SSL证书综合指南

当今市场上可提供各种SSL产品，以满足各种域和安全需求。 尽管许多网站管理员都在探索各种可能性，但希望转向SSL可以提高他们的搜索排名，但是尝试比较这些选项可能会让人不知所措，更不用说完全了解您的付款了。

许多SSL提供程序提供了很多附加组件，这使得比较提供程序变得相对困难。 本指南将帮助回答几个常见问题，以便您可以找到最适合您需要的证书：

• 我应该购买哪种类型的SSL证书？
• 我应该使用免费证书还是从供应商那里购买证书？
• 哪个证书最适合保护子域？ 多个域？
• 我需要多少保修范围？
• 如何解决常见的安装问题？

什么是SSL证书？

在解决这些问题之前，让我们介绍一下基础知识。 SSL代表安全套接字层（Secure Sockets Layer），这是一种安全方法，可以在通过服务器传输数据时对数据进行加密。 SSL证书有助于保护敏感信息的传输，例如信用**，密码和用户名，社会保险号等。

它是如何工作的？

SSL证书利用公钥和私钥，它们可以共同建立加密连接。 通常，在浏览器和Web服务器之间发送的数据以纯文本形式发送，这可能使您容易受到黑客的攻击。

为什么要使用SSL？

使用SSL证书的好处在于，它在敏感信息的在线传输过程中提供了加密保护。 （实际上，如果您在站点上收集信用卡信息，则支付卡行业（PCI）要求您拥有SSL证书。）SSL证书还可以帮助您赢得客户的信任并防止网络钓鱼方案。

此外，Google现在对使用HTTPS的网站的排名略有提高。 从技术上讲，Google仍然只查看URL中的前五个字符，这意味着您的网站可以在没有有效证书的情况下利用HTTPS协议，而且排名仍会提高。 但是，正如Google的Gary Illyes所建议的那样，最终将进行更严格的检查。

证书类型

有三种常见的证书类型。 根据您的网站所需的安全级别选择合适的安全级别。

域验证的SSL证书（也称为低保证证书）是已颁发证书的标准类型。 自动验证可确保域名已注册，并且管理员可以批准请求。 为了完成验证，网站管理员必须通过电子邮件进行确认或为站点配置DNS记录。

• 处理时间：几分钟到几小时
• 推荐用于：仅在内部系统上使用

经组织验证的证书（或高度保证证书）需要真实的代理来验证域所有权以及组织信息，例如名称，城市，州和国家/地区。 与低保证证书类似，它需要其他文档来验证公司身份。

• 处理时间：几小时到几天
• 推荐给：所有企业和公司

组织验证的证书示例

EV证书或扩展的验证证书是一种新型的证书，需要最严格的验证过程。 这种类型的证书检查可确保企业为法人实体，并要求提供企业信息作为域所有权的证明。 标准SSL证书并不表示您的网站由合法且经过验证的企业运营。

购买EV证书的一项独有功能是您的网站浏览器栏将显示绿色的挂锁。 这可以帮助增强消费者的信心，并确保交易安全。

• 处理时间：几天到几周
• 推荐给：所有电子商务企业

定价与供应商

我应该向谁购买？

谈到SSL时，其中一些大牌是GeoTrust，DigiCert，Symantec（以前称为Verisign）等。 也有第三方经销商，例如NameCheap和Comodo，它们以折扣价提供相同的保护。

那免费证书呢？

你问为什么要花一些免费的东西呢？ 当用户访问使用自签名或免费SSL证书保护的网站时，大多数网络浏览器都会发布错误消息。 虽然有些人会单击“我了解风险”并继续访问您的网站，但很可能有许多人会单击“使我离开这里！”。 按钮，再也不会返回。

真正的问题在于，自签名证书实际上不受监管。 如果您的网站遭到入侵，它可能仍然看起来很安全; 但是，可以撤消受信任的证书颁发机构颁发的证书，从而警告用户任何潜在威胁。

只有在防火墙后面进行测试时，才应使用自签名证书。 如果您使用PayPal这样的公司来处理交易，则可以完全购买证书，因为PayPal网站将代表您保护交易。

我应该寻求什么样的保修？

与任何类型的保险一样，SSL证书的价格会根据其提供的保修范围而有很大差异。 但是，购买SSL证书时获得的保修可能会产生误导。 它不是对购买者（您）的保证，而是对最终用户的保证。

简而言之，如果消费者在欺诈性网站上购物后遭受金钱损失，则证书颁发机构从技术上说是有缺陷的，因为它不显示浏览器警告并且不能保护消费者。 在这种情况下，如果有争议的金额少于保修本身，则将向客户支付保修价值。

请注意，这几乎永远不会发生！ 如果用户要被网站欺骗，他们可能会采取的第一个行动就是与他们的信用卡公司联系。 但是，为了保证保修质量，最终用户必须注意欺诈性网站使用的SSL提供商，并直接与他们联系。 虽然拥有大量的保修范围可以使您放心，但通常这是一种说服您为同一产品支付更多费用的策略。

保护多个属性

单名SSL证书保护一个域。 例如，如果您要购买www.wonderfullywhisked.com的证书，则该证书将无法确保烘烤。

通配符证书使您能够保护无数个基于单个根域的子域。 例如，假设您要保护域名www。 wonderfullywhisked.com及其子域。 您将需要使用* .wonderfullywhisked.com作为通用名称的通配符证书。 该证书将确保www.wonderfullywhisked.com，baking.wonderfullywhisked.com，cooking.wonderfullywhisked.com等。

通配符证书可以随着时间的推移轻松收回成本，尤其是在您需要保护四个以上的子域的情况下。 另外一个好处是，管理一个通配符证书比12个单个证书要容易得多。

多域证书可以使用一个证书（取决于您选择的提供者）来保护多达210个不同的域。

解决常见问题

有一些常见错误可能会使您的SSL证书无效：

• 提供混合内容
• 证书名称不匹配错误
• 缺少中间证书
• 过期的证书
• 查看的证书不是已安装的证书

由于必须从安全来源加载所有内容，因此提供混合内容（或HTTP和HTTPS内容）会使证书无效。 这通常发生在插件，图像和JavaScript代码段中。 如果您在识别页面上的不安全内容时遇到问题，请尝试使用免费工具WhyNoPadLock.com。

证书不匹配错误通常是由您要求的域名所要求的SSL证书引起的，但实际上与域本身不匹配。 例如，如果您的网站受到指定“ www.wonderfullywhisked.com”的证书的保护，并且您的网站正在加载非www版本，则将发生不匹配错误。

为了建立HTTPS连接，浏览器栏中的域必须与注册证书时输入的域完全匹配。

许多人忽略了以下事实：必须安装中间/链证书才能使证书正常运行。 根据您的服务器类型，可能会要求您使用一个或两个中间证书。

始终确保您的证书是最新的。 许多浏览器将允许您在其“高级设置”下进行检查，但您也可以使用SSL Shopper的SSL Checker来获取此信息。 大多数证书可以在过期前90天进行续订。

如果显示的证书不是您刚刚安装的证书，那是因为在相同的IP和套接字号上只能安装一个证书。 首先安装的将被识别。

选择证书

选择SSL证书可能很复杂，因为并非所有提供程序都提供所有相同的证书类型。 为了简化此过程，您可以参考下表，该表概述了六个主要SSL提供程序提供的证书。 如果您打算使用同一SSL提供商超过一年，那么如果您提前两年或以上付款，通常会获得可观的折扣。

通过第三方经销商购买往往是最便宜的选择-唯一的警告是您可能会收到的客户帮助质量。

如何选择证书：

• 标识要保护的属性类型（域，子域）。
• 确定您是否需要保护一个或多个属性（通配符或多个域）。
• 然后，确定所需的保护级别。
  • 域名验证-低
  • 经过组织验证的-中
  • 扩展验证-高

资料来源：

• https://casecurity.org
• https://wiki.mozilla.org/CA:Problematic_Practices#Email_Address_Prefixes_for_DV_Certs
• https://cabforum.org/about-ev-ssl
• https://tools.ietf.org/html/rfc6101
• https://www.icann.org/en/system/files/files/valentin-idn-ct-01dec04-en.pdf
• https://letsencrypt.org/getting-started

本文中表达的观点是来宾作者的观点，不一定是Search Engine Land。 工作人员作者在此处列出。