什麼是SSL是一個你可能知道答案的問題。大多數處理網站的人都這樣做。或者,至少,他們假裝他們這樣做。 ?
沒關係。這些事情對他們來說有一定程度的複雜性,所有這些三字母縮寫確實需要一些時間來適應。
所以這裡有一個關於SSL和所有相關事項的所有你需要知道的指南。我們還會告訴您如何逐步在WordPress上啟用SSL。
目錄:
?什麼是SSL?就像,真的
?SSL如何工作?
?SSL和TLS之間有什麼區別
?什麼是HTTPS?
?SSL/ TLS證書的類型
?為什麼在您的網站上使用SSL非常重要
?如何在WordPress上獲取SSL
什麼是SSL?就像,真的……
好的,所以你知道SSL代表什麼。那就是「安全套接字層」。
簡單來說,SSL用於加密網站與其訪問者之間的連接。當進行此加密時,這意味著只有該特定網站和該特定訪問者才能讀取他們來回發送的信息。
如果沒有SSL,幾乎任何人都可以竊聽數據傳輸。我的意思是任何人!
在Web上處理HTTP通信的傳統方式是通過發送可在第三方在源和目的地之間的路上讀取的普通數據包。當您只是瀏覽9gag時,這不是一個問題,但當您嘗試在線購買並只輸入您的信用卡號時,這可能是一個嚴重的威脅。
換句話說,當您訪問不使用SSL的網站時會發生以下情況:
中間人可以完全閱讀整個通信,因為它全部都是在公開場合發生的,沒有任何加密。
想像一下,在一個繁忙的咖啡館和某人交談。有點像那樣。
現在運行SSL:
通信已加密。雖然人們仍然可以在通過互聯網時攔截它,但解密它幾乎是不可能的。
想像一下坐在同一個繁忙的咖啡館裡,但現在你正在向克林貢說話。
SSL如何工作?
當我們進入機制時,這一切都非常簡單:
同樣,SSL會加密訪問者和網站之間傳輸的所有數據。
對於要使用SSL的網站,他們需要獲取SSL證書。該證書證明該網站是合法的,並且他們使用的SSL加密是正確的,而且證書還包含有關用於加密的公鑰的信息(稍後將詳細介紹)。
以下是當一個人訪問基於SSL的網站時,一步一步發生的事情:
第1階段:?
訪問者的瀏覽器檢查網站的SSL證書是否有效。
這樣做是為了確保證書不是假的,並且該網站是它聲稱的。
瀏覽器檢查證書以確保它不是冒名頂替站點。但是,瀏覽器不會單獨執行此操作,而是檢查證書頒發機構 – 頒發證書的第三方公司。
如果驗證順利,瀏覽器會通過顯示這個熟悉的掛鎖讓您知道:
第2階段:?
瀏覽器在與網站通信時使用證書。
這是通過獲取作為證書一部分的公鑰並使用它來加密發送到網站的所有數據來完成的。
然後,該數據以加密形式傳輸到網站。
第3階段:?
該網站使用自己的私鑰來解密消息,然後對其進行處理。
該私鑰僅為網站所知,並且它也是唯一可以正確解密消息的密鑰。這意味著只有網站才能讀取用戶發送的信息。
當發送的數據是信用卡號碼之類的東西時,這變得至關重要。
第4階段:?
該網站向訪問者發送響應,並使用私鑰向其添加唯一簽名。
可以使用網站的公鑰在用戶端驗證簽名。換句話說,只有網站本身才能生成該特定簽名,因為只有它具有私鑰。
在這個階段,我們已經完成了整個過程,從建立安全連接到向網站發送數據然後接收響應。這就是通過SSL進行通信的方式。
公鑰 – 私鑰對是一個簡單的概念,但只需要建立一個安全的通信渠道,並確保與您通信的一方是他們聲稱的那個。
?簡單來說,您可以將公鑰視為掛鎖,將私鑰視為可用於打開掛鎖的實際密鑰組合。
SSL和TLS之間有什麼區別
總之,沒有區別。
好的,更確切地說,有。但對於我們需要知道的所有人來說,這是一個簡單TLS(傳輸層安全性)是SSL的更新版本。它更安全,它實際上是我們所有人現在使用的而不是SSL。
是的,你讀得對,每當你得到一個 – 你的想法 – 你的網站的SSL證書,你實際上獲得了TLS證書。
我們仍將其稱為SSL,因為它是一個更常用和理解的術語。
什麼是HTTPS?
HTTP是用於通過互聯網進行通信的協議。它正在使用此協議,網站如何向您發送其內容/數據以及如何與其進行交互並將數據發回。
HTTPS是協議的安全版本。這就是最後的「S」代表的東西。
使用HTTPS,通信本身非常相似,唯一的區別是它使用SSL證書加密,使其安全。
SSL / TLS證書的類型
並非所有SSL證書都是相同的。根據您為您的網站獲得的證書類型以及配置方式,您的訪問者將在其瀏覽器中看到不同的通知。
最常見的是,證書基於兩件事進行分組:
- (a)證書的驗證級別是什麼
- (b)使用單一證書可以保護多少個域
在第一組(a)下,我們有:
- 證書只驗證域名本身 – 證書頒發機構只是驗證公司是否擁有對其域名的控制權
- 驗證擁有域的組織的證書 – 這個證書不僅驗證域名,還驗證證書中包含的關於組織的信息,例如姓名和地址
- 提供擴展驗證的證書 – 這是證書頒發機構驗證域名所有權,組織信息,物理位置甚至公司合法存在的證書的最高級別
為了使您的網站與SSL正確集成,您需要選擇標準域驗證或組織驗證。第三級通常只有大玩家才會選擇,例如PayPal,Airbnb等。
您可以在瀏覽器窗口中查看SSL證書的級別。
域和組織驗證的證書顯示為:
雖然擴展證書在掛鎖和公司名稱周圍有一個額外的欄:
在第二組(b)中,我們有:
- 單域證書
- 通配符證書
- 多域證書
這些都非常簡單。單域證書允許您在一個域名下驗證一個網站。
例如,如果您的主站點在YOURSITE.com上運行,而您的博客在YOURSITE.com/blog上運行,那麼您可以在一個單域證書下使用這些站點。
但是,如果您的網站位於YOURSITE.com上,但您的博客位於blog.YOURSITE.com上,則您需要使用通配符SSL。
使用通配符證書,您基本上可以驗證單個域名以及該主域下的無限數量的子域。基本上,證書中有一個通配符 – * .YOURSITE.com,因此得名。
最後一種類型的證書,多域證書允許您在同一證書下保護多達100個域名。這不是一個偶然的網站所有者甚至開發人員需要麻煩自己的東西。
?這是您應該選擇哪種SSL證書的剪切 – 保留摘要:
- 需要驗證單個域名嗎?獲取域級別或組織級別驗證的單域證書。
- 需要驗證包含一個或多個子域的網站?獲取域級或組織級驗證的通配符證書。
為什麼在您的網站上使用SSL很重要
過去,SSL在過去非常昂貴。不久之前,如果您想在您的網站上添加SSL,您基本上只有兩個選項 – VeriSign或Comodo。它們都很貴(約100美元/年)。所以大多數人根本沒有打擾。在您的網站上使用SSL似乎是一種不必要且昂貴的奢侈品。
但時代已經改變,這主要歸功於一個組織 – 讓我們加密。你現在可能已經聽說過了。簡而言之,Let's Encrypt為任何需要它的網站提供完全免費的正版SSL證書。
他們的產品中的「免費」組件實際上是真正獲得「群眾的SSL」概念。
但是場上還有另外一名球員發揮了很大的作用 – 谷歌。
在鼓勵網站所有者集成SSL證書時,Google始終非常開放。然而,直到谷歌真正使加密成為排名信號,每個人都開始認真對待它們。
閱讀:如果您希望您的網站排名更好,您需要SSL!
因此,隨著Google和Let's Encrypt的共同努力,SSL網站的數量大幅增加,在撰寫本文時有超過1.5億個網站使用了Let's Encrypt。
更令人印象深刻的是,每天發行的證書大約有一百萬張。
讓我們的加密計劃也受到網路其他巨頭Facebook的支持。該公司從一開始就使用Let's Encrypt,現在甚至可以將用戶在Facebook上共享的所有出站鏈接轉換為HTTPS版本。
根據Facebook自己的數據:
「當我們{Facebook}自動抓取Facebook上的網頁內容時,我們觀察到大約38%的HTTPS域使用了Let's Encrypt,使其成為頂級證書頒發機構。從Facebook到支持HTTPS的網站,超過19%的出站點擊次數將轉到使用Let's Encrypt證書的網站。總的來說,超過72%的來自Facebook的出站點擊現在都用於支持HTTPS的網站。「
這種採用水平真的令人難以置信!但是Let's Encrypt並沒有完全實現這一切。是的,Google的努力確實起到了影響力,但是除此之外,Let's Encrypt在其他精通網路和技術的公司中也有很多支持者。
實際上,既然我們全心全意地相信Let's Encrypt正在做的事情,我們也決定贊助Let's Encrypt。正如您所讀到的那樣,CodeinWP已經完成了登機的步驟! ?✨
我們非常自豪能夠加入Mozilla,思科,Shopify,Sucuri,SiteGround以及其他多年來贊助Let's Encrypt的公司!由於Let's Encrypt是一個非盈利組織,他們總是在尋找他們工作的支持者。您可以加入我們資助這項工作!
如何在WordPress上獲取SSL
儘管SSL似乎是一個相當技術密集的東西添加到網站,但在實踐中,將一個與WordPress集成是非常簡單的。
實際上,只有一種向WordPress添加SSL的合理方法,那就是通過您當前的Web主機。
有兩個原因:
- 您不必從Let's Encrypt手動獲取證書。主持人為您處理。
- 您也不需要自己將該證書導入伺服器。再次,你的主人的工作。
- 最後,您也不必擔心證書到期時續訂(每隔幾個月左右發生一次)。再一次,你的主人。
?如果您的主機不允許您訪問Let's Encrypt證書,或者您想出於其他原因手動啟用您的證書,您仍然可以。我們的加密解釋了如何在他們的網站上這樣做。
這是在WordPress網站上獲取SSL證書的最簡單方法:
步驟1.通過主機啟用SSL
如今,大多數頂級WordPress主機都提供來自Let's Encrypt的免費SSL證書,作為其標準託管包的一部分,無需額外費用。
以下是一些提供這些免費SSL的主機:
- SiteGround
- BlueHost的
- 飛輪
- Kinsta
- WP引擎
- DreamHost的
- A2主機
- InMotion託管
如果您使用其中任何一個託管您的網站,那麼您很幸運,只需點擊幾下即可獲得SSL證書。
以下是如何邁出第一步的一些示例:
在SiteGround上安裝SSL:
登錄SiteGround用戶配置文件,然後轉到我的帳戶→額外服務。
默認情況下,您可能已在主域上激活了SSL。你會在面板中看到它。您可以單擊「讓我們加密SSL」框中的「管理」按鈕來設置所有內容。
如果您願意,還可以在那裡啟用通配符SSL。
在Bluehost上安裝SSL:
登錄Bluehost用戶面板,進入「我的網站」→「安全」。您可以在那裡啟用SSL。
在飛輪上安裝SSL:
登錄Flywheel用戶面板。您可以通過單擊域名旁邊的三個點圖標來添加SSL。
要完成設置,您還必須向Flywheel提供有關您組織的一些詳細信息。這只是一個簡單的形式。
在任何cPanel主機上安裝SSL:
如果您的主機在cPanel上運行(大多數主機都運行),那麼您也可以通過那裡啟用Let的加密SSL證書。
登錄到您的cPanel,然後單擊SECURITY部分中的Let's Encrypt。
單擊「新建SSL證書」按鈕。
從下拉列表中選擇一個域名 – 它包含您在該主機設置上擁有的所有域名 – 並激活SSL。
步驟2.在WordPress站點上啟用SSL
您必須採取的下一步是在WordPress網站上啟用SSL。通過主機界面啟用SSL只是工作的一半。
要處理這個問題,請獲取一個名為Really Simple SSL的一體化插件。
在激活插件後,您會看到此通知:
要完成設置,請單擊「前進」按鈕。
您將看到確認信息,並且您將退出WordPress信息中心。這是非常標準的行為,所以不要擔心,只需重新登錄即可。
您現在已在WordPress網站上啟用了SSL!
如果有任何錯誤,請轉到設置→SSL,設置選項卡,然後微調那裡可用的一些選項。
真正簡單的SSL在每個選項旁邊都有一些簡潔的幫助器來解釋它們的作用。
完成後,您應該會在網站的地址欄旁邊看到漂亮的掛鎖。
請參閱網路瀏覽器中的「您與此網站的連接不安全」的通知?
與SSL相關的一個常見錯誤是Chrome標記的「您與此網站的連接不安全。」以下是它的外觀:
這是您的一些網站內容(很可能是某些圖片)通過標準HTTP協議而非HTTPS獲取的結果。你可以通過快速搜索和替換來解決這個問題。
首先,檢查一下您的確是否存在問題。啟動Chrome開發工具,切換到控制台並查找以下內容:
如果你看到類似的東西,你可以繼續。
獲得更好的搜索替換插件。激活它,然後轉到工具→更好的搜索替換。
- 在「搜索」欄位中,使用HTTP輸入您自己的域名。
- 在替換為欄位中放置您的域,但這次使用HTTPS。
- 選擇所有表格。
搜索和替換操作有點可怕,您可以選中Run as dry run框。這隻會向您展示在實時運行中將要完成的內容的預覽。這可能需要一段時間,尤其是在處理wp_options表時,這往往是相當大的。
如果您對預覽感到滿意,可以重新運行該插件,但這次沒有選中該框。
讓我們改善網路!
如您所見,在您的網站或客戶網站上啟用SSL並不困難。在大多數情況下,你可以在不到10分鐘的時間內完成整個過程 – 至少這就是我所需要的,即使需要額外的時間來處理「混合內容」錯誤。
如果您的網站仍然不使用SSL,那麼您的歷史可能是錯誤的。立即升級,為您的訪問者提供更安全的體驗,也更好地為您提供SEO智慧。
我們不要忘記,SSL是PCI合規性所必需的 – 這意味著如果您想運行電子商務商店(包括WooCommerce),您必須擁有SSL。
那麼,您的網站是否支持SSL?如果沒有,你還在等什麼?!
…
不要忘記加入我們的速成課程,以加快您的WordPress網站。通過一些簡單的修復,您可以將載入時間減少50-80%:
*此帖子包含會員鏈接,這意味著如果您點擊其中一個產品鏈接然後購買產品,我們將收取少量費用。不過不用擔心,您仍然需要支付標準金額,因此您無需支付任何費用。