网站新手入门

SSL 凭证是什麽?为什麽您必须使用凭证?以及要如何取得凭证呢?

安全性已成为越来越多网站使用者的优先考量事项,浏览器以及网站所有者也都将网站安全放在其计画的首位。

不久之前,HTTPS (使用 SSL 凭证的网路安全协议) 仅适合在某些情况下使用。大多数人都知道,在网路上购物时要确认网址搜寻栏前面是否有小锁头的符号。网站管理员会确保输入帐号密码或是敏感个人资料的页面都支援加密连线 (网页显示锁头小图示)。

然而,最近我们看到当前最流行的网站的开發人员都开始使用 SSL 凭证来证明 未使用 SSL 凭证的不足。(英语连结)

那麽,什麽是 HTTPS 呢?什麽是 SSL 凭证呢?为什麽您们需要使用它?以及要如如取得它呢?

什麽是 HTTPS?

网路主要的问题之一是 “信任” 。透过网路能与世界各地的人联络,这是非常宝贵的价值,这个改变了我们的社会。

但是这种新的交流方式却引起了一些问题。有一些恶意用户利用匿名性以及资讯的自由开放和共享的问题来窃取那些原本是私下传送给受信任的个人或实体的有价值的资料。

HTTPS 是一种最基本的解决方案。

HTTPS 为 HTTP 的安全版本,HTTP 是管理网路上众多网站的数据传输的规则。这代表所有您所网问的网页上的任何内容、您在网站上所填写的表格,或与网站进行的讯息交换(例如点选网站上的连结) 都有使用 HTTP 规则进行通讯。就像是一种共享语言。

HTTPS 裡的 S 代表的即为 “安全 (加密)”,也就是说,使用 HTTPS 可以防止第三方看见您所传输和收到的讯息。一开始,HTTP 没有这项功能,因此所有人都可以 “窥探” 您的电脑与网站伺服器间所传送的讯息。

或可能發生的另一件事是,某人可以将自己伪造成网路通讯的中介者,秘密地交换中继网站与网站访问者之间的通讯,但没有任何一台电脑知道到它不是在与对方直接通讯。

这就是骇客在那些使用 HTTP 的网页上窃取密码或信用卡号码资讯的方法。

HTTPS 透过执行两件事来解决这两种窃取讯息的方式:

  • 授权:在网站与网站浏览者间建立直接连结,以确保通讯双方是与其认为的对象在进行交流。
  • 加密方式:透过使用仅有网站和网站访问者可以解码的特殊代码对网站进行编码,以确保只有网站和网站访问者才能阅读特定通讯中的内容。

什麽是 SSL 凭证?

您在先前可能已经使用过基本加密。解码环与编码讯息就像是拼图一样有趣。但是,如果这类型的讯息太过简单以至于很容易就被破解,那麽您可能就不会使用解码环去加密敏感数据,例如您的信用卡号码。

为此,您会希望拥有一组不被破解的密码。

但是在这种情形下,如果不向您通讯的个人或是实体提供密码,则收件人在收到您的讯息后将无法进行读取。

这不是一个您是否能够提供实体加密密码的问题。但这并不能让您能够从从未去过的网路商店购买商品。如果您必须亲自交付密码,那麽网路购物的好处是什麽?

您需要的是一个可以透过网路传递密码,而不被他人重组以监控您的活动的方法。听起来不太可能,不是吗?

好吧,透过数学您是可以做到的。我们将不在此多做解释,但是本质上,您可以使用数学进行解释,您和网站浏览者,和网站都能够有一组只有您知道的单独的秘密密码。您可以使用这些密码去加密讯息,并将其寄给另一个人,然后另一个人可以使用其密码去解密。

SSL 凭证(也有人称之为 TLS 凭证)会将公司的资讯与密码或金钥相连结,以便您可以确定自己是与您可信任的网站在通讯。

以下是运作的方式:

  • 当您连接至一个网站时,您的浏览器会要求代管网站的网站伺服器要自我标示
  • 伺服器寄送其 SSL 凭证的副本
  • 浏览器验证凭证
  • 浏览器与伺服器确认凭证已被验证
  • 伺服器發回经过数位签章的回条确认
  • 资料传输加密于浏览器和伺服器的通讯期间

在此过中,为了要确认 SSL 凭证属于相关的伺服器,凭证必须要经由证书颁發机构签章。

这是一组经过挑选的供应商,他们将採取步骤以验证 SSL 凭证的请求者为其所声称的身份。目前有很多种方式可以进行验证,确切地进行验证以对应不同类型的 SSL 凭证。

如何取得 SSL 凭证?

当您购买 SSL 凭证时,必须考虑两个要素。

首先,您需要哪种类型的验证?验证可以非常简单,甚至可以自动化,但它也可能需要一个月的时间去验证法律文件和公共企业註册的数据资料。

以下是 SSL 凭证创建所需的基本步骤:

  1. 选择凭证方案
  2. 建立 CSR(凭证签署请求)
  3. 选择验证方式

SSL 凭证方案

SSL 凭证有多种不同方案,每种凭证方案涵盖不同数量的位址:

  • 单一位址:此类型的凭证仅涵盖一个子域名和一个裸域名(无任何子域名)。通常,会选择的子域名是 www。
  • 万用字元:此类型凭证涵盖所有子域名。该名称来自 “万用字元”,* 表示可以用任何值替换该字符,因此 *.example.com 代表 www.example.com,但也可能代表 foo.example.com、shop.example.com,store.example.com 等等。万用字元凭证将涵盖所有这些可能性。

/!\ 万用字元凭证涵盖 *.example.com 但不涵盖 *.*.example.com。也就是说,其涵盖 foo.example.com 但不涵盖 www.foo.example.com、shop.foo.example.com、foo.shop.example.com,或是所有其它此类型的域名。

  • 多重域名:此凭证涵盖一个以上的域名。您必须指定要复盖哪个域名,但是您可以选择复盖多个域名,无论它们是以什麽方式与域名连结。

SSL 凭证签章请求

凭证签章 (英文为 CSR,Certificate Signing Request) 是寄送给凭证颁發机构(CA) 所寄出的一个档案。透过向 CA 提供 “签署” 凭证所需的内容,其同时可以作为证书请求,也可以作为证书建立程序的开始。

如果您在您的主机上购买 SSL 凭证,可以自动产生凭证,与在 Gandi 的 Simple Hosting 上购买主机以获得 SSL 凭证的情况相同。

您可以在我们的线上文件中找到如何生成 CSR 的相关资讯。

接着,您必须选择验证的方法。以下为 SSL 凭证的验证种类:

标准 SSL 凭证验证

标准凭证使用的是自动验证。此验证级别的目的是要验证证书的申请人也对域名具有管理权限,这代表着他可以修改域名的技术设定。执行这件事的作法有很多种:

  • DNS 验证:CA 提供 DNS 记录,域名所有权人必须将其新增到 DNS 区域档纪录中。一旦 CA 完成验证记录后,就会颁發凭证。
  • 电子邮件验证:CA 会寄發一封电子邮件给域名的 admin@(网域名称) 的电子邮件地址进行验证。在域名的所有权人收到此封邮件并点选邮件中的连结后,CA 就会颁發凭证。
  • 文件验证:CA 提供一个文件给域名所有权人放在其网站伺服器上。一旦 CA 可以验证到文件的存在,凭证就可以被颁發。

标准验证凭证被用来保护所有与您网站相连的页面,像是您网站上的管理介面、会员保留区,或是讯息服务的网站。

进阶 SSL 凭证验证

进阶凭证能在出现安全漏洞或问题的情况下增加保险,与标准凭证之外有额外验证。

因此,如果您希望购买此类型的凭证,您必须提供身份证明文件作为附加验证条件。

进阶 SSL 凭证可用于各类进行金融交易的网站,例如电子商务网站,或是客户连结区域。

企业 SSL 凭证验证

企业 SSL 凭证用途与进阶 SSL 凭证相同,但企业 SSL 凭证还包含了您的公司在公共註册文件中的验证,其包括电话验证。所有这些程序都是为了向您的客户提供其它验证。

此类型的凭证适用于处理大量非常敏感数据的网站,像是大型电子商务网站,并且此类型凭证提供了当前可用的最高级别的保护。

在 Gandi 取得 SSL 凭证

如果您已经准备好取得 SSL 凭证,您可以立即在 Gandi 进行操作。