如果您是网站所有者,您可能想知道如何使您的网站尽可能安全。 保护您的网站和 将其转换为 HTTPS 应该是优先事项。 您可能已经听说过两个对实现目标至关重要的术语:TLS 与 SSL。 他们的意思是什么? 这个比那个好吗? 您应该使用哪个来拥有最安全的网站?
让我们分解协议之间的差异和相似之处,并研究您应该采取哪些措施来保护您的网站。
什么是 SSL 和 TLS?
安全套接字层 (SSL) 和 传输层安全 (TLS) 都是有助于保护数据并使您的网站对最终用户更安全的安全协议。 这两种协议都会导致站点和用户设备之间的端到端加密。 这与用户和搜索引擎建立了信任。 无论您使用 TLS 还是 SSL 来保护您的网站,您都在保护您自己的数据以及(也许更重要的是)您的用户的数据免受潜在的黑客攻击或恶意活动。
网站所有者获得 TLS 和 SSL 证书,以便将网站从 HTTP(超文本传输协议)转换为 HTTPS(安全超文本传输协议)。 当网站是安全的时,它会在用户的浏览器地址栏中显示一个安全锁图标。 拥有网站的安全证书会告诉浏览器用户可以安全地访问,让用户放心,他们的信息是安全的。
每个网站都需要 TLS 或 SSL 证书。 它有助于搜索排名以及防止黑客和其他妥协情况。 但如果您使用您的网站来处理支付信息或存储敏感记录,这一点尤其重要。 这只是您获得完整、锁定站点安全性的拼图中的一部分,但它是关键的一部分。
TLS 与 SSL 有什么区别?
就结果而言,TLS 和 SSL 提供相同的东西:为您的网站提供加密的安全性。 您可能会听到在提及证书时可以互换使用的术语。 尽管从技术上讲,TLS 和 SSL 并不相同。 两种协议都使用一个称为 握手 启动加密连接。 基本上两台机器要求看对方的ID,结账的时候就可以做生意了。
这就是技术相似性结束的地方。 每个加密协议以不同的方式运行以达到相同的最终结果。
简而言之,TLS 1.3 与 SSL(以及旧 TLS 标准)的当前标准包括减少延迟以促进更快的加载时间,这对于现在的每个站点来说都是必不可少的,消除遗留代码膨胀以减少有人可能会使用的向量数量攻击您的网站,并在点之间使用一次握手而不是多次握手,这再次降低了有人可能危及您的安全的向量。
SSL 于 1995 年首次发布,是 TLS 的前身。 此后发现 SSL 的所有三个迭代都缺乏安全漏洞。 事实上,第一个版本从未公开发布过。 后来, 互联网工程任务组 (IETF) 弃用所有版本的 SSL。
即便如此,SSL 一词仍被广泛用于描述网站用户需要获取的安全证书。 但在大多数情况下,在幕后执行的实际协议是 TLS。 今天,TLS 的 1.2 和 1.3 版本是 IETF 或主要浏览器尚未弃用的任一协议(TLS 与 SSL)的唯一版本。 如果您想详细了解 TLS 1.3 的技术复杂性及其工作原理, Cloudflare 有一篇出色的文章阐明了规格.
您的网站应该有 TLS 还是 SSL?
多年来,SSL 几乎完全被 TLS 取代。 尽管您仍然会看到“SSL 证书”比 TLS 证书更频繁地被提及,但使用的底层协议很可能是 TLS。 不管它叫什么。
您的网站应该使用 TLS,因为它现在是 IETF 批准的网站安全标准协议。 您的网络主机可能会通过托管提供 SSL 证书(或者您可能自己在其他地方获得一个),它可能仍会通过该 TLS 协议运行,无论是否被称为 SSL。 如果你的目标是顶级 WordPress安全,那么你需要确保你的基地在这里被覆盖。
由于各种安全问题,需要 SSL 和旧版本的 TLS 在服务器端禁用 您的网站。 如果您不习惯自己在服务器上工作,您可能需要请您的网站主机或开发人员来帮助您。 毕竟,这就是您为他们付出的代价! 确保已弃用的 SSL 和 TLS 版本阻止启用旧协议,从而进一步保护您的网站免受安全威胁和入侵。
两者怎么样?
由于相似之处、历史和有些令人费解的命名约定,您可能想知道网站所有者是否需要 SSL 和 TLS 证书才能正确保护他们的网站。 不! 如今,SSL 和 TLS 证书做同样的事情。 证书本身并不为您的网站提供安全保障。 相反,它只是在后台启用 TLS 协议来完成其工作。 这进一步解释了为什么命名约定是混乱的——以使事情与人们习惯听到的内容更加一致。
如何在您的 WordPress 网站上使用 TLS 和 SSL
在您的 WordPress 网站上使用 TLS 和 SSL 相当容易。 首先,您需要获得证书(如我们所提到的,通常称为 SSL 证书)。 提供付费和免费选项。 这意味着您可以通过最适合您的预算和您运行的网站类型的方式获得证书。 您所在的行业可能需要比免费证书提供的更严格的安全和控制级别。 如果是这种情况,您可能需要寻找付费的 SSL 证书。
有几种不同的方法可以为您的 WordPress 网站获取 SSL 证书。 所有这些都很容易。
- 得到 免费的 SSL 证书 来自诸如 零SSL 或者 免费使用 SSL (这些需要每 90 天手动更新一次,并且缺乏深入的客户服务支持)。
- 从提供 SSL 证书的公司购买虚拟主机作为您的主机包的一部分,主机如 场地地面, 飞轮, 和 可压.
- 使用 内容分发网络 例如 Cloudflare。
- 使用 WordPress 插件,例如 真正简单的 SSL 实施您的 SSL 证书。
获得证书后,您需要确保所有链接都重定向到 HTTPS 站点而不是 HTTP。 如果您不这样做,Google 可能会因为您的网站不安全而对您进行处罚。 这样可以确保当用户尝试访问您的网站时您不会被标记。 您可以使用 WordPress 插件来完成此操作,例如 WP 强制 SSL 和 HTTPS 重定向. 或者,您可以向您的网络主机或开发人员寻求帮助,以正确配置您的服务器以重定向到 HTTPS。 一些 301重定向 插件和 SEO 插件也直接在其设置中提供此功能。
结论
当您发现对 TLS 与 SSL 的引用并且其中一个不同时,它们既是对的又是错的。 技术规格不同,但如今名称可以互换。 本质上,它们指的是提供相同最终结果的标准。 TLS 协议已取代 SSL,因为它更快、更安全。 但是,TLS 和 SSL 的名称在安全证书方面仍然可以互换。
请记住,使用 TLS 的 WordPress 安全性相对简单,远没有名称和 .
现在您知道要使用哪种协议,是时候保护您的网站了。 祝你好运!
MicroOne / shutterstock.com 的文章特色图片