我一直以为自己足够了解SSL证书了,但最近又深入学习了下,顺道也把自己的SSL得分从原来的 B 改进成了A+。一番研究下来发现原来错过了很多知识点,网上要不写得很复杂,要不就写得很简单。
于是为了梳理思路,我根据自己的理解重新写了篇,发表在我黑科技娃娃这个博客,如有不准确的地方欢迎一起学习交流。
SSL证书定义:
数字证书的一种,全称Secure Sockets Layer安全套接层协议,是互联网信息安全的信息加密传输协议。简而言之就是对数据进行加密,保障网络数据传输的安全性。
其目的是在网站的访问者和网站之间创建了一个安全的互联网通道,未经授权的任何人都无法对其进行解密,从而确保所有登录凭据、个人信息、信用卡数据免受黑客的侵害。
证书是由值得信任的组织担任第三方来发放的,这种组织称为CA。
TLS(传输层安全):
是更为安全的升级版 SSL,由于 SSL 这一术语更为常用,因此我们仍然将我们的安全证书称作 SSL。
只要有SSL证书的网站,网址都是“HTTPS”开头的,而且在浏览器的前面会出现个小锁。没有装证书的网站就会显示感叹号。
SSL证书的作用
影响网站信任度和 SEO 排名
现在已经很少见到那些没用SSL证书的,即网址前是 HTTP 地址开头的网站了。
网络安全是谷歌的主要排名因素之一,SSL 证书向搜索引擎显示该网站使用数据加密来保护敏感信息,这鼓励了谷歌在搜索结果中显示 SSL 认证网站,从而增加网站的自然流量。
不用SSL证书会影响 Google 的信任度,Google 将不受 SSL 证书保护的网站显示为“不安全”,会直接提醒用户不要打开这个网站。
不用说什么SEO和排名了,连基本的用户体验都没了,等于做了个废站。这种网站淘汰是早晚的事。
保护客户数据和电子商务交易,对网站的信息传输加密
HTTP之所以退出历史舞台,主要是网站上的所有信息没有加密,都是明文传输的,黑客如果用点手段就会看到你的账号密码等一切信息。
在网上进行电子商务交易时,有SSL 证书的网站 ,采取更为严格的企业及所有权验证,让客户知道他们的交易安全可靠,并且充分信任该网站。
SSL 会创建一种加密方式和一个唯一的会话密钥,为了加密所有的传输数据,所以电商网站都必须要加这个SSL证书,哪怕它全站都不用HTTPS,登录页和结算页面也必定是加了SSL证书的,可以说SSL证书已经成电商网站标配了。
你看黑科技娃娃的博客就是添加了SSL证书的,点击灰色小锁——“连接是安全的”,就能看到具体的证书细节。
并不是说网上的所有拥有 HTTPS开头的网站就是绝对安全的,毕竟ssl只是确保交易类网站的安全,保证涉及金额的信用卡等信息不泄露,在seo或者权重上增加一些效果。
而有些下载类网站是夹带后门私货的,还有部分钓鱼网站也会申请免费的SSL证书来增加信任感,这个就无关SSL是否安全了,主要是看做网站的人是个什么目的。
SSL证书分类
了解证书分类十分重要,只有这样你才能分辨自己应该使用哪类证书,到底选择付费的还是免费的,付费的话如何买到最优惠的价格。
SSL证书根据安全验证级别主要分为三大类:DV证书、OV证书、EV证书。
排名从左至右:安全性从低到高,审核难度从低到高,价格从低到高。
有相应SSL证书的网站说明已经验证了网站及其背后企业的真实性以及合法性,更贵的 SSL 证书的验证过程通常更加严谨。
SSL 证书根据级别不同,给网站提供的安全性也不同,有 ECC、RSA 或 DSA 三种加密方式可以选择,密钥加密越长位数越多,越难解码,一般128位就可以保证安全了,最高加密是256位。有些加密需要托管服务器和浏览器的配置都在相同的位数运行,三方都达到可遇不可求。
目前由于安全性原因,SHA1签名算法已被淘汰,CA证书均使用SHA2签名算法。无论哪一种SSL证书在最长有效期大多只有1年,意味着每年就需要申请续订,如果不续订会导致项目业务被终止并且发生错误警告。
在详细讲述证书分类前,先了解下下面的名词解释。
名词解释:
代码签名:一般由软件开发者或者发行商申请,通过对代码的数字签名来显示软件来源以及软件开发者的真实身份。能保证代码在签名之后不被恶意篡改,使用户在下载时能够有效的验证该代码的可信度。
要想实现代码签名必须首先需要获得数字证书,OV和EV证书都有代码签名,代码签名证书是存储在Ukey中, CA通过邮寄的方式送到用户手中。
没有证书代码签名的软件在安装时,操作系统会弹出软件不安全的提示从而导致产品可信度问题。
代码签名能免费提供时间戳服务(即使代码签名过期了,由时间戳也可以验证软件有效完整性),保证已经签名的代码长期有效,而且在证书有效期内不限签名次数。
邓白氏:邓白氏编码是国际认可的标准企业身份标识,是作为电子商务中一个国际认可的、常用的公司识别符号,邓氏编码已经在如国际标准组织(ISO)等全球最有影响力的标准定制机构、50多家全球行业及贸易机构、美国政府、欧盟、联合国、ISO组织等,承认、推荐或是要求使用该编码。
DV SSL 证书(域验证 Domain Validation)
在域验证中,证书颁发机构只验证域所有权,申请比较简单。DV证书不包含颁发电子邮件加密和代码签名类的证书。
DV证书虽然包含通配符证书和多域名证书,但有些要看所在的服务器能否能开通使用。
DV证书分免费和付费的,现在的主机商(像Hostinger之类)一般都会送你免费的DV SSL证书,不需要自己另外买, 不过一般只送一个,多网站就需要付费购买了。
Let’s Encrypt 是最常见的免费DV证书,支持多域名和通配符证书,Certbot 是官方推荐的证书生成客户端工具,每三个月自动一续,除了自动定时外,获取通配符证书需要ACMEv2 协议。
Cloudflare也提供免费的Flexible ssl 证书,前提是你的域名要放在 Cloudflare 解析。
适用个人和小型网站的DV证书,很多小公司为了摆脱繁琐的验证和省钱,不用 OV 证书,都用了付费的DV证书,因为一些CA机构颁发的付费DV证书也有保险金额赔付,只是不多而已,适合小微企业购买。
PositiveSSL 和 RapidSSL 是两种最普遍的付费DV证书。
OV SSL 证书(组织验证Organization Validation)
适用企业网站的OV证书,具有中等验证级别的 SSL 证书,证书颁发机构通常要求提供文件以验证网站管理员的站点、组织名称、联系信息和地址,提交相关的证明、执照,还有上面说的邓白氏等材料,过程更复杂、签发更严谨,价格自然就更高。
使用组织机构企业使用,例如淘宝用的是 Globalsign的 OV 证书。
EV SSL 证书(扩展增强验证Extended Validation)
是目前业界安全级别最高的SSL证书,比OV还严格,审核极端严格,证书颁发机构将对各自所有者进行广泛的背景调查,除了要验证域名所有权、企业相关信息、提供邓白氏外,CA机构还会进行电话回访。特需情况下可能还会使用到律师意见信的协助,当然有了律师意见信就不需要邓白氏了。
最大特点是不仅浏览器地址栏会显示安全锁标志,还在浏览器界面中显示你的组织名称,而且浏览器地址栏会变成绿色(谷歌浏览器不会显示,IE会显示)。
适用有实力的大企业的,像银行、证券行业基本都用的这个证书。比如中国银行就用了EV证书,亚马逊用的就是Digicert的EV证书。
从域名数量证书又分为:单域名证书、通配符证书、多域名证书。
单域 SSL 证书 —— 保护单个域及其子目录,包括带WWW的子域名。
通配符 SSL 证书( wildcard certificates)—— 涵盖单个域及其多个子域的通配符证书。例如:申请 xxx . com 的SSL证书,则所有用根域名 xxx . com 下的 *. xxx . com 子域名都能得到保护。
多域 SSL 证书 ——保护彼此不相关的多个域
如何选购付费的SSL证书
名词解释:
商业赔付保障(warranty)
如果证书颁发机构未能正确验证数字证书中包含的信息,从而导致最终用户因欺诈性在线信用卡交易而蒙受金钱损失,在这种情况下,最终用户可以要求保修赔偿。此保障仅在最终用户被欺诈性收费时支付,证书供应商将根据其服务条款提供报销。
一定要选择正规品牌的SSL证书,高价值的SSL证书只要是正规的CA机构颁发的,都会赠送一个商业赔付保障(warranty),相当于SSL证书的一份安全保险。
证书是由不同的CA机构颁发的,所以同样分类下也就有了不同品牌区分,这里以选择大厂货为准。最好直接选择国外平台购买,国内的公司都是代理的,必然加了自己的利润,国内的SSL购买都比国外贵。
Digicert、Globalsign、Sectigo(原名Comodo)均是全球知名的SSL证书品牌 。
Sectigo:性价比高,是签发量最多的品牌,EV代码签名证书的审核时间较长,一般为1-7工作日,邮寄不用清关。
Globalsign:在国内有公司,有中文技术支持,签发速度较快,EV代码签名是国内邮寄,但价格较高。
Digicert:品牌知名度高,价格贵。其中包括被Digicert收购的GeoTrust创建的证书子品牌RapidSSL(DV证书)。Digicert EV代码签名证书1-3个工作日可签发,但是邮寄需要清关,所以不能快速获取到证书。
如果考虑价格的话,选择Sectigo机构颁发的证书(原名Comodo),性价比较高,其他两个有点贵。
DV证书虽好,但不支持ECC协议,同时苹果APP不支持某些免费证书,不包含颁发电子邮件加密和代码签名类的证书,免费的DV证书也没有保障金措施。
对于博客和个人网站,如果只是单纯想提高在搜索结果中的竞争力,不进行交易的话,那就用免费的DV SSL 证书就足够了。 如果网站需要进行小额电子商务,就购买付费DV证书。
如果是大型电子商务网站,或者网站上有软件下载,需要代码签名证书的,就需要购买付费的OV 和 EV 证书,银行和大型交易网站等对数据敏感的大企业最好用安全性最高的EV证书。
如果你不会英文也没关系,根据下方的说明指导完全可以成功购买,如果实在担心,可以安装网页翻译插件,都不是问题。
SSLS证书机构是Comodo官方指定的授权销售平台,付费证书可以从这种专门的证书机构里购买,购买证书后不满意支持15 天内退款。
首先进入SSLS官方平台后,选择 PERSONAL,会显示DV证书,选择BUSINESS选项就会出现OV证书,选择ECOMMERCE就会展示EV证书。
根据证书安全等级的不同,所提供的补偿金额也是不一样的,这也是导致证书价格存在差异的原因之一。
PositiveSSL
DV证书分为单域名、通配符和多域名证书,证书金额是根据年限来的,买越长越划算,根据自己的要求选择,不要选错了,单域名证书五年也就20美金不到,支持保证金10000美金,适合只有很小交易的网站。
如果你网站不是只有做一年,那就建议五年一步到位,都白菜价了,还要什么自行车。
如果想看更多证书细节,可以点击每个项目里的证书标题,就可以看到具体的保险金额等细节。签发也很快,15分钟内搞定。
这里就不介绍同个牌子下的Essential SSL证书了,两款证书没什么区别,唯一的不同就在 Essential SSL的保障金更高,当然价格也更贵,这个网站也没卖,估计也是选过产品的,毕竟都差不多的情况下,还是选择性价比更高的 PositiveSSL 来进行售卖了。
InstantSSL
Sectigo颁发的OV证书,如果想看更多证书细节,可以点击每个项目里的证书标题,就可以看到具体的保险金额等细节,签发验证资料大概需要2天,前提是你要配合传送好企业资料等。
OV证书分为单域名、通配符和多域名证书,证书金额是根据年限来的,买越长越划算,根据自己的要求选择,不要选错了,保障金额是五万美金。
单域名证书购买一年是16.88美金,五年的话就是64.4美金,也就400多吧。对企业来说这种价格毫无压力,连淘宝也不过就是OV证书的安全级别了,当然它用的牌子高端,会贵很多,估计没个几千是下不来的。
EV SSL
Sectigo颁发的EV证书,如果想看更多证书细节,可以点击每个项目里的证书标题,就可以看到具体的保险金额等细节,签发验证资料大概需要2周,前提是你要配合传送好企业资料等。
EV证书分为单域名和多域名证书,证书金额是根据年限来的,买越长越划算,根据自己的要求选择,不要选错了,保障金额是175万美金。
本来以为EV证书很贵,结果一看,单域名证书购买一年是52.88美金,五年也才184.4美金,对,你没看错,简直绝了,国外果然卷啊。如果用上EV证书在自己的电商网站,可以去吹牛了,淘宝也就是个OV证书,你的电子商务企业网站都EV证书了,绝对排面!
购买证书后,一般会给你三个文件,SSL 数字证书一般包括公共密钥和私用密钥,公共密钥用于加密信息,私用密钥用于解译加密的信息 ,下面文件保存下来,后面要用,如果不知道怎么安装咨询客服,都是包教会的。
- SSLCertificateFile:主要 SSL 证书文件 (certificate.crt)
- SSLCertificateKeyFile:私钥文件(private.key)
- SSLCertificateChainFile:CA 捆绑文件 (ca_bundle)
如何在Hostinger安装SSL证书
在主机商平台安装免费SSL很简单,你只要在后台一键操作下就可以了,下面以 Hostinger 平台为例,其他相似主机平台原理应该是一样的,套用下即可。
首先要确认你已经完全把域名和空间绑定了,可以自由进入网站的WordPress后台,确定后才可以设置SSL证书。
HG本身会送一个网站的 free Lifetime SSL 证书,这个证书其实就是Let’s Encrypt 证书。
在Hostinger后台的SSL那栏点击 Setup,然后会让你选择想要安装的域名,
安装完就如下显示证书激活:
而第二个网站就要收你SSL的费用了,这个证书本身是免费的,但是需要靠技术手段才能实现免费使用(比较麻烦,需要三个月续期),所以这个收费也算合情合理吧,你可以把它理解为续期人工费,也不贵,大概一次性给11.95美金。
这里开拓下思路,既然第二个网站的SSL都要花钱了,那就干脆买个 DV付费证书,五年也就20美金,还有保障金,如果你以后网站需要电子交易的话,可以用来保护下资金。
下面来说说如何安装从证书平台购买来的SSL证书:
打开HG后台,直接点击顶部菜单上的SSL,进入SSL设置页。单击 Import SSL,选择要安装证书的域,然后把之前得到的三个证书文件内容对应输入。
输入后点击安装,安装成功后如下会显示 CUSTOM SSL 自定义证书。
如果SSL 安装不成功,请尝试卸载老的重新安装,如果仍然无法正常工作,请联系SSL 购买平台教你如何安装,出问题了就让hostinger 客服帮你安装下,或者发你教程。
如何把HTTP链接改成HTTPS链接
安装证书成功后,就需要把原来的HTTP链接更改成HTTPS ,不然网站HTTP和HTTPS都可以打开,对SEO不好。我们需要把网站的所有流量都跳转到HTTPS。
在 WordPress 后台设置-常规中把两个网站链接都改成不带 www的 https 的地址。(我之前把根域名用301重定向到 www,现在谷歌自动给我定向到不带www 的域名了,所以谷歌趋势是不带 www 的。别忘记把Users的Porfile里的网站也改成HTTPS链接。)
如果你是老网站搬迁,可能修改完后仍旧说链接不安全,这个就代表网站仍旧存在部分http 链接。如果你用的是elementor这个插件,那可以利用插件里自带的“工具 ”来 “替换网址”,如果出现0,代表OK了。
如果你没用Elementor的话,就可以安装下 Velvet 插件,功用跟上面的是一样的,用完生效后卸载掉插件即可。
生效后会自动退出WP后台,你等一会看看 http 会不会自动跳转到 https,如果不会就要把HTTP重定向到HTTPS ,你可以在HG后台的SSL里开启强制跳转(Force HTTPS) 到 HTTPS 。
最后SSL证书安装成功,HTTPS网站也可以成功跳转了,你用这个SSL测试工具 来查看下SSL的得分,一般测试结果是A(Hostinger直接就加了CAA记录等),如果是VPS需要你自己根据意见修改代码来改进。