HTTPS 和 SSL 憑證：確保您的網站安全（以及為什麼應該這樣做）

當涉及到透過網路發送個人資訊時——無論是聯絡資訊、登入憑證、帳戶資訊、位置資訊或任何其他可能被濫用的資訊——總的來說，公眾對駭客和身分竊賊非常偏執。這是理所當然的。對您的資訊可能被竊取、篡改或盜用的擔憂絕非毫無道理。過去幾十年有關洩密和安全漏洞的頭條新聞證明了這一點。但儘管存在這種恐懼，人們仍然繼續登入網路進行銀行業務、購物、日記、約會、社交以及其他個人和專業業務。有一件小事讓他們有信心做到這一點。我將向您展示：

儘管並非所有人都了解其工作原理，但網址列中的小掛鎖向網路使用者發出信號，表明他們與合法網站建立了可信連接。如果訪客在打開您的網站時沒有在網址列中看到該內容，您將不會（也不應該）獲得他們的業務。

要為您的網站取得網址列小掛鎖，您需要 SSL 憑證。你如何得到一個？請仔細閱讀，找出答案。

文章大綱：

• 什麼是 SSL/TLS？
• 如何使用HTTPS？
• 什麼是 SSL 憑證以及如何取得？
• SSL憑證購買指南
  • 證書頒發機構
  • 網域驗證與擴充驗證
  • 共享 SSL 與私有 SSL
  • 信任印章
  • 通配符 SSL 憑證
  • 保證
  • 免費 SSL 憑證和自簽名 SSL 憑證
• 安裝 SSL 憑證
• HTTPS 的優點和缺點

什麼是 SSL/TLS？

在網路上，資料使用超文本傳輸協定進行傳輸。這就是為什麼所有網頁 URL前面都有「http://」或「http s ://」。

http 和 https 有什麼差別？那個額外的小 S 具有重大意義：安全。

讓我解釋。

HTTP 是您的電腦和伺服器用來相互通訊的「語言」。這種語言是普遍理解的，這很方便，但也有其缺點。當資料透過網路在您和伺服器之間傳遞時，它會在到達最終目的地之前沿途停靠一些地方。這帶來了三大風險：

• 有人可能會竊聽您的談話（有點像數字竊聽）。

• 有人可能會冒充任一方（或雙方）。

• 有人可能會篡改正在傳輸的訊息。

駭客和混蛋結合使用上述手段進行多種詐騙和搶劫，包括網路釣魚策略、中間人攻擊和良好的老式廣告。惡意攻擊可能很簡單，例如透過攔截未加密的 cookie（竊聽）來嗅出 Facebook 憑證，也可能更複雜。例如，您可能認為您正在告訴銀行：“請將100 美元轉給我的ISP”，但中間的某個人可能會將消息更改為：“請將我所有的錢轉給我在西伯利亞的ISP Peggy 100美元」（資料篡改和冒充）。

所以，這些都是 HTTP 的問題。為了解決這些問題，HTTP 可以與安全協定分層，從而產生 HTTP 安全性 (HTTPS)。最常見的是，HTTPS 中的 S 由安全通訊端層 (SSL) 協定或較新的傳輸層安全性 (TLS) 協定提供。部署後，HTTPS 提供雙向加密（以防止竊聽）、伺服器 驗證（以防止假冒）和訊息身份驗證（以防止資料篡改）。

如何使用 HTTPS

就像口語一樣，HTTPS 僅在雙方都選擇使用它時才有效。在用戶端，可以透過在 URL 之前的瀏覽器網址列中鍵入「https」來選擇使用 HTTPS（例如，不要鍵入 http://www.facebook.com，而是鍵入 https://www.facebook .com ）或透過安裝自動強制使用HTTPS 的擴充程序，例如適用於Firefox和Chrome的 HTTPS Everywhere 。當您的網頁瀏覽器使用 HTTPS 時，您會看到掛鎖圖示、綠色瀏覽器列、豎起大拇指或其他一些令人放心的標誌，表明您與伺服器的連線是安全的。

但是，要使用 HTTPS，Web 伺服器必須支援它。如果您是網站管理員並且想要向網路訪客提供 HTTPS，那麼您將需要 SSL 憑證或 TLS 憑證。如何取得 SSL 或 TLS 憑證？繼續閱讀。

進一步閱讀：一些流行的網路應用程式允許您在用戶設定中選擇 HTTPS。請閱讀我們在Facebook、Gmail和Twitter上發表的文章。

什麼是 SSL 證書，如何取得？

為了使用 HTTPS，您的 Web 伺服器必須安裝 SSL 憑證或 TLS 憑證。SSL / TLS 憑證有點像您網站的照片 ID。當使用 HTTPS 的瀏覽器存取您的網頁時，它將執行“握手”，在此期間客戶端電腦請求 SSL 憑證。然後，SSL 憑證由受信任的憑證授權單位 (CA) 進行驗證，驗證伺服器是否是其聲稱的伺服器。如果一切正常，您的網路訪客會看到令人放心的綠色複選標記或鎖定圖示。如果出現問題，他們會收到網路瀏覽器的警告，指出無法確認伺服器的身份。

購買 SSL 憑證

在您的網站上安裝 SSL 憑證時，有大量參數需要決定。讓我們回顧一下最重要的：

證書頒發機構

憑證授權單位 (CA) 是為您頒發 SSL 憑證的公司，並且每次訪客造訪您的網站時都會驗證您的憑證。雖然每個 SSL 憑證提供者都會在價格和功能上競爭，但在審查憑證授權單位時要考慮的第一件事是他們是否擁有在最受歡迎的 Web 瀏覽器上預先安裝的憑證。如果頒發 SSL 憑證的憑證授權單位不在該清單中，則會向使用者提示該網站的安全性憑證不受信任的警告。當然，這並不意味著您的網站不合法，只是意味著您的 CA 尚未出現在清單中。這是一個問題，因為大多數用戶不會費心閱讀警告或研究無法識別的 CA。他們可能只是點擊一下。

幸運的是，主要瀏覽器上預先安裝的 CA 清單相當大。其中包括一些大品牌以及不太知名且價格更實惠的 CA。家喻戶曉的品牌包括Verisign、GoDaddy、Comodo、Thawte、Geotrust 和 Entrust。

您也可以查看自己的瀏覽器設定以查看預先安裝了哪些憑證授權單位。

• 對於 Chrome，請前往「設定」->「顯示進階設定...」->「管理憑證」。
• 對於 Firefox，請執行「選項」->「進階」->「檢視憑證」。
• 對於 IE，Internet 選項 –> 內容 –> 憑證。
• 對於 Safari，進入 Finder 並選擇前往 –> 實用工具 –> 鑰匙圈訪問，然後按一下系統。

網域驗證與擴充驗證

SSL 憑證旨在證明您向其發送資訊的網站的身份。為了確保人們不會為他們無法正確控制的網域取得虛假 SSL 證書，憑證授權單位將驗證請求證書的人確實是網域的擁有者。通常，這是透過快速電子郵件或電話驗證來完成的，類似於網站向您發送帶有帳戶確認連結的電子郵件。這稱為網域驗證的SSL 憑證。這樣做的好處是它允許幾乎立即頒發 SSL 憑證。您取得網域驗證的 SSL 憑證的時間可能比閱讀這篇部落格文章所花費的時間還要短。借助經過網域驗證的 SSL 證書，您可以獲得掛鎖並能夠加密您的網站流量。

網域驗證的 SSL 憑證的優點是取得速度快、簡單且便宜。這也是他們的缺點。正如您可以想像的那樣，欺騙自動化系統比欺騙真實人物運行的系統更容易。這有點像某個高中生走進DMV，說他是巴拉克‧歐巴馬(Barack Obama)，想要拿到政府頒發的身分證。辦公桌旁的人會看他一眼，然後打電話給聯邦調查局（或瘋人院）。但如果是一個在照片身分證亭工作的機器人，他可能會有一些運氣。以類似的方式，網路釣魚者可以透過欺騙網域驗證系統來取得 Paypal、Amazon 或 Facebook 等網站的「假 ID」。2009 年，Dan Kaminsky 發布了一個欺騙 CA 獲取證書的方法範例，該證書將使網路釣魚網站看起來像是安全、合法的連接。對於人類來說，這種騙局很容易被發現。然而，當時的自動域驗證缺乏必要的檢查來防止類似的情況發生。

針對SSL和網域驗證SSL憑證的漏洞，業界推出了擴充驗證憑證。要獲得 EV SSL 證書，您的公司或組織必須經過嚴格的審查，以確保其在您的政府中擁有良好的信譽，並正確控制您所申請的網域。除此之外，這些檢查需要人為因素，因此需要更長時間且更昂貴。

在某些行業，需要 EV 證書。但對其他人來說，好處僅限於訪客所能認可的程度。對於日常網路訪客來說，差異是微妙的。除了掛鎖圖示外，網址列也會變成綠色並顯示您公司的名稱。如果您點擊“獲取更多資訊”，您會看到該公司的身份已經過驗證，而不僅僅是網站。

以下是一個普通 HTTPS 網站的範例：

以下是 EV 憑證 HTTPS 網站的範例：

根據您所在的行業，EV 證書可能不值得。另外，您必須是一家企業或組織才能獲得它。儘管大公司傾向於 EV 認證，但您會注意到大多數 HTTPS 網站仍然採用非 EV 風格。如果它對 Google、Facebook 和 Dropbox 來說足夠好，那麼也許對您來說也足夠好。

還有一件事：有一種中間選擇，稱為組織驗證或業務驗證的認證。這是比自動網域驗證更徹底的審查，但它並沒有達到擴展驗證證書的行業規定（請注意擴展驗證是如何大寫的，而「組織驗證」不是？）。OV 或企業驗證的認證成本更高，時間更長，但它不會為您提供綠色網址列和公司身份驗證資訊。坦白說，我想不出有什麼理由要花錢買 OV 證書。如果你能想到一個，請在評論中賜教。

共享 SSL 與私有 SSL

有些網路主機提供共享 SSL 服務，通常比私人 SSL 便宜。除了價格之外，共享 SSL 的好處是您不需要獲得私人 IP 位址或專用主機。缺點是您無法使用自己的網域。相反，您網站的安全部分將類似於：

https://www.hostgator.com/~yourdomain/secure.php

將其與私有 SSL 位址進行比較：

https://www.yourdomain.com/secure.php

對於面向公眾的網站（例如電子商務網站和社交網站），這顯然是一種拖累，因為您似乎已從主網站重定向。但對於一般大眾通常不會看到的區域，例如郵件系統的內部結構或管理員區域，那麼共用 SSL 可能是個不錯的選擇。

信任印章

許多證書頒發機構允許您在註冊其證書之一後在網頁上放置信任印章。這提供了與單擊瀏覽器視窗中的掛鎖幾乎相同的信息，但具有更高的可見性。包含信任印章不是必需的，也不會增強您的安全性，但如果它讓您的訪客感到溫暖，知道是誰頒發了 SSL 證書，無論如何，請將其放在那裡。

通配符 SSL 憑證

SSL 憑證驗證一個網域的身份。因此，如果您希望在多個子網域（例如 groovypost.com、mail.groovypost.com 和forum.groovypost.com）上使用 HTTPS，則需要購買三個不同的 SSL 憑證。在某種程度上，通配符 SSL 憑證變得更加經濟。即一張憑證涵蓋一個域名及其所有子域名，即*.groovypost.com。

保證

無論一家公司的良好聲譽有多長久，它都存在漏洞。即使是受信任的CA 也可能成為駭客的目標，正如2010 年VeriSign 發生的未報告的違規事件所證明的那樣。此外，CA 在受信任清單上的狀態可以很快被撤銷，正如我們在2011 年的DigiNotar 混亂中看到的那樣。 。

為了緩解對此類 SSL 放蕩行為的可能性的不安，許多 CA 現在都提供保證。承保範圍從幾千美元到超過一百萬美元不等，包括因濫用證書或其他事故而造成的損失。我不知道這些保證是否真的增加了價值，也不知道是否有人成功贏得了索賠。但它們是供您考慮的。

免費 SSL 憑證和自簽名 SSL 憑證

有兩種免費 SSL 憑證可用。自簽名，主要用於私人測試和由有效憑證授權單位頒發的面向公眾的全面 SSL 憑證。好消息是，2018 年，有幾種選擇可以從SSL for Free或Let's Encrypt獲得 100% 免費、90 天有效的 SSL 憑證。SSL for Free 主要是 Let's Encrypt API 的 GUI。SSL 免費網站的優點是使用簡單，因為它有一個漂亮的 GUI。然而，Let's Encrypt 很好，因為您可以完全自動向他們請求 SSL 憑證。如果您需要多個網站/伺服器的 SSL 證書，它是理想的選擇。

自簽名 SSL 憑證永久免費。有了自簽名證書，您就是自己的 CA。但是，由於您不屬於 Web 瀏覽器中內建的受信任 CA，訪客將收到警告，提示作業系統無法辨識該權限。因此，實際上無法保證您就是您所說的那個人（這有點像給自己發一張帶照片的身份證件並試圖在酒類商店假冒它）。然而，自簽名 SSL 憑證的好處是它可以對 Web 流量進行加密。它可能適合內部使用，您可以讓您的員工將您的組織新增為受信任的 CA，以消除警告訊息並透過 Internet 建立安全連線。

有關設定自簽名 SSL 憑證的說明，請查看 OpenSSL 文件。（或者，如果有足夠的需求，我會寫一個教學。）

安裝 SSL 憑證

購買 SSL 憑證後，您需要將其安裝在您的網站上。好的網站寄存服務商會為您提供此服務。有些人甚至可能會為您購買。通常，這是最好的方法，因為它可以簡化計費並確保為您的 Web 伺服器正確設定。

不過，您始終可以選擇安裝自己購買的 SSL 憑證。如果您這樣做，您可能需要先諮詢網站寄存服務商的知識庫或開啟幫助台票證。他們將指導您安裝 SSL 憑證的最佳說明。您也應該查閱 CA 提供的說明。這些將為您提供比我在這裡為您提供的任何一般建議更好的指導。

您可能還想查看以下有關安裝 SSL 憑證的說明：

• 如何在 IIS (Windows Server) 中實作 SSL
• Apache SSL/TLS 加密

所有這些說明都將涉及 SSL 憑證簽署請求 (CSR) 的建立。事實上，您需要 CSR 才能獲得頒發的 SSL 憑證。同樣，您的網站託管服務商可以幫助您解決此問題。有關創建 CSR 的更多具體 DIY 信息，請查看DigiCert的這篇文章。

HTTPS 的優點和缺點

我們已經牢固地確立了 HTTPS 的優點：安全、安全、安全。這不僅可以降低資料外洩的風險，還可以為您的網站注入信任並提高聲譽。如果精明的客戶在登入頁面上看到“http://”，他們甚至可能懶得註冊。

然而，HTTPS 也有一些缺點。鑑於 HTTPS 對於某些類型的網站的必要性，將這些視為「考慮因素」而不是負面因素更有意義。

• HTTPS 需要花錢。首先，需要購買和續訂 SSL 憑證以確保每年的有效性。但 HTTPS 也有某些“系統需求”，例如專用 IP 位址或專用託管計劃，這可能比共享託管套餐更昂貴。
• HTTPS 可能會減慢伺服器回應速度。有兩個與 SSL / TLS 相關的問題可能會降低頁面載入速度。首先，為了第一次開始與您的網站通信，使用者的瀏覽器必須經歷握手過程，該過程會彈回到憑證授權單位的網站以驗證憑證。如果 CA 的網路伺服器速度緩慢，那麼載入您的頁面將會出現延遲。這很大程度上超出了您的控制範圍。其次，HTTPS使用加密，這需要更多的處理能力。這可以透過優化內容的頻寬和升級伺服器上的硬體來解決。CloudFare有一篇很好的部落格文章，介紹了 SSL 如何以及為何會減慢您的網站速度。
• HTTPS 可能會影響 SEO 工作。當您從 HTTP 轉換到 HTTPS 時；您正在遷移到新網站。例如， http://www.groovypost.com 與https://www.groovypost.com不同。重要的是要確保您已重定向舊連結並在伺服器的底層編寫了正確的規則，以避免丟失任何寶貴的連結資源。
• 混合內容可能會引發黃旗。對於某些瀏覽器，如果您從 HTTPS 加載網頁的主要部分，但從 HTTP URL 加載圖像和其他元素（例如樣式表或腳本），則可能會出現彈出窗口，警告該頁麵包含不安全內容。當然，擁有一些安全內容總比沒有好，即使後者不會導致彈出視窗。但仍然值得確保您的頁面上沒有任何“混合內容”。
• 有時，獲得第三方支付處理器會更容易。讓 Google Checkout、Paypal 或 Checkout by Amazon 處理您的付款並不丟臉。如果以上所有內容看起來都太麻煩了，您可以讓您的客戶在 Paypal 的安全網站或 Google 的安全網站上交換付款信息，這樣就省去了麻煩。

您對 HTTPS 和 SSL / TLS 憑證還有其他問題或意見嗎？讓我在評論中聽到它。