SSL的工作原理和重要性
SSL代表安全套接字层。它是保护和验证互联网数据的重要协议。由于加密所有的东西和谷歌推动更广泛地采用SSL,SSL已经成为网络圈的热门话题。但尽管如此,许多网站管理员仍然不确定SSL是如何工作的及其重要性…甚至不知道SSL最初代表什么!
虽然我们已经介绍了首字母缩写词的含义,但我们将在这个条目中更深入地挖掘,并告诉您什么是SSL,以及它如何使web成为您和您的网站访问者的更好去处。
SSL代表什么?SSL的工作原理
同样,SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。这将为您和您网站的访问者带来更安全的网络。SSL与另一个缩写TLS密切相关。TLS是传输层安全性的缩写。它是原始SSL协议的继承和更新版本。
如今,SSL和TLS通常被称为一个组(例如SSL/TLS)或可互换使用。比如Let’s Encrypt的广告(后面会详细讨论)提供“免费SSL/TLS证书”。但是你也会发现很多网站只是简单的讨论SSL证书,即使实际上指的是TLS。
结合SSL和TLS的示例
那么SSL最初是从哪里来的,我们又是如何通过TLS走到今天的呢?SSL版本1.0是由Netscape在20世纪90年代早期开发的。但由于安全漏洞,它从未向公众发布。SSL的第一个公开版本是1995年2月的SSL 2.0。虽然它是对未发布的SSL 1.0的改进,但SSL 2.0也包含自己的一系列安全缺陷,这导致了SSL 3.0版本的完全重新设计和一年后的发布。
SSL 3.0版是最后一个公开版本,当TLS在1999年作为替代品推出时,它黯然失色。此时,SSL 3.0已被弃用,不再被认为是安全的,因为它容易受到POODLE攻击。至于TLS,它现在在TLS 1.3上,在性能和安全性上提供了许多改进。
那为什么我们不都用TLS证书呢?
你可能是。尽管为了方便起见,网络社区通常称它们为SSL证书,但这些证书的名称实际上并不依赖于特定的协议。相反,实际使用的协议由您的服务器决定。这意味着,即使你认为你已经安装了所谓的SSL证书,你可能实际上使用的是更新和安全的TLS协议。
但是,在在线社区采用TLS术语之前,您可能会继续看到此类证书。为简单起见,这些证书通常称为SSL证书。
如何连接HTTPS和SSL?
创造了互联网的人们喜欢他们的首字母缩写词——另一个你经常在谈论SSL/TLS时看到的术语是HTTPS。HTTP(不带S)代表超文本传输协议。
HTTP及其后继协议HTTP/2都是支持互联网上信息传输的应用协议。它们本质上是互联网上数据通信的基础。当您添加回S时,它就变成了超文本传输协议安全(或HTTP over TLS或HTTP over SSL)。
本质上,SSL/TLS保护通过HTTP发送和接收的信息。这有很多好处…
使用SSL/TLS有什么好处?
许多网站管理员错误地认为SSL/TLS只对处理敏感信息(如信用卡或银行信息)的网站有利。虽然SSL/TLS对这些站点来说绝对是必不可少的,但它的好处绝不仅限于这些领域。
SSL/TLS的主要优势之一是加密。每当您或您的用户在您的网站上输入信息时,数据在到达最终目的地之前都会经过多个接触点。如果没有SSL/TLS,数据将以明文形式发送,恶意参与者可以窃听或更改数据。SSL/TLS提供点对点保护,确保数据在传输过程中的安全。甚至WordPress登陆页面也应该加密!如果SSL证书存在但无效,您的访问者可能会遇到“您的连接不是私有的”错误。
另一个主要好处是身份验证。有效的SSL/TLS连接可确保数据发送到正确的服务器并从正确的服务器接收,而不是恶意的“中间人”。也就是说,它有助于防止恶意行为者错误地冒充站点。
SSL/TLS的第三个核心优势是数据完整性。SSL/TLS连接通过包含消息认证码或MAC来确保数据在传输过程中不会丢失或更改。这确保了发送的数据在没有任何更改或恶意更改的情况下被接收。
除了加密、真实性和完整性之外,还有其他益处较少的技术,例如:
提高谷歌自然搜索排名的潜力
提高与访客的信任度。
如何判断网站是否使用SSL/HTTPS?
检查网站是否使用SSL/TLS的最简单方法是检查您的浏览器。大多数浏览器使用绿色挂锁和/或消息来标记安全连接。例如,在谷歌浏览器中,你可以找到绿色挂锁和安全信息:
谷歌Chrome如何显示HTTPS
在Firefox中,您只会看到一个挂锁:
火狐如何显示HTTPS
在Microsoft Edge中,你实际上看不到颜色,而是一个简单的灰白色挂锁。
Edge如何显示HTTPS
谷歌会惩罚不使用SSL的网站吗?
最近,谷歌在谷歌浏览器中针对未能安装SSL证书的网站推出了一套越来越严厉的处罚/警告。这些处罚始于2017年1月,在没有SSL证书的情况下,要求提供信用卡详细信息或密码的页面上引入了不安全警告:
2017年10月的Chrome不安全警告
这种变化是谷歌增加使用SSL和HTTPS的第一个驱动力。然而,最近他们加大了努力。
2017年10月新增不安全警告
2017年10月,谷歌推出了更激进的通知。从Chrome 62(2017年10月17日发布)开始,谷歌增加了不安全警告:
用户可以输入任何类型数据的所有HTTP页面,包括像搜索框这样简单的东西。该警告不会在初始页面加载时出现,但会在用户开始在字段中输入数据时出现。
Chrome stealth模式下的所有HTTP页面
铬不安全警告
谷歌只会变得更加咄咄逼人。
谷歌的长期计划是最终将所有HTTP页面标记为不安全。这意味着,即使您不要求用户填写任何类型的表单域,您最终还是会得到一个警告。因此,现在就开始计划迁移到SSL/TLS和HTTPS非常重要。
2020年,当网站使用TLS 1.0或TLS 1.1(旧版本)时,Chrome开始显示ERR_SSL_OBSOLETE_VERSION警告通知。
如何在你的网站上安装SSL证书
许多主机可以轻松安装免费的SSL/TLS证书。一般站长最有可能用的是一个叫Let’s Encrypt的服务,提供免费的SSL/TLS证书。可以查看详细的Let’s Encrypt证书申请和安装教程。
如果您的主机不提供免费的SSL证书,或者您想要其他类型的SSL证书,您也可以从第三方提供商那里购买自己的证书。
安装SSL证书后的操作
是–安装SSL证书后,您需要执行技术性和非技术性操作。首先,在技术层面上,将所有HTTP流量重定向到HTTPS非常重要。您还应该确保没有通过HTTP加载任何资产。通常,这将是你自己的形象或你拉进来的外部内容,如脚本或外部广告服务。这有助于避免混合内容警告。
除了这两个技术细节,您可能还需要执行以下任务,具体取决于您使用的工具:
在谷歌网站管理员工具中添加HTTPS版本的网站。
确保谷歌分析或其他跟踪脚本设置为使用HTTPS。
确保您不会收到任何与SSL连接相关的错误消息。
总之,SSL/TLS是创建安全可靠网络的重要协议。现在你已经知道了SSL是如何工作的,我们鼓励你考虑安装一个SSL/TLS证书,并且如果你还没有转换的话,把你的站点转移到HTTPS。
我们有一个关于从HTTP到HTTPS迁移的非常详细的教程,请确保你阅读了它并按照步骤操作!