ssl证书确保您的网站始终处于绿色安全区域

如何确保您的网站始终处于绿色安全区域？我们将为您厘清SSL和TLS的困惑，并教您如何确保您的网站始终处于“绿色安全”状态。本文将比较这些安全协议的目标，介绍最新的加密连接技术，并指导您为网站购买合适的ssl证书。

谷歌正在严厉打击网站安全：Chrome 62 版本及更高版本要求所有包含文本输入字段的网站必须具备 SSL 证书，否则浏览器会在 URL 旁边显示红色警告标志，并将该网站标记为“不安全”。

鉴于近期浏览器和服务器普遍支持 TLS 的趋势，这一变化可谓恰逢其时。然而，对于网站建设新手来说，这些专业缩写可能会让人感到眼花缭乱。

我们将为您厘清SSL 和 TLS 的困惑，并教您如何确保您的网站始终处于“绿色安全”状态。本文将比较这些安全协议的目标，介绍最新的加密连接技术，并指导您为网站购买合适的证书。

SSL与TLS

SSL 和 TLS 的作用相同，它们都是用于数据传输的加密协议。它们的工作原理是在两台机器之间建立“握手”过程。这个握手包括加密方式的协商、身份验证和密钥交换。一旦握手完成，两台机器之间就会建立起一个安全的连接。

机器之间传输的数据随后会被加密，并根据所使用的加密算法分片到一定大小，然后发送到网络传输层。需要注意的是，加密算法本身负责数据的加密过程，而非握手协议。SSL 和 TLS 协议仅仅用于完成握手，并就采用何种加密模型达成一致。

什么是SSL和TLS？

SSL 和 TLS 都是用于在传输过程中保护数据的协议，其中 TLS 1.3 是更安全、更现代的标准。然而，两者之间确实存在一些差异。

SSL 的全称是“安全套接层”（Secure Sockets Layer）。它由 Netscape 公司开发，于 1995 年首次公开发布的是 SSL 第二版，但黑客很快就找到了破解它的方法。一年后，Netscape 发布了 SSL 第三版，该版本在八年时间里一直被认为是安全的。

直到 2014 年，POODLE 攻击的出现才使得 SSL 3.0 变得不再安全，尽管当时并未被所有人知晓。TLS（传输层安全性）是 SSL 的更安全版本，于 1999 年发布，并附带了 SSL 3.0 的回退机制，以实现向后兼容。

这种兼容性是内置的，因为 POODLE 攻击（一种中间人攻击，MitM）正是滥用了这种向后兼容性（要了解更多关于 MitM 攻击的信息，请查阅我们关于公共 WiFi 危害的文章）。

TLS 1.1 于 2006 年发布，TLS 1.2 于 2008 年发布。尽管 TLS 1.3 已于今年早些时候获得批准，但目前 TLS 1.2 仍是业界最安全的协议。我们预计浏览器和服务器将很快普遍支持 TLS 1.3。

协议之间确实存在差异，但这些差异并不比 SSL 各版本之间的差异更大。两台机器之间的握手过程是相同的，只是协议版本决定了握手的具体执行方式。

向后兼容性问题

SSL 和 TLS 之间的混淆源于向后兼容性。TLS 1.2 保留了早期 SSL 版本的功能，以便与过时的浏览器兼容。因此，许多网站并未禁用那些可能导致 TLS 1.2 等协议存在安全隐患的旧有功能。

这正是 TLS 1.3 发挥作用的地方。它旨在禁用所有旧版功能并显著提升安全连接的性能。TLS 1.3 无需约定加密模型，而是由服务器直接提供加密密钥。理论上，这使得多次降级攻击（强制服务器使用旧协议的攻击）变得无效。

最新的更新旨在推动现代互联网的发展，彻底摒弃早期 SSL 版本所建立的过时模型。希望几年后，像 POODLE 这样的攻击不再像现在这样令人担忧。

在您的网站上使用 TLS

您的网站实际使用何种 TLS 协议，取决于您所选择的网络托管服务提供商。优秀的网络托管服务提供商通常仅支持 TLS 1.1 和 1.2，而 TLS 1.0 通常仅供那些不包含电子商务功能的网站建设者使用。

由于 TLS 1.3 的最终版本发布仅在几周前，因此网络托管服务提供商全面支持它还需要一定时间。例如，Kinsta 已经宣布支持 TLS 1.3，并正在积极采取措施全面实施。

只要您的网站使用 SSL 证书，访客的连接就会被加密。尽管命名方案可能已经过时，但这些证书仍然支持最新的协议，甚至包括 TLS 1.3。需要明确的是，证书本身并不负责加密任何内容。

证书只是一种验证方法。不同形式的 SSL 和 TLS 证书表明了浏览器对您域名的信任级别。我们将在下一节中详细介绍这些证书类型。

如果您已拥有证书，无论是 Dreamhost 提供的免费证书还是 HostGator 提供的付费证书，您的网站都可以使用服务器当前支持的最新协议进行连接。

有几种方法可以检查您的网站正在使用哪个 TLS 协议。第一种方法是查阅您的网络托管服务提供商的知识库。例如，GoDaddy 提供了一个小表格，显示您的服务器支持的 TLS 版本，具体取决于您使用的托管计划。

您还可以使用 SSL Labs 的 SSL 服务器测试工具来检测您的 Web 服务器。它会显示您的服务器正在使用的协议和加密方法，并给出总体评分。

SSL 和 TLS 证书类型

再次强调，SSL 证书更准确的定义是“一种可以同时支持 SSL 和 TLS 协议的证书”。因此，为了避免本节内容混淆，我们仍然将其统称为 SSL 证书。如果您在任何地方看到“SSL”或“TLS”而没有明确提及协议版本，它们在证书语境下通常指的是同一种东西。

域名验证证书 (DV)

SSL 证书最基本的类型是域名验证证书，它会根据域名注册机构进行核对。本质上，它只验证用户尝试访问的域名是否指向正确的 DNS 服务器。

这是最经济实惠的证书类型，通常包含在免费套餐中。许多网站建设者和网络托管商，例如 topssl，都会免费提供 Let's Encrypt 的 DV 免费证书。

然而，DV 证书的风险相对较高，因为浏览器通常无法验证网站背后的业务实体是否合法。在 Chrome 浏览器中，如果网站只使用了 DV 证书，你通常会在 https 协议的左侧看到一个带斜线的红色锁形图标。

如果您正在运营博客或个人网站，那么 DV 证书通常是足够的。但如果您需要收集用户的个人信息，尤其是信用卡信息，则应使用更强大、更安全的证书。

组织验证证书 (OV)

组织验证证书会根据企业或组织的身份进行核查。证书颁发机构的代理会通过检查政府注册数据库来确保网站的真实性。OV 证书中显示的所有数据均合法有效。

如果您在线经营商业业务，那么您需要使用此证书。您的网址仍然会显示 https，但地址栏旁边会显示一个锁形图标。在 Chrome 浏览器中，该图标会是绿色的，并且右侧显示“安全”字样。

扩展验证证书 (EV)

OV 证书已经不错，但扩展验证证书更胜一筹。OV 证书只需证书颁发机构进行一次审核，而 EV 证书则需要根据严格的扩展验证指南进行持续监控。

验证流程更加严格，价格也更高。不过，对于大型线上零售商而言，EV 证书能够显著提升消费者信任度，并有助于增加线上销售额。

除此之外，对于大多数不收集大量用户信息的网站，EV 证书基本上并非必需。即使是不收集个人信息的大型网站也不会都使用 EV 证书。如果您使用 EV 证书，浏览器会显示一个带有锁的绿色地址栏，并且旁边直接显示您公司的完整名称。

最后的想法

网络安全领域总是充斥着令人困惑的缩写词，而从 SSL 到 TLS 的转变更是雪上加霜。尽管协议不同，但它们的核心目标却是一致的：在服务器和用户之间建立一个安全的连接。

就证书而言，这两个术语（SSL证书和TLS证书）可以互换使用，所以您无需担心需要将“SSL 证书”升级到“TLS 证书”——它们是同一个东西。