网站安全中的SSL证书有什么作用

想要保护您的站点,但却不确定从哪里开始着手吗?

现如今市场上提供了全方位的可使用的SSL产品,以满足不同的领域和安全需求。尽管许多网站管理员都在探索各种可能性,希望通过移动SSL证书来提升他们的搜索排名,但要想比较这些选项,就会让人难以承受,更不用说完全理解您所要支付的费用了。

许多SSL提供者提供了丰富的附加元件,这使得比较提供程序比较困难。本指南将帮助回答几个常见问题,以便您能够找到最适合您需要的证书:

我应该购买哪种类型的SSL证书呢?我应该使用免费的证书还是从供应商处购买?哪一种证书最好用于保护子域?那么多网域呢?我需要多少年的保修期呢?如何排除常见的安装问题?什么是SSL证书?

在我们讨论这些问题之前,让我们先讨论一下基本问题。SSL代表的是加密套接字协议层,这是一种安全方法,它允许在通过服务器传输数据时对数据进行加密。SSL证书能够有助于保护敏感信息的传输,如信用卡号码、密码和用户名、社交安全号码等等。

它是怎样工作的呢?

SSL证书利用一个公钥和一个私钥,它们共同协作建立加密的连接。通常,在浏览器和网页服务器之间发送的数据是以纯文本形式发送的,这可能会让您容易受到很多黑客的攻击。

为什么使用SSL呢?

使用SSL证书的好处在于它在敏感信息的在线传输期间提供了加密的保护。(实际上,如果您在您的站点上收集信用卡信息,那么您需要支付卡行业(PCI)提供一个SSL证书。)SSL证书还可以帮助您获得客户的信任并防止网络仿冒。

此外,谷歌现在为使用HTTPS的网站提供了一个少量的排名提升。从技术上讲,谷歌仍然只查看URL中的前五个字符,这意味着您的站点可以在没有有效证书的情况下利用HTTPS协议,并且仍然可以获得排名提升。然而,正如谷歌的Gary Illyes所说地那样,最终将实行更严格的检查。

证书类型

有三种常见的证书类型。选择一个合适的网站将基于您网站所需要的安全级别。

经过域名验证的SSL证书(也称为低担保证书)是颁发的证书的标准类型。自动验证可以确保用户注册了该域名,并且由管理员批准该请求。为了完成验证,网站管理员必须通过电子邮件确认或者配置该网站的DNS记录。

处理时间:从几分钟到几小时

推荐:只能在内部系统中使用

组织验证的证书,或高级保证证书,需要真正的代理来验证域名所有权,以及加上组织信息,如名称、城市、州和国家。与低担保证书类似,它需要额外的文档来验证公司标识。

处理时间:从几小时到几天

推荐对象:所有企业和公司

EV证书,或扩展验证证书,是一种新类型的证书,需要最严格的验证过程。这种类型的证书检查,以确保企业是一个法律实体,并要求提供业务信息作为域名所有权的证明。标准SSL证书并不表示您的网站是由合法的、经过验证的企业操作的。

购买EV证书的一个独特功能就是,您的网站浏览器栏会显示一个绿色挂锁。这就有助于增强消费者信心,并确保交易是安全的。

当涉及到SSL的时候,一些知名的名字有GeoTrust,DigiCert,Symantec(以前的Verisign)和一些其它的。还有一些第三方分销商,如NameCheap和Comodo,它们以折扣价格提供相同的保护。

那么关于免费证书呢?

为什么要为免费的东西付钱呢?当用户访问使用自签名或免费SSL证书保护的网站时,大多数网页浏览器都会发布一条错误消息。虽然有些人会点击“同意风险”,然后进入您的网站,但很有可能很多人会点击“把我从这里弄出去”按钮,然后就再也不返回到这个站点了。

真正的问题因为自签证书实际上是不受管制的。如果您的站点受到了损害,那么它仍然看起来可能还是是安全的;但是,由于可信的证书颁发机构颁发的证书可能会被吊销,从而会提醒用户注意任何潜在的威胁。

只有在防火墙之后进行测试之后,才应该使用自签证书。如果您使用像PayPal这样的公司来处理您的交易的话,那么您就可以完全避免购买证书,因为PayPal网站将代表您保护该交易。

我应该寻找什么样的保证书呢?

与任何类型的保险保障一样,基于SSL证书提供的保修范围,其价格差别就会很大。但是,您在购买SSL证书时得到的保证可能会产生误导。它不是对购买者(您)的一项保证,而是对最终用户进行保证。

简言之就是如果消费者在欺诈性网站购买后遭受金钱损失的时候,认证机构在技术上就有过错,因为它没有显示浏览器警告,而且也未能保护消费者。在这种情况下,担保价值将支付给客户,因为有争议的金额比担保本身要少。

要注意的是,这几乎是永远不会发生的!如果用户被一个网站欺骗了,他们可能采取的第一个行动就是去联系他们的信用卡公司。然而,为了实现保修义务,最终用户必须注意欺诈网站使用的是哪个SSL提供商,并与他们进行直接联系。虽然大量的保修范围可能会给您心灵上的平静,但它通常是被用来作为一种策略来说服您为相同的产品支付更多的费用。

保护多项属性

单一名称SSL证书保护单个域名。

随着时间的推移,通配符证书可以很容易为自己买单,尤其是在您需要确保四+子域的情况下。另一个好处是,管理一个通配符证书比管理12个单一证书要容易得多。

多域名证书可以使用单个证书(这取决于您选择的提供程序)保护多达210个不同的域名。

常见问题的疑难解答

有几个常见的错误会使您的SSL证书失去价值:

服务混合内容

证书名称不匹配错误

漏缺中介证书

过期证书

查看的证书不是有安装来源的

服务混合内容,或者HTTP和HTTPS内容,都会使证书失去价值,因为所有内容都必须从一个安全的来源加载。这通常发生在插件、图像和JavaScript代码片段中。如果您在标识页面上不安全的内容时遇到问题,请尝试使用免费工具dreamhost.cn。

证书不匹配通常是由于请求一个SSL证书而得到的,而您假定您的域名但实际上它与域本身并不匹配。例如,如果您的网站是由一个证书,指定“dreamhost.cn.com”,并且您的网站正在加载一个非www版本,则会出现不匹配的错误。

对于要建立的一项HTTPS连接,浏览器栏中的域名必须与您注册证书时输入的精确域名所匹配。

许多人忽视了这样一个事实:为了使您的证书正常工作,您必须安装一个中介/链合格证书。根据您的服务器类型,您可能需要使用一个或两个中介证书。

要始终确保您的证书是最新的。许多浏览器允许您在其高级设置下检查此信息,但您也可以使用SSL Shopper的SSL Checker来获取此信息。大多数证书都可以在到期前90天内可以续签。

如果出现的证书与您刚刚安装的证书不同,那是因为同一IP和套接字编码上只能安装一个证书。安装的来源将被识别。

选择一项证书

选择SSL证书可能很复杂,因为并非所有的提供者都提供相同的证书类型。为了简化这个过程,您可以参考下表,其中概述了来自六个主要SSL提供者的证书产品。如果您计划坚持使用同一SSL提供程序一年以上,如果您提前支付两年或更长时间,通常可以获得相当优惠的折扣。

通过第三方分销商进行采购往往倾向于是最便宜的选择——唯一的警告是您可能收到的客户援助的质量。

如何选择证书:

确定希望保护的属性类型(域名、子域)。

确定您是否需要保护单个属性或多个属性(通配符或多个域名)。

然后,决定您需要哪种水平程度的保护。

域名验证—低保护

团体验证——偏中级保护

扩展验证——高级保护