想要保护您的站点,但不确定从哪里开始?今天市场上提供了各种各样的SSL产品,以满足不同的领域和安全需求。尽管许多网站管理员都在探索各种可能性,希望通过SSL来提升他们的搜索排名,但要想比较这些选项,就会让人难以承受,更不用说完全理解你要支付的费用了。
许多SSL提供者提供了大量的附加组件,这使得比较提供程序比较困难。本指南将帮助回答几个常见问题,以便您能够找到最适合您需要的证书:
我应该购买哪种类型的SSL证书?
我应该使用免费的证书还是从供应商处购买?
哪一种证书最好用于保护子域?多网域呢?
我需要多少保修期?
如何排除常见的安装问题?
什么是SSL证书?
在我们讨论这些问题之前,让我们先讨论一下基本问题。SSL代表加密套接字协议层,一种安全方法,允许在通过服务器传输数据时对数据进行加密。SSL证书有助于保护敏感信息的传输,如信用卡号码、密码和用户名、社交安全号码等等。
它是怎样工作的呢?
SSL证书使用一个公钥和一个私钥,它们共同协作建立加密的连接。通常,在浏览器和网页服务器之间发送的数据是以纯文本形式发送的,这可能会让您容易受到黑客的攻击。
为什么使用SSL呢?
使用SSL证书的好处在于它在敏感信息的联机传输期间提供了加密的保护。(实际上,如果您在您的站点上收集信用卡信息,那么您需要支付卡行业(PCI)提供一个SSL证书。)SSL证书还可以帮助您获得客户的信任并防止网络仿冒。此外,谷歌现在为使用HTTPS的网站提供了一个轻微的排名提升。从技术上讲,谷歌仍然只查看URL中的前五个字符,这意味着您的站点可以在没有有效证书的情况下利用HTTPS协议,并且仍然可以获得排名提升。然而,正如谷歌的Gary Illyes所建议的那样,最终将实行更严格的检查。
证书类型
有三种常见的证书类型。选择一个合适的网站将基于你的网站需要的安全级别。域名验证的SSL证书(也称为低担保证书)是颁发的证书的标准类型。自动验证可确保注册了该域名,并且由管理员批准该请求。为了完成验证,网站管理员必须通过电子邮件确认或者配置该网站的DNS记录。
处理时间:几分钟到几小时
推荐:仅在内部系统中使用
组织确认的证书,或高级保证证书,需要真正的代理来验证域所有权,以及组织信息,如名称、城市、州和国家。与低担保证书类似,它需要额外的文档来验证公司标识。
处理时间:几小时到几天
推荐对象:所有企业和公司
EV证书,或扩展验证证书,是一种新类型的证书,需要最严格的验证过程。这种类型的证书检查,以确保企业是一个法律实体,并要求提供业务信息作为域所有权的证明。标准SSL证书并不表示您的网站是由合法的、经过验证的企业操作的。
购买EV证书的一个独特功能是,你的网站浏览器栏会显示一个绿色挂锁。这有助于增强消费者信心,并确保交易是安全的。
处理时间:几天到几周
推荐:所有电子商务企业
定价和供应商
我应该向谁购买?
当涉及到SSL,一些响亮的名字有GeoTrust,DigiCert,Symantec(以前的Verisign)和更多。还有一些第三方分销商,如NameCheap和Comodo,它们以折扣价格提供相同的保护。
关于免费证书呢?
为什么要为免费的东西付钱呢?当用户访问使用自签名或免费SSL证书保护的网站时,大多数网页浏览器都会发布一条错误消息。虽然有些人会点击“我同意风险”,然后去你的网站,但很有可能很多人会点击“把我从这里弄出去”按钮,然后就再也不回到这个站点了。
真正的问题在于,自签证书实际上是不受管制的。如果您的站点受到了损害,它仍然可能看起来是安全的;但是,由可信的证书颁发机构颁发的证书可能会被吊销,从而提醒用户注意任何潜在的威胁。
只有在防火墙之后进行测试时,才应该使用自签名证书。如果您使用像PayPal这样的公司来处理您的交易,那么您可以完全避免购买证书,因为PayPal网站将代表您保护该交易。
我应该寻找什么样的担保呢?
与任何类型的保险一样,基于SSL证书提供的保修范围,其价格差别很大。但是,您在购买SSL证书时得到的保证可能会产生误导。它不是对购买者(你)的保证,而是对最终用户进行保证。
简言之,如果消费者在欺诈性网站购买后遭受金钱损失,认证机构在技术上就有过错,因为它没有显示浏览器警告,也未能保护消费者。在这种情况下,担保价值将支付给客户,因为有争议的金额比担保本身要少。
请注意,这几乎是永远不会发生的!如果一个用户被一个网站欺骗,他们可能采取的第一个行动是联系他们的信用卡公司。然而,为了履行保修义务,最终用户必须注意欺诈网站使用的是哪个SSL提供商,并与他们直接联系。虽然大量的保修范围可能会给你心灵的平静,但它通常被用来作为一种策略来说服你为同样的产品支付更多的费用。
保护多个属性
单一名称SSL证书保护单个域名。举个例子,如果你要购买一个证书为www.wonderfullywhisked.com,它不是安全的baking.wonderfullywhisked.com。通配符证书允许您获得一个无限数量的子域,这些子域是在一个单一的根域上生存的。例如,假设你想保护这个域名www.wonderfullywhisked.com和它的子域。您需要请求一个通配符证书,并使用*.wonderfullywhisked.com作为公共名称。此证书将确保为www.wonderfullywhisked.com,baking.wonderfullywhisked.com,cooking.wonderfullywhisked.com,等等。
随着时间的推移,通配符证书可以很容易为自己负责,尤其是在您需要确保4+子域的情况下。另一个好处是,管理一个通配符证书比管理12个单一证书要容易得多。多域名证书可以使用单个证书(取决于您选择的提供程序)保护多达210个不同的域名。
常见问题的疑难解答
有几个常见的错误会使您的SSL证书失效:
服务混合内容
证书名称不匹配错误
缺少中介证书
过期证书
查看的证书不是安装的
服务混合内容,或者HTTP和HTTPS内容,都会使证书无效,因为所有内容都必须从一个安全的来源加载。这通常发生在插件、图像和JavaScript代码片段中。如果您在标识页面上不安全的内容时遇到问题,请尝试使用免费工具WhyNoPadLock.com。
证书不匹配通常是由于请求一个SSL证书而得到的,而您假定您的域名是什么,但实际上它与域本身并不匹配。例如,如果您的网站是由一个证书,指定“www.excellwhickseked.com”,并且您的网站正在加载一个非www版本,则会出现不匹配的错误。
许多人忽视了这样一个事实:为了使您的证书正常工作,您必须安装一个中介/链证书。根据您的服务器类型,您可能需要使用一个或两个中介证书。始终确保您的证书是最新的。许多浏览器允许您在其高级设置下检查此信息,但您也可以使用SSL Shopper的SSL Checker来获取此信息。大多数证书都可以在到期前90天内续签。如果出现的证书与您刚刚安装的证书不同,那是因为同一IP和套接字编码上只能安装一个证书。第一个安装的将被识别。
选择证书
选择SSL证书可能很复杂,因为并非所有的提供者都提供相同的证书类型。为了简化这个过程,您可以参考下表,其中概述了来自六个主要SSL提供者的证书产品。如果您计划坚持使用同一SSL提供程序一年以上,如果您提前支付两年或更长时间,通常可以获得相当大的折扣。
通过第三方分销商进行采购往往是最便宜的选择——唯一的警告是您可能收到的客户援助的质量。
如何选择证书:
标识希望保护的属性类型(域名、子域)。
确定您是否需要保护单个属性或多个属性(通配符或多个域名)。
然后,决定你需要哪种程度的保护。
域名验证—低保护
机制验证——偏中级保护
扩展验证——高级保护
一些网站资源:
https://wiki.mozilla.org/CA:Problematic_Practices#Email_Address_Prefixes_for_DV_Certs
https://tools.ietf.org/html/rfc6101
https://www.icann.org/en/system/files/files/valentin-idn-ct-01dec04-en.pdf
https://letsencrypt.org/getting-started
欢迎与我们交流您的想法。
上述内容是由dreamhost中文指南(http://dreamhost.cn/)为大家提供的,如果您想了解更多信息,请继续关注dreamhost中文指南,如果您想转载此内容,请注明出处。