SSL的工作原理及其重要性

SSL代表安全套接字层。它是用于保护和验证Internet数据的重要协议。由于Encrypt All The Things和Google推动更广泛采用SSL之类的运动,SSL已成为网络圈子中的热门话题。但尽管如此,许多网站管理员仍然不确定SSL的工作原理以及它的重要性……甚至不确定SSL最初代表什么!

虽然我们已经介绍了首字母缩略词的含义,但我们将在本条目中更深入地挖掘并告诉您SSL是什么,以及它如何使网络成为您和您网站访问者的更好场所。

SSL代表什么?SSL的工作原理

重申一下——SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。这将为您和您网站的访问者带来更安全的网络。SSL与另一个首字母缩写词TLS密切相关。TLS是Transport Layer Security 的缩写,是原始SSL协议的继承者和更新版本。

如今,SSL和TLS通常被称为一个组(例如 SSL/TLS)或可互换使用。例如,Let’s Encrypt(我们将在稍后详细讨论)广告提供“免费SSL/TLS证书”。但是您还会发现很多网站只是简单地讨论SSL证书,即使它们实际上是指TLS

结合SSL和TLS的示例

结合SSL和TLS的示例

那么SSL最初从何而来,我们又是如何通过TLS走到今天的呢?SSL 1.0版是由Netscape在1990年代初期开发的。但由于安全漏洞,它从未向公众发布。SSL的第一个公开版本是1995年2月的SSL 2.0。虽然它是对未发布的SSL 1.0的改进,但SSL 2.0也包含自己的一组安全缺陷,这导致完全重新设计和随后发布的SSL 3.0版一年后。

SSL 3.0版是最后一个公开版本,并在1999年引入TLS作为替代品时黯然失色。此时,SSL 3.0已被弃用且不再被视为安全,因为它容易受到POODLE攻击。至于TLS,它现在在TLS 1.3上,它提供了许多性能和安全性的改进。

那为什么我们不都使用TLS证书呢?

你很可能是。尽管网络社区为了方便起见通常将它们称为SSL证书,但证书实际上并不依赖于其名称中的特定协议。相反,使用的实际协议由您的服务器决定。这意味着即使您认为您安装了称为SSL证书的东西,您实际上很可能正在使用更新和安全的TLS协议。

但是,在网络社区采用 TLS 术语之前,您可能会继续看到此类证书,为简单起见,这些证书通常称为 SSL 证书。

HTTPS和SSL如何连接?

创建Internet的人喜欢他们的首字母缩略词 – 在谈论SSL/TLS时您经常会看到的另一个术语是HTTPS。 HTTP(不带S)代表超文本传输​​协议。

HTTP及其后继HTTP/2都是支持信息在Internet上传输的应用程序协议。它们本质上是Internet上数据通信的基础。当您添加回S时,它只是成为超文本传输​​协议安全(或HTTP over TLS或HTTP over SSL)。

本质上,SSL/TLS保护通过HTTP发送和接收的信息。这有很多好处……

使用SSL/TLS的好处是什么?

许多网站管理员错误地假设SSL/TLS只为处理信用卡或银行详细信息等敏感信息的站点提供好处。虽然SSL/TLS对这些站点来说肯定是必不可少的,但它的好处绝不仅限于这些领域。

SSL/TLS的主要优点之一是加密。每当您或您的用户在您的站点上输入信息时,该数据在到达最终目的地之前都会经过多个接触点。如果没有SSL/TLS,这些数据会以纯文本形式发送,恶意行为者可以窃听或更改这些数据。SSL/TLS提供点对点保护,以确保数据在传输过程中是安全的。即使是WordPress登录页面也应该加密!如果SSL证书存在但无效,您的访问者可能会遇到“您的连接不是私密连接”错误。

另一个主要好处是身份验证。有效的SSL/TLS连接可确保将数据发送到正确的服务器和从正确的服务器接收数据,而不是恶意的“中间人”。也就是说,它有助于防止恶意行为者错误地冒充站点。

SSL/TLS的第三个核心优势是数据完整性。SSL/TLS连接通过包含消息身份验证代码或MAC,确保在传输过程中不会丢失或更改数据。这可确保接收发送的数据而不会进行任何更改或恶意更改。

除了加密、真实性和完整性之外,还有其他技术较少的好处,例如:

如何判断网站是否使用SSL/HTTPS?

查看网站是否使用SSL/TLS的最简单方法是查看您的浏览器。大多数浏览器用绿色挂锁和/或消息标记安全连接。例如,在Google Chrome中,您可以查找绿色挂锁和安全消息:

Google Chrome如何显示HTTPS

Google Chrome如何显示HTTPS

在 Firefox 中,您只会看到一个挂锁:

SSL的工作原理及其重要性插图3

Firefox如何显示HTTPS

在Microsoft Edge中,您实际上看不到颜色,而是一个简单的灰白色挂锁。

Edge如何显示HTTPS

Edge如何显示HTTPS

谷歌会惩罚不使用SSL的网站吗?

最近,谷歌在谷歌浏览器中针对未能安装SSL证书的网站推出了一套越来越严厉的处罚/警告。这些处罚始于2017年1月,在没有SSL证书的情况下要求提供信用卡详细信息或密码的页面上引入了不安全警告:

2017年10月起Chrome不安全警告 

2017年10月起Chrome不安全警告

这一变化是谷歌推动增加SSL和HTTPS使用的第一个推动力。但最近,他们进一步加大了力度。

2017年10月增加的不安全警告

2017年10月,谷歌推出了更加激进的通知。从Chrome 62(2017年10月17日发布)开始,Google添加了不安全警告:

  • 用户输入任何类型数据的所有HTTP页面,包括像搜索框这样简单的内容。该警告不会出现在初始页面加载时,但会在用户开始在字段中输入数据时出现
  • Chrome隐身模式下的所有HTTP页面

Chrome不安全警告

Chrome不安全警告

谷歌只会变得更具侵略性

Google的长期计划 是最终将所有HTTP页面标记为Not secure。这意味着即使您不要求用户填写任何类型的表单字段,无论如何您最终都会收到警告。因此,您现在就开始计划迁移到SSL/TLS和HTTPS非常重要。

2020年,当站点使用TLS 1.0或TLS 1.1(旧版本)时,Chrome开始显示ERR_SSL_OBSOLETE_VERSION警告通知。

如何在您的网站上安装SSL证书

许多主机可以轻松安装免费的SSL/TLS证书。一般个人站长最有可能使用名为Let’s Encrypt的服务,该服务提供免费的SSL/TLS证书。你可以查看详细的Let’s Encrypt证书申请及安装教程

如果您的主机不提供免费SSL证书,或者您想要其他类型的SSL证书,您也可以从第三方提供商处购买自己的证书

安装SSL证书后的操作

是的 – 在安装SSL证书后,您需要执行技术和非技术操作。首先,在技术层面上,将所有HTTP流量重定向到HTTPS很重要。您还应该确保您没有通过HTTP加载任何资产。通常,这将是您自己的图像或您拉入的外部内容,例如脚本或外部广告服务。这有助于您避免混合内容警告

除了这两个技术细节之外,您可能还需要执行以下任务,具体取决于您使用的工具:

  • 在Google网站管理员工具中添加您网站的HTTPS版本。
  • 确保将Google Analytics或其他跟踪脚本设置为使用HTTPS。
  • 确保您没有收到任何与SSL连接相关的错误消息。

总而言之,SSL/TLS是创建安全、可靠的网络的重要协议。现在您已经了解SSL的工作原理,如果您还没有进行转换,我们鼓励您考虑安装SSL/TLS证书并将您的站点移至HTTPS。

我们有一个非常详细的HTTP到HTTPS迁移教程,请确保您阅读它并按照步骤操作!

本文提到: