SSL的工作原理和重要性

SSL代表安全套接字层。它是保护和验证互联网数据的重要协议。由于加密所有的东西和谷歌推动更广泛地采用SSL，SSL已经成为网络圈的热门话题。但尽管如此，许多网站管理员仍然不确定SSL是如何工作的及其重要性…甚至不知道SSL最初代表什么！

虽然我们已经介绍了首字母缩写词的含义，但我们将在这个条目中更深入地挖掘，并告诉您什么是SSL，以及它如何使web成为您和您的网站访问者的更好去处。

SSL代表什么？SSL的工作原理

同样，SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。这将为您和您网站的访问者带来更安全的网络。SSL与另一个缩写TLS密切相关。TLS是传输层安全性的缩写。它是原始SSL协议的继承和更新版本。

如今，SSL和TLS通常被称为一个组(例如SSL/TLS)或可互换使用。比如Let’s Encrypt的广告(后面会详细讨论)提供“免费SSL/TLS证书”。但是你也会发现很多网站只是简单的讨论SSL证书，即使实际上指的是TLS。

结合SSL和TLS的示例

那么SSL最初是从哪里来的，我们又是如何通过TLS走到今天的呢？SSL版本1.0是由Netscape在20世纪90年代早期开发的。但由于安全漏洞，它从未向公众发布。SSL的第一个公开版本是1995年2月的SSL 2.0。虽然它是对未发布的SSL 1.0的改进，但SSL 2.0也包含自己的一系列安全缺陷，这导致了SSL 3.0版本的完全重新设计和一年后的发布。

SSL 3.0版是最后一个公开版本，当TLS在1999年作为替代品推出时，它黯然失色。此时，SSL 3.0已被弃用，不再被认为是安全的，因为它容易受到POODLE攻击。至于TLS，它现在在TLS 1.3上，在性能和安全性上提供了许多改进。

那为什么我们不都用TLS证书呢？

你可能是。尽管为了方便起见，网络社区通常称它们为SSL证书，但这些证书的名称实际上并不依赖于特定的协议。相反，实际使用的协议由您的服务器决定。这意味着，即使你认为你已经安装了所谓的SSL证书，你可能实际上使用的是更新和安全的TLS协议。

但是，在在线社区采用TLS术语之前，您可能会继续看到此类证书。为简单起见，这些证书通常称为SSL证书。

如何连接HTTPS和SSL？

创造了互联网的人们喜欢他们的首字母缩写词——另一个你经常在谈论SSL/TLS时看到的术语是HTTPS。HTTP(不带S)代表超文本传输协议。

HTTP及其后继协议HTTP/2都是支持互联网上信息传输的应用协议。它们本质上是互联网上数据通信的基础。当您添加回S时，它就变成了超文本传输协议安全(或HTTP over TLS或HTTP over SSL)。

本质上，SSL/TLS保护通过HTTP发送和接收的信息。这有很多好处…

使用SSL/TLS有什么好处？

许多网站管理员错误地认为SSL/TLS只对处理敏感信息(如信用卡或银行信息)的网站有利。虽然SSL/TLS对这些站点来说绝对是必不可少的，但它的好处绝不仅限于这些领域。

SSL/TLS的主要优势之一是加密。每当您或您的用户在您的网站上输入信息时，数据在到达最终目的地之前都会经过多个接触点。如果没有SSL/TLS，数据将以明文形式发送，恶意参与者可以窃听或更改数据。SSL/TLS提供点对点保护，确保数据在传输过程中的安全。甚至WordPress登陆页面也应该加密！如果SSL证书存在但无效，您的访问者可能会遇到“您的连接不是私有的”错误。

另一个主要好处是身份验证。有效的SSL/TLS连接可确保数据发送到正确的服务器并从正确的服务器接收，而不是恶意的“中间人”。也就是说，它有助于防止恶意行为者错误地冒充站点。

SSL/TLS的第三个核心优势是数据完整性。SSL/TLS连接通过包含消息认证码或MAC来确保数据在传输过程中不会丢失或更改。这确保了发送的数据在没有任何更改或恶意更改的情况下被接收。

除了加密、真实性和完整性之外，还有其他益处较少的技术，例如:

提高谷歌自然搜索排名的潜力

提高与访客的信任度。

如何判断网站是否使用SSL/HTTPS？

检查网站是否使用SSL/TLS的最简单方法是检查您的浏览器。大多数浏览器使用绿色挂锁和/或消息来标记安全连接。例如，在谷歌浏览器中，你可以找到绿色挂锁和安全信息:

谷歌Chrome如何显示HTTPS

在Firefox中，您只会看到一个挂锁:

火狐如何显示HTTPS

在Microsoft Edge中，你实际上看不到颜色，而是一个简单的灰白色挂锁。

Edge如何显示HTTPS

谷歌会惩罚不使用SSL的网站吗？

最近，谷歌在谷歌浏览器中针对未能安装SSL证书的网站推出了一套越来越严厉的处罚/警告。这些处罚始于2017年1月，在没有SSL证书的情况下，要求提供信用卡详细信息或密码的页面上引入了不安全警告:

2017年10月的Chrome不安全警告

这种变化是谷歌增加使用SSL和HTTPS的第一个驱动力。然而，最近他们加大了努力。

2017年10月新增不安全警告

2017年10月，谷歌推出了更激进的通知。从Chrome 62(2017年10月17日发布)开始，谷歌增加了不安全警告:

用户可以输入任何类型数据的所有HTTP页面，包括像搜索框这样简单的东西。该警告不会在初始页面加载时出现，但会在用户开始在字段中输入数据时出现。

Chrome stealth模式下的所有HTTP页面

铬不安全警告

谷歌只会变得更加咄咄逼人。

谷歌的长期计划是最终将所有HTTP页面标记为不安全。这意味着，即使您不要求用户填写任何类型的表单域，您最终还是会得到一个警告。因此，现在就开始计划迁移到SSL/TLS和HTTPS非常重要。

2020年，当网站使用TLS 1.0或TLS 1.1(旧版本)时，Chrome开始显示ERR_SSL_OBSOLETE_VERSION警告通知。

如何在你的网站上安装SSL证书

许多主机可以轻松安装免费的SSL/TLS证书。一般站长最有可能用的是一个叫Let’s Encrypt的服务，提供免费的SSL/TLS证书。可以查看详细的Let’s Encrypt证书申请和安装教程。

如果您的主机不提供免费的SSL证书，或者您想要其他类型的SSL证书，您也可以从第三方提供商那里购买自己的证书。

安装SSL证书后的操作

是–安装SSL证书后，您需要执行技术性和非技术性操作。首先，在技术层面上，将所有HTTP流量重定向到HTTPS非常重要。您还应该确保没有通过HTTP加载任何资产。通常，这将是你自己的形象或你拉进来的外部内容，如脚本或外部广告服务。这有助于避免混合内容警告。

除了这两个技术细节，您可能还需要执行以下任务，具体取决于您使用的工具:

在谷歌网站管理员工具中添加HTTPS版本的网站。

确保谷歌分析或其他跟踪脚本设置为使用HTTPS。

确保您不会收到任何与SSL连接相关的错误消息。

总之，SSL/TLS是创建安全可靠网络的重要协议。现在你已经知道了SSL是如何工作的，我们鼓励你考虑安装一个SSL/TLS证书，并且如果你还没有转换的话，把你的站点转移到HTTPS。

我们有一个关于从HTTP到HTTPS迁移的非常详细的教程，请确保你阅读了它并按照步骤操作！