.
证书的有效期也是一个关键考虑因素.默认情况下,大多数购买的标准 SSL 证书的有效期为一到两年.如果您觉得有需要,您可以获得更高级、时间更长的类型.
购买 SSL 证书的费用各不相同,但您可以免费获得 DV,也可以按月付费以获取自定义证书.
有关您需要的证书种类的更多建议,请查看这篇文章.
我们对域安全术语和类型的深入介绍到此结束.接下来,是……的所有重要话题.
如何制作网站 HTTPS
所以我们知道什么是 HTTPS & SSL 是,并且了解它们的重要性.让我们来看看采购和实施它们所涉及的内容.
如何获取 SSL 证书
购买 SSL 证书有多种选择.一些最受欢迎的 SSL 证书供应商是: Comodo SSL、 DigiCert、 GeoTrust、 SSL.com 和 Thawte.
SSL 证书也可以免费获得.目前在线有几个免费的 SSL 证书提供商,例如 ZeroSSL 和 SSL 免费.我们个人推荐高度信任且非常受欢迎的让我们加密.
Let's Encrypt 是一家提供免费 SSL 证书的证书颁发机构.它们仅提供 DV 类型,并且每 90 天到期一次,因此您需要定期更新.为此,您可以使用 Certbot ACME 客户端,它可以相对轻松地自动执行此过程,并提供有关怎么做.
许多顶级托管服务提供商与 Let's Encrypt 合作,让安装 SSL 证书成为网站所有者的轻松过程.(嘿!WPMU DEV 就是其中之一.?)如果您的托管服务提供商提供 Let's Encrypt 支持,他们可以代表您提供证书、安装它并使其保持最新状态.
虽然 Let's Encrypt SSL 证书是免费的,但托管服务提供商正在承担提供这些证书的行政和管理成本(获取、实施并通过定期续订保持其有效性).但是,这应该是他们为您提供的托管价值的一部分,而不是他们收取额外费用的东西.
示例:Let's Encrypt 目前建议您不要通过 GoDaddy 获取他们的 SSL 证书主持.这是因为 GoDaddy 仅使用自己的证书提供自动续订-作为一项额外费用功能.(在 WPMU DEV 托管,我们绝不会收取 SSL 证书续订费用.)
如果您的托管服务提供商没有集成 Let's Encrypt,但确实支持上传自定义证书,您可以在自己的计算机上安装 Certbot 并在手动模式下使用它.查看 Cerbot 的文档,了解有关如何执行此操作的更多信息.或者,从 SSL 商店查看这个有用的教程 cPanel 安装.
主机设置演练
为了让您了解通过托管服务提供商安装 SSL 证书是多么容易,我们现在将快速浏览一个.
这方面的细节当然取决于您托管的对象,因为 SSL 证书配置的细节对每个公司来说都是独一无二的.
我将分享 WPMU DEV 的工作流程,因为我与他们一起主持.
每当使用临时 tempurl.host 域或添加到任何现有站点的自定义域创建新站点时,WPMU DEV 都会自动为其配置和安装常规 SSL 证书.
对于大多数网站,这会在几分钟内发生,但可能需要几个小时.等待时间取决于您的 DNS 设置在世界范围内传播的速度.
将证书添加到站点后,WPMU DEV 会强制所有流量仅通过 HTTPS.
对于单个站点证书,就是这样!大功告成.
如果您想通过 WPMU DEV 获得子域 和 子目录多站点网络的免费通配符 SSL 证书,您绝对可以.即使您有一个子目录多站点,您也可以将子域映射到其中的子站点,并让它们都包含在同一个通配符证书中.
可以在没有通配符证书的情况下开发子域多站点,但请确保您的网络处于活动状态,否则当访问者尝试访问它们时,您的子域将显示安全错误.
要生成免费的通配符证书,您只需在主域的 DNS 中添加一条记录,然后重新认证 SSL.
找到要用作主要域的自定义添加域的行,然后将光标悬停在三点菜单图标上;您会看到已自动配置常规证书.那里有提示提醒您,如果您想改用通配符证书,则需要将所需的 CNAME 添加到您域的 DNS 记录中.
添加所需的 CNAME 后,再次将鼠标悬停在三点状菜单图标上,然后从下拉列表中单击重新检查 ACME 选项.系统会自动验证DNS,并为该域生成通配符证书.
要获取需要添加到域 DNS 的信息,请向下滚动到屏幕底部以查找站点的 DNS 记录.找到 CNAME 记录(对于通配符 SSL 证书是可选的),它包含两部分:_acme-challenge 的主机名,然后是实际记录.
必须将主机名和记录复制到您的域名系统.如果您的 DNS 已连接到 Hub 2.0 DNS 管理器,请按照指南快速更新.
如果您的 DNS 在其他地方进行管理,例如您的域注册商,请参阅我们的注册商指南文档,其中涵盖了精选的热门提供商.
就是这样!域安全 → 激活.?
问题排查
如果您的托管服务提供商处理了这种转换,则很可能不会有任何问题.
如果您自己安装,或者您的主机没有完全达成协议,则可能会遇到一些问题.
我们将了解最常见的一个,以及如何查找和修复它.
混合内容警告
当您的网站错误地将图像和/或内容评估为不安全时,就会出现混合内容警告.基本上,HTTP 和 HTTPS 内容都被加载以显示相同的页面,而初始请求通过 HTTPS 是安全的.
如果发生这种情况,您的第一个线索将是视觉上的.正常出现的图像和内容现在似乎不存在或损坏.它还可以防止挂锁(表明您的网站是安全的)显示在访问者的浏览器中.
有两种类型的混合内容:
- 活动 – 这些资源可以极大地改变网站的行为,例如 JavaScript、CSS、字体和 iframe.浏览器拒绝加载活动的混合内容,这通常会导致受影响的页面看起来完全没有样式或损坏.浏览器会非常积极地对待这些内容,因为如果它们被入侵会产生后果.
- 被动-这些资源对页面整体行为的影响较小,例如图像、音频和视频.浏览器将加载被动混合内容,但可能会更改 HTTPS 指示符.
要解决此问题,您需要确保将 WordPress SSL 设置为显示混合内容.
可以提供帮助的工具
SSL 不安全内容修复程序 是一个使用率很高、评价很高的 WordPress 插件,专为此特定目的而设计.
使用 SSL Insecure Content Fixer 插件可以轻松解决大多数不安全内容警告.其余的可以通过一些简单的工具进行诊断.
安装后,SSL Insecure Content Fixer 的默认设置将使用它们的简单修复级别自动在您的网站上执行一些基本修复.您可以根据网站的需要选择更全面的修复级别.
如果您使用 WordPress Multisite,您将获得一个网络设置页面.如果您的要求与网络默认设置不同,您可以通过此方法更改网络中所有站点的设置.
WebAware 在他们的网站上有一个很棒的 演练资源,基本上是以下要点,详细展开.以下是顶级步骤:
- 安装 &激活您网站上的插件
- 运行测试工具(以验证 WordPress 可以检测到 HTTPS)
- 为您的内容选择合适的修复程序设置
- 测试您的网站(使用浏览器工具或在线测试)
- 清除 HTTPS 不安全内容警告
如果您愿意,可以通过检查网络浏览器的错误控制台来调查导致不安全混合内容警告的原因.请参阅以下内容:
- Google Chrome 在其开发者工具中有一个 JavaScript 控制台
- Firefox 具有网络控制台
- Internet Explorer 具有 F12 工具控制台
- Safari 具有错误控制台
确保在打开浏览器控制台后刷新页面,以便它再次加载不安全的内容并将所有警告记录到错误控制台.
还有另外两个免费工具可以报告您网站的问题.它们可以比浏览器控制台更详细,并提供解决发现问题的建议.
这些测试网站都非常适合诊断证书问题,并生成干净、清晰的报告.
Whynopadlock.com 也寻找不安全的混合内容,这正是我们在这里想要的.
尤其是
SSLlabs.com,有大量的材料,但不是混合内容.不过可能很有价值,所以值得一看.
如果您选择了信誉良好的主机在您的网站上实施 SSL,您就不必担心任何问题.要么它们一开始就不存在,要么支持团队会迅速解决任何突然出现的问题.(WPMU DEV 在支持方面表现出色,我们 24/7/365 全天候提供服务.如果您正在寻找,请尝试我们的无风险免费试用.)
不要沉迷于此
更深入地了解 SSL 的作用肯定会更深入地了解它所产生的多层次影响.
考虑到它提供的所有优点,在您的所有网站上部署 HTTPS 是轻而易举的事.想要成功或保持成功的企业离不开 SSL 提供的数字力场.
正如您在本文中看到的,获得 SSL 保护有一些不错的选择.最快和最简单的方法是与一位为您处理此事的可靠主机保持一致.如果您喜欢这种事情,还可以选择修改自己的 WordPress 文件.
无论您启用 HTTPS,还是立即开始.知道您的客户数据(和您的商业信誉)是安全无虞的,您会睡得更好.然后你可以抓住 ZZZ 而不是黑客的费用.或者数一数你收获了什么,而不是羊.
VPS1352主机测评网(www.vps1352.com)
本文链接:https://www.vps1352.com/7508.html
