您的网站是您的在线形象,因此,它看起来(并且确实如此!)专业、安全且值得信赖非常重要。获得网站访问者信任的最佳方法之一是获取安全套接字层 (SSL)证书。此证书会创建加密连接,以保证您网站用户提交的所有信息安全无虞。
SSL 证书并非只是一种时尚 — 如果您没有证书,您的浏览器肯定会让人们知道您的网站不安全。在某些情况下,潜在客户甚至无法打开您的网站。
在本文中,我们将告诉您如何以简单易懂的方式获取 SSL 证书。我们保证这很容易!
什么是SSL证书?
SSL证书是一种数字证书,有助于确保网站用户的安全在线体验。它对网站进行身份验证,并加密网站与用户浏览器之间传输的数据。该证书可确保用户信息的私密性和安全性,这意味着用户信息不会被窃听或篡改。
SSL 证书还用于对网站进行身份验证,这样您的客户就可以确保他们连接到的是合法网站,而不是欺诈网站。此类证书可向 Google 等搜索引擎表明您的网站是安全的,这可以显著提高其可见性。
SSL 证书的类型
SSL 证书有多种分类方法,每种方法都有各自的特点和用途。我们可以根据以下特点对证书进行分类。
按验证级别
SSL 证书可以根据域深度和组织验证进行分类。
- 域名验证 (DV) 证书:验证域名所有权,但不需要进行大量身份验证。它们通常颁发速度很快,适合个人网站或博客。
- 组织验证 (OV) 证书:验证域名及其关联组织。它们需要一定程度的活动验证,并在证书详细信息中显示组织名称。
- 扩展验证 (EV) 证书:提供最高级别的验证。它们执行全面的身份验证,包括法律和操作检查。EV 证书显示绿色地址栏和组织名称,这是可信度的强烈视觉标志。
按受保护域的数量
SSL 证书也根据其保护的域名数量进行分类。
- 单域证书:保护单个域名。
- 多域证书 (UCC/SAN):在单个证书内保护多个域名。
- 通配符证书:可以保护单个域名内的无限数量的子域名。
按加密算法
这是 SSL 证书中不太常见的分类。
- RSA(Rivest-Shamir-Adleman)证书:使用RSA算法进行加密和解密,该算法基于简单因式分解的原理。
- ECC(椭圆曲线密码)证书:使用椭圆曲线密码,以较小的密钥提供更强的安全性。
一般来说,在为网站选择证书时,您可以根据验证级别和域名数量进行分类。选择特定类型的证书变得显而易见,因为您可以确定自己组织的规模和需要保护的域名数量。
SSL 证书的工作原理
SSL 证书使用加密过程和协议在网站和用户浏览器之间建立安全连接。
- 公钥交换(握手)。当用户访问受 SSL 证书保护的网站时,Web 服务器会将其公钥发送到用户的浏览器。然后,浏览器会通过证书颁发机构验证其真实性。
- 会话密钥生成。用户的浏览器使用安全加密算法生成随机临时会话密钥。会话密钥用于在用户访问网站期间加密和解密数据。
- 会话密钥加密。用户的浏览器使用从 Web 服务器获得的公钥加密会话密钥。加密的会话密钥与其他必要信息一起发送回 Web 服务器。
- 会话密钥解密。Web服务器使用其私钥来解密加密的会话密钥。只有 Web 服务器才能访问私钥,从而确保会话密钥的安全解密。
- 安全通信。会话密钥解密后,Web 服务器和用户浏览器将建立安全加密的通信通道。会话期间浏览器和 Web 服务器之间传输的所有数据均使用会话密钥加密。此加密可防止敏感信息被窃听、篡改或拦截。
为了便于理解,SSL 证书创建浏览器和网站服务器之间的通信可分为两个步骤:SSL 确认(如上所述)和通过加密通信通道实际传输数据。当连接安全时,浏览器会在地址栏中显示一个关闭的挂锁图标和“https://”。
获取 SSL 证书的 7 个步骤
即使您不接收或传输敏感信息,也必须拥有 SSL 证书。让我们逐步了解如何为您的网站购买 SSL 证书。
确定您需要哪种 SSL 证书
哪种 SSL 证书适合您?这取决于多种因素以及您的业务具体情况。
例如,我们以一个单页网站为例,该网站提供有关商家位置和营业时间的信息或有关活动的详细信息。对于此网站,域名验证可能就足够了,因为它提供的信息简单,并且不会收集特定的用户数据。
对于托管在可扩展VPS或专用服务器上的电子商务网站,用户与网络服务器交换个人信息(例如电子邮件地址、密码、送货地址和信用卡详细信息),高级验证应提供更高级别的安全性和信任度。此外,在线商店可能会收集客户数据用于营销活动,因此更适合高级验证。
除了您的业务具体情况外,还要考虑证书的成本,这将根据复杂性和具体类型而有所不同。
选择证书颁发机构
证书颁发机构是颁发 SSL 证书的组织。全球有数十家证书颁发机构,但其中几家占据了全球大部分 SSL 市场。有些提供免费 SSL 证书。
以下证书颁发机构名列前茅:
- Sectigo(前身为 Comodo)是商业证书颁发机构的市场领导者。该中心近年来因其实惠的价格而取得了巨大的成功。尽管验证可能需要一些时间,但 Sectigo 证书非常受欢迎。
- DigiCert为企业提供完整的加密和反恶意软件解决方案。其所有证书均包括动态站点打印、对用户数据和关键站点基础设施的额外保护以及快速业务或扩展验证。
- SSL For Free是一家非盈利证书颁发机构,可与所有主流浏览器兼容。与其他免费 SSL 证书颁发机构一样,SSL For Free 提供每次有效期为三个月的免费 SSL 证书。作为域名所有者,您必须每三个月免费续订一次。
- Linux 基金会创建的Let’s Encrypt也提供免费 SSL 证书,但必须每 3 个月更新一次。该中心的长期目标是将互联网从 HTTP 转移到 HTTPS。
其他受欢迎的选择包括 Cloudfare、GeoTrust、Thawte、GoGetSSL 等。我们建议您熟悉每个认证中心的定价和优惠。然后,您可以做出明智的决定,选择其中一个。
通过 ICANN 查询验证您的站点信息
在申请 SSL 证书之前,请确保您的信息与 ICANN 的搜索记录相符。检查您的服务器名称、注册商信息和权威服务器。
ICANN 工具使用由互联网工程任务组 (IETF) 技术社区创建的注册数据访问协议 (RDAP) 来替代WHOIS协议 (端口 43)。
保存来自服务的信息并在必要时在证书签名请求(如下所述)中更新它。
生成证书签名请求 (CSR)
证书签名请求 (CSR)是您在向证书颁发机构申请 SSL 证书之前必须在 Web 服务器上创建的文件。处理您的请求后,CA 将使用此文件中的信息颁发 SSL 证书。
您可以自己生成证书签名请求代码:例如,如果您管理自己的主机服务器。最好的方法是联系主机服务提供商的技术支持,他们可以告诉您如何生成准确的 CSR。
将 CSR 发送到证书颁发机构以验证您的域
现在您已经生成了 CSR,下一步是访问您选择的证书颁发机构网站并购买您需要的 SSL 证书类型。完成购买过程后,CA 将要求您提交上一步中生成的 CSR 文件。
根据您购买的 SSL 证书类型,证书颁发机构可能需要几个小时到几天的时间来验证您的信息并为您的网站颁发 SSL 证书。
在您的网站上安装证书
证书颁发机构处理完您的 SSL 证书请求后,您将收到一封电子邮件,允许您访问 SSL 证书。或者,您可以从购买证书时创建的用户帐户下载证书。
SSL 证书安装过程取决于托管您网站的服务器的操作系统。
测试并维护您的 SSL 证书
建议网站所有者定期检查其 SSL 证书并安排维护。这样可以让您高枕无忧,并确保您的证书不会在您不知情的情况下失效或过期。
许多证书的有效期为 12 个月,而有些(例如免费 SSL 证书)的有效期为 3 个月。请检查证书的具体工作原理,以免错过到期日期。
最常见的做法是设置电子邮件通知,当您的 SSL 证书即将过期时提醒您。
请记住,您网站用户信息的保护取决于您的 SSL 证书的工作方式。这将防止许多安全问题。
什么是 TLS 证书?
SSL 支持的算法较旧,仍存在一些漏洞,而且 SSL 握手过程复杂且耗时。相比之下,TLS(传输层安全性)使用更先进的加密算法,TLS 握手过程得到简化,可以更快地建立连接。
TLS 协议基于 SSL 3.0 版协议规范。此安全协议允许客户端-服务器应用程序通过网络进行通信,从而避免数据包嗅探和未经授权的访问。
尽管 TLS 是 SSL 的更新版本,并且 SSL 的两个公共版本都存在已知漏洞,但证书仍被称为 SSL。
为什么会发生这种情况?这并不是说网站仍在使用过时的证书版本。只是这个名字已经变得如此流行,以至于它没有改变。实际上,所有常用的 SSL 证书都是 SSL/TLS 证书。
不存在所谓的 SSL 证书或 TLS 证书,您也不必担心用一个证书替换另一个证书。您只需使用它们来确保安全连接即可。
结论
为您的网站获取 SSL 证书可提高其权威性和用户信任度,并有助于搜索引擎优化。通过受信任的证书颁发机构获取证书很容易。
按照本文概述的步骤,您可以使用 SSL 证书保护您的网站。安装后,访问者将在地址栏中看到挂锁图标和“https://”,这意味着他们的连接已加密并且数据正在安全传输。
我们还提醒您在 SSL 证书到期之前进行更新,以确保您的网站安全。
如果您刚刚开始建立自己的网站,我们建议您选择适合您的托管服务。免费服务在安全性和可扩展性方面可能存在风险。最好的选择是为您的网站购买VPS服务器。这种类型的托管为您提供业务增长所需的灵活性,并且适合任何预算。