为您的 WordPress 网站选择正确的 HTTPS 证书

已发表: 2019-09-27

在我们之前的文章 WordPress HTTPS、SSL 和 TLS——网站管理员指南中,我们解释了 HTTPS 和所有其他技术术语是什么,以及它是如何工作的。 在本文中,我们将讨论 HTTPS 证书、为 WordPress 网站获取证书的不同方式,以及为什么应该或不应该为证书付费。 让我们潜入水中。

什么是 HTTPS 证书?

在我们讨论 HTTPS 证书的方式和原因之前,我们首先需要讨论什么是证书。 证书用于:

  • 加密网络服务器和网络浏览器之间的流量,
  • 验证您连接的网络服务器实际上是它声称的身份(一种识别方式)。

HTTPS 证书(TLS 证书)包含加密证明,证明浏览器信任的实体可以证明该网站的身份。 该实体称为证书颁发机构(CA)。 CA 在 HTTPS 证书方面发挥着至关重要的作用。

您可以想到一个类似于“护照办公室”的证书颁发机构,它独立验证您的身份并为您提供“护照”(证书)以向他人证明您的身份。 但是,为了让某人(网络浏览器)验证您的“护照”,他们需要信任颁发“护照”(证书)的“护照办公室”(证书颁发机构)。 与护照类似,证书将具有内置的安全功能,使其难以欺骗

换句话说,要通过 HTTPS 为您的网站提供服务,您需要一个证书颁发机构来为您提供证明您的 WordPress 网站身份的证书(您就是您所说的那个人)。

不同类型的 HTTPS 证书

虽然可能不是很明显,但您可以获得 3 种不同类型的证书:

  • 域验证 (DV)
  • 组织验证 (OV)
  • 扩展验证 (EV)。

DV 证书是迄今为止最常见的证书。 当您获得 DV 证书时,您会看到您所期望的常用浏览器用户界面。 请注意,这因浏览器而异,甚至因浏览器版本而异,但通常,您会看到挂锁,有时还会看到“安全”一词。

OV 证书比 DV 证书更难获得,因为它们需要更多的验证。 然而,它们很少被使用。 对最终用户来说,它们看起来完全一样,与 DV 证书相比并没有提供切实的好处,而且成本更高。

这就留下了 EV 证书——扩展验证证书应该需要一个彻底的验证过程才能让组织获得一个。 它们要贵得多,并且历来浏览器在其 UI 方面的处理方式略有不同。

浏览器 URL 栏中的 HTTPS 挂锁

然而,在 Chrome、Firefox 和 Safari 的最新版本中,该指标已移至不那么显眼的部分。 这主要是因为没有证据表明 EV 证书向最终用户传达了任何有意义的信任级别。 在某些情况下,电动汽车实际上可能会给最终用户带来更多的困惑。 如此之多,以至于互联网上绝大多数最受欢迎的网站都从 EV 证书转向 DV 证书。

带有 EV 的 HTTPS 证书

您的 WordPress 网站需要什么类型的证书?

因此,简而言之,您需要为您的 WordPress 网站提供域验证 (DV) 证书。 没有真正的理由需要扩展验证 (EV) 证书,尤其是现在浏览器几乎消除了拥有证书的任何优势(另外,它们也非常昂贵)。

获取 HTTPS 证书

传统上,获取 HTTPS 证书意味着向证书颁发机构 (CA) 支付年费。 这个过程是手动的,对管理员来说非常烦人。

让我们加密徽标

幸运的是,早在 2012 年,Mozilla 就开始研究后来被称为Let's Encrypt 的东西。 由 Internet Security Research Group (ISRG) 运营的非营利性证书颁发机构。 它免费所有人提供 HTTPS 证书。 毫不奇怪,它在几个月内就成为了 Internet 上最大的 CA。

Let's Encrypt 中有关 HTTPS 证书和域的统计信息

除了简单的免费 CA 之外,Let's Encrypt 还具有革命性,因为它是第一个使用 ACME 协议的 CA。 ACME 协议允许自动更新证书。 这允许 Let's Encrypt 制作更短的生命周期(90 天)的证书,这样更安全。 此外,借助 Certbot 等工具,系统管理员无需担心更新证书。

Let's Encrypt HTTPS 证书限制

虽然网上有数千篇文章如何让 Let's Encrypt 为您的 WordPress 网站工作,但重要的是要意识到在某些情况下您可能无法使用他们的证书。 如果您将 HTTPS 证书作为您的网络托管计划的一部分,或者您无法完全控制您的网络服务器,则尤其如此。

在这种情况下,在花钱购买证书之前,请检查您是否可以通过托管服务提供商的客户支持使用 Let's Encrypt 证书。 如今,大多数 WordPress 托管服务都支持 Let's Encrypt 证书。

如果您的托管计划无法使用 Let's Encrypt 证书,您可能需要商业 HTTPS 证书,或者您可能会使用在线 WordPress 防火墙/CDN 服务。 他们中的大多数都提供免费的 HTTPS 证书作为其服务的一部分。

在 HTTPS 上设置 WordPress

除了获取 HTTPS 证书并在您的 Web 服务器上启用 HTTPS 之外,您还需要确保您的 WordPress 站点也设置为 HTTPS。 虽然您可以在不使用插件的情况下做到这一点,但对于大多数 WordPress 管理员来说,使用像真正简单 SSL 这样的流行插件可能更容易。 使用这样的插件,您可以确保所有链接都正确指向您网站的 HTTPS 版本。

还需要注意的是,搜索引擎将 HTTP 和 HTTPS 网站视为不同的网站。 因此,除非您已经这样做了,否则您还应该将 HTTPS 站点提交到 Google Search Console。

免费的HTTPS证书真的好吗?

许多 WordPress 网站所有者仍然对使用 Let's Encrypt 提供的免费 HTTPS 证书持怀疑态度。 有些人担心描绘出他们不认真对待安全的形象,因此害怕失去客户。 其他一些人认为免费的 HTTPS 证书不如付费证书。 我不怪他们——没有好的产品/服务真的是免费的。 但是,这是另一种情况。

作为用户,Let's Encrypt 是免费的,但它不是免费项目。 感谢 Google、Facebook、Microsoft、Cisco 等许多赞助商,他们可以免费颁发 HTTPS 证书! 因此,假设所有这些大公司都在为您的 WordPress 网站 HTTPS 证书付费。

Let's Encrypt 是一个成熟的证书颁发机构。 Let's Encrypt 的免费 TLS 证书和付费证书之间没有什么不同,尤其是在加密功能方面。 话虽如此,如果您能证明费用合理,那么支付 HTTPS 证书并没有什么坏处。

HTTPS 是否使我的网站“安全”?

不幸的是,没有什么是 100% 安全的,HTTPS 当然也不例外。 HTTPS 只是您的 WordPress 网站安全计划的一小部分。 它允许:

  • 您的用户可以安全地连接到您的网站,而不会因窥探同一网络而拦截他们的通信。
  • 有助于解决网站安全这一持续挑战的一部分

然而,这不是灵丹妙药:虽然您无疑应该实施和强制实施 HTTPS,但这并不意味着您已经完成了对 WordPress 网站的保护。

我还能做些什么来确保我的 WordPress 网站安全?

您可以做很多事情来提高 WordPress 网站的安全性。 我们建议您从以下内容开始:

  • 使用 WordPress 防火墙,
  • 执行强大的 WordPress 密码策略,
  • 安装文件完整性监控插件,
  • 记录 WordPress 上发生的所有更改,
  • 使 WordPress 核心、您使用的所有插件、主题和软件保持最新。