什么是SSL是一个你可能知道答案的问题。大多数处理网站的人都这样做。或者,至少,他们假装他们这样做。 ?
没关系。这些事情对他们来说有一定程度的复杂性,所有这些三字母缩写确实需要一些时间来适应。
所以这里有一个关于SSL和所有相关事项的所有你需要知道的指南。我们还会告诉您如何逐步在WordPress上启用SSL。
目录:
?什么是SSL?就像,真的
?SSL如何工作?
?SSL和TLS之间有什么区别
?什么是HTTPS?
?SSL/ TLS证书的类型
?为什么在您的网站上使用SSL非常重要
?如何在WordPress上获取SSL
什么是SSL?就像,真的……
好的,所以你知道SSL代表什么。那就是“安全套接字层”。
简单来说,SSL用于加密网站与其访问者之间的连接。当进行此加密时,这意味着只有该特定网站和该特定访问者才能读取他们来回发送的信息。
如果没有SSL,几乎任何人都可以窃听数据传输。我的意思是任何人!
在Web上处理HTTP通信的传统方式是通过发送可在第三方在源和目的地之间的路上读取的普通数据包。当您只是浏览9gag时,这不是一个问题,但当您尝试在线购买并只输入您的信用卡号时,这可能是一个严重的威胁。
换句话说,当您访问不使用SSL的网站时会发生以下情况:
中间人可以完全阅读整个通信,因为它全部都是在公开场合发生的,没有任何加密。
想象一下,在一个繁忙的咖啡馆和某人交谈。有点像那样。
现在运行SSL:
通信已加密。虽然人们仍然可以在通过互联网时拦截它,但解密它几乎是不可能的。
想象一下坐在同一个繁忙的咖啡馆里,但现在你正在向克林贡说话。
SSL如何工作?
当我们进入机制时,这一切都非常简单:
同样,SSL会加密访问者和网站之间传输的所有数据。
对于要使用SSL的网站,他们需要获取SSL证书。该证书证明该网站是合法的,并且他们使用的SSL加密是正确的,而且证书还包含有关用于加密的公钥的信息(稍后将详细介绍)。
以下是当一个人访问基于SSL的网站时,一步一步发生的事情:
第1阶段:?
访问者的浏览器检查网站的SSL证书是否有效。
这样做是为了确保证书不是假的,并且该网站是它声称的。
浏览器检查证书以确保它不是冒名顶替站点。但是,浏览器不会单独执行此操作,而是检查证书颁发机构 – 颁发证书的第三方公司。
如果验证顺利,浏览器会通过显示这个熟悉的挂锁让您知道:
第2阶段:?
浏览器在与网站通信时使用证书。
这是通过获取作为证书一部分的公钥并使用它来加密发送到网站的所有数据来完成的。
然后,该数据以加密形式传输到网站。
第3阶段:?
该网站使用自己的私钥来解密消息,然后对其进行处理。
该私钥仅为网站所知,并且它也是唯一可以正确解密消息的密钥。这意味着只有网站才能读取用户发送的信息。
当发送的数据是信用卡号码之类的东西时,这变得至关重要。
第4阶段:?
该网站向访问者发送响应,并使用私钥向其添加唯一签名。
可以使用网站的公钥在用户端验证签名。换句话说,只有网站本身才能生成该特定签名,因为只有它具有私钥。
在这个阶段,我们已经完成了整个过程,从建立安全连接到向网站发送数据然后接收响应。这就是通过SSL进行通信的方式。
公钥 – 私钥对是一个简单的概念,但只需要建立一个安全的通信渠道,并确保与您通信的一方是他们声称的那个。
?简单来说,您可以将公钥视为挂锁,将私钥视为可用于打开挂锁的实际密钥组合。
SSL和TLS之间有什么区别
总之,没有区别。
好的,更确切地说,有。但对于我们需要知道的所有人来说,这是一个简单TLS(传输层安全性)是SSL的更新版本。它更安全,它实际上是我们所有人现在使用的而不是SSL。
是的,你读得对,每当你得到一个 – 你的想法 – 你的网站的SSL证书,你实际上获得了TLS证书。
我们仍将其称为SSL,因为它是一个更常用和理解的术语。
什么是HTTPS?
HTTP是用于通过互联网进行通信的协议。它正在使用此协议,网站如何向您发送其内容/数据以及如何与其进行交互并将数据发回。
HTTPS是协议的安全版本。这就是最后的“S”代表的东西。
使用HTTPS,通信本身非常相似,唯一的区别是它使用SSL证书加密,使其安全。
SSL / TLS证书的类型
并非所有SSL证书都是相同的。根据您为您的网站获得的证书类型以及配置方式,您的访问者将在其浏览器中看到不同的通知。
最常见的是,证书基于两件事进行分组:
- (a)证书的验证级别是什么
- (b)使用单一证书可以保护多少个域
在第一组(a)下,我们有:
- 证书只验证域名本身 – 证书颁发机构只是验证公司是否拥有对其域名的控制权
- 验证拥有域的组织的证书 – 这个证书不仅验证域名,还验证证书中包含的关于组织的信息,例如姓名和地址
- 提供扩展验证的证书 – 这是证书颁发机构验证域名所有权,组织信息,物理位置甚至公司合法存在的证书的最高级别
为了使您的网站与SSL正确集成,您需要选择标准域验证或组织验证。第三级通常只有大玩家才会选择,例如PayPal,Airbnb等。
您可以在浏览器窗口中查看SSL证书的级别。
域和组织验证的证书显示为:
虽然扩展证书在挂锁和公司名称周围有一个额外的栏:
在第二组(b)中,我们有:
- 单域证书
- 通配符证书
- 多域证书
这些都非常简单。单域证书允许您在一个域名下验证一个网站。
例如,如果您的主站点在YOURSITE.com上运行,而您的博客在YOURSITE.com/blog上运行,那么您可以在一个单域证书下使用这些站点。
但是,如果您的网站位于YOURSITE.com上,但您的博客位于blog.YOURSITE.com上,则您需要使用通配符SSL。
使用通配符证书,您基本上可以验证单个域名以及该主域下的无限数量的子域。基本上,证书中有一个通配符 – * .YOURSITE.com,因此得名。
最后一种类型的证书,多域证书允许您在同一证书下保护多达100个域名。这不是一个偶然的网站所有者甚至开发人员需要麻烦自己的东西。
?这是您应该选择哪种SSL证书的剪切 – 保留摘要:
- 需要验证单个域名吗?获取域级别或组织级别验证的单域证书。
- 需要验证包含一个或多个子域的网站?获取域级或组织级验证的通配符证书。
为什么在您的网站上使用SSL很重要
过去,SSL在过去非常昂贵。不久之前,如果您想在您的网站上添加SSL,您基本上只有两个选项 – VeriSign或Comodo。它们都很贵(约100美元/年)。所以大多数人根本没有打扰。在您的网站上使用SSL似乎是一种不必要且昂贵的奢侈品。
但时代已经改变,这主要归功于一个组织 – 让我们加密。你现在可能已经听说过了。简而言之,Let's Encrypt为任何需要它的网站提供完全免费的正版SSL证书。
他们的产品中的“免费”组件实际上是真正获得“群众的SSL”概念。
但是场上还有另外一名球员发挥了很大的作用 – 谷歌。
在鼓励网站所有者集成SSL证书时,Google始终非常开放。然而,直到谷歌真正使加密成为排名信号,每个人都开始认真对待它们。
阅读:如果您希望您的网站排名更好,您需要SSL!
因此,随着Google和Let's Encrypt的共同努力,SSL网站的数量大幅增加,在撰写本文时有超过1.5亿个网站使用了Let's Encrypt。
更令人印象深刻的是,每天发行的证书大约有一百万张。
让我们的加密计划也受到网络其他巨头Facebook的支持。该公司从一开始就使用Let's Encrypt,现在甚至可以将用户在Facebook上共享的所有出站链接转换为HTTPS版本。
根据Facebook自己的数据:
“当我们{Facebook}自动抓取Facebook上的网页内容时,我们观察到大约38%的HTTPS域使用了Let's Encrypt,使其成为顶级证书颁发机构。从Facebook到支持HTTPS的网站,超过19%的出站点击次数将转到使用Let's Encrypt证书的网站。总的来说,超过72%的来自Facebook的出站点击现在都用于支持HTTPS的网站。“
这种采用水平真的令人难以置信!但是Let's Encrypt并没有完全实现这一切。是的,Google的努力确实起到了影响力,但是除此之外,Let's Encrypt在其他精通网络和技术的公司中也有很多支持者。
实际上,既然我们全心全意地相信Let's Encrypt正在做的事情,我们也决定赞助Let's Encrypt。正如您所读到的那样,CodeinWP已经完成了登机的步骤! ?✨
我们非常自豪能够加入Mozilla,思科,Shopify,Sucuri,SiteGround以及其他多年来赞助Let's Encrypt的公司!由于Let's Encrypt是一个非盈利组织,他们总是在寻找他们工作的支持者。您可以加入我们资助这项工作!
如何在WordPress上获取SSL
尽管SSL似乎是一个相当技术密集的东西添加到网站,但在实践中,将一个与WordPress集成是非常简单的。
实际上,只有一种向WordPress添加SSL的合理方法,那就是通过您当前的Web主机。
有两个原因:
- 您不必从Let's Encrypt手动获取证书。主持人为您处理。
- 您也不需要自己将该证书导入服务器。再次,你的主人的工作。
- 最后,您也不必担心证书到期时续订(每隔几个月左右发生一次)。再一次,你的主人。
?如果您的主机不允许您访问Let's Encrypt证书,或者您想出于其他原因手动启用您的证书,您仍然可以。我们的加密解释了如何在他们的网站上这样做。
这是在WordPress网站上获取SSL证书的最简单方法:
步骤1.通过主机启用SSL
如今,大多数顶级WordPress主机都提供来自Let's Encrypt的免费SSL证书,作为其标准托管包的一部分,无需额外费用。
以下是一些提供这些免费SSL的主机:
- SiteGround
- BlueHost的
- 飞轮
- Kinsta
- WP引擎
- DreamHost的
- A2主机
- InMotion托管
如果您使用其中任何一个托管您的网站,那么您很幸运,只需点击几下即可获得SSL证书。
以下是如何迈出第一步的一些示例:
在SiteGround上安装SSL:
登录SiteGround用户配置文件,然后转到我的帐户→额外服务。
默认情况下,您可能已在主域上激活了SSL。你会在面板中看到它。您可以单击“让我们加密SSL”框中的“管理”按钮来设置所有内容。
如果您愿意,还可以在那里启用通配符SSL。
在Bluehost上安装SSL:
登录Bluehost用户面板,进入“我的网站”→“安全”。您可以在那里启用SSL。
在飞轮上安装SSL:
登录Flywheel用户面板。您可以通过单击域名旁边的三个点图标来添加SSL。
要完成设置,您还必须向Flywheel提供有关您组织的一些详细信息。这只是一个简单的形式。
在任何cPanel主机上安装SSL:
如果您的主机在cPanel上运行(大多数主机都运行),那么您也可以通过那里启用Let的加密SSL证书。
登录到您的cPanel,然后单击SECURITY部分中的Let's Encrypt。
单击“新建SSL证书”按钮。
从下拉列表中选择一个域名 – 它包含您在该主机设置上拥有的所有域名 – 并激活SSL。
步骤2.在WordPress站点上启用SSL
您必须采取的下一步是在WordPress网站上启用SSL。通过主机界面启用SSL只是工作的一半。
要处理这个问题,请获取一个名为Really Simple SSL的一体化插件。
在激活插件后,您会看到此通知:
要完成设置,请单击“前进”按钮。
您将看到确认信息,并且您将退出WordPress信息中心。这是非常标准的行为,所以不要担心,只需重新登录即可。
您现在已在WordPress网站上启用了SSL!
如果有任何错误,请转到设置→SSL,设置选项卡,然后微调那里可用的一些选项。
真正简单的SSL在每个选项旁边都有一些简洁的帮助器来解释它们的作用。
完成后,您应该会在网站的地址栏旁边看到漂亮的挂锁。
请参阅网络浏览器中的“您与此网站的连接不安全”的通知?
与SSL相关的一个常见错误是Chrome标记的“您与此网站的连接不安全。”以下是它的外观:
这是您的一些网站内容(很可能是某些图片)通过标准HTTP协议而非HTTPS获取的结果。你可以通过快速搜索和替换来解决这个问题。
首先,检查一下您的确是否存在问题。启动Chrome开发工具,切换到控制台并查找以下内容:
如果你看到类似的东西,你可以继续。
获得更好的搜索替换插件。激活它,然后转到工具→更好的搜索替换。
- 在“搜索”字段中,使用HTTP输入您自己的域名。
- 在替换为字段中放置您的域,但这次使用HTTPS。
- 选择所有表格。
搜索和替换操作有点可怕,您可以选中Run as dry run框。这只会向您展示在实时运行中将要完成的内容的预览。这可能需要一段时间,尤其是在处理wp_options表时,这往往是相当大的。
如果您对预览感到满意,可以重新运行该插件,但这次没有选中该框。
让我们改善网络!
如您所见,在您的网站或客户网站上启用SSL并不困难。在大多数情况下,你可以在不到10分钟的时间内完成整个过程 – 至少这就是我所需要的,即使需要额外的时间来处理“混合内容”错误。
如果您的网站仍然不使用SSL,那么您的历史可能是错误的。立即升级,为您的访问者提供更安全的体验,也更好地为您提供SEO智慧。
我们不要忘记,SSL是PCI合规性所必需的 – 这意味着如果您想运行电子商务商店(包括WooCommerce),您必须拥有SSL。
那么,您的网站是否支持SSL?如果没有,你还在等什么?!
…
不要忘记加入我们的速成课程,以加快您的WordPress网站。通过一些简单的修复,您可以将加载时间减少50-80%:
*此帖子包含会员链接,这意味着如果您点击其中一个产品链接然后购买产品,我们将收取少量费用。不过不用担心,您仍然需要支付标准金额,因此您无需支付任何费用。