使用 Let's Encrypt 保护您的网站!

已发表: 2016-11-22

Let's Encrypt 是一项计划,它提供了一种免费和自动化的方式来保护您网站的 HTTP 流量。 设置安全 HTTPS 始终是一个复杂的过程,我们很乐意支持任何使整个过程对人们来说更简单、更直接的努力。

一般来说,为了在您的网站上启用 HTTPS,您需要从证书颁发机构 (CA) 获取安全证书。 证书颁发机构被视为可以向访问者验证网站身份的可信第三方。 安全证书(也称为 SSL 证书)安装在 Web 服务器上并提供两个功能:a)它加密您的网站和访问者之间的所有 HTTP 流量 b)它验证您网站的身份,以便您的访问者知道他们是不参观一个虚假的。

 保护您网站的身份和访问者流量是明显的好处,但还有一些需要进一步解释。

在 Let's Encrypt 之前,你必须选择你想要的证书类型,这个过程对于不熟悉公钥系统的用户来说有点困惑,然后你必须生成你的密钥,签署一个证书生成请求,最后花费相当多的钱为了购买一个钱。

等等,什么是 SSL?

安全套接字层或 SSL 是一种加密协议,可保护网络通信。 它确保了通信的私密性,这意味着两方之间交换的数据是加密的,不能被第三方窃听。 它还使用我们前面提到的 SSL 证书来验证通信方(通常是服务器)的身份。

如何判断一个网站是否安全?

受 SSL 保护的网站可以通过以下几件事轻松识别:

https-裁剪
  • URL 地址旁边有一个绿色的挂锁图标(取决于您使用的浏览器)
  • URL 以https而不是 http 开头。

然而,SSL 证书也有一个到期日期。 当该日期过去时,通信不再安全,需要更新证书。 您可以通过首先单击挂锁图标并根据您使用的浏览器,执行以下操作轻松检查您网站的 SSL 证书是否已过期:

在 Firefox 上,单击右侧的箭头按钮,然后单击更多信息链接。 最后单击“安全”选项卡下的“查看证书”按钮以查看证书详细信息。

如果您使用 Chrome,请单击详细信息链接,然后单击安全概述选项卡下的查看证书按钮。

有效期部分下,有两个与证书相关的日期。 发行日期到期日期。 第一个是证书的激活日期,第二个是它的到期日期。 如果Expires On日期已过,证书需要更新,通信不再安全!

为什么要关心 SSL?

好吧,有很多原因! 保护您的网站和访问者之间的通信,验证您网站的身份,确保浏览器和 Web 服务器之间的数据完整性,甚至获得更高的 SEO 排名。

安全通信和经过身份验证的身份听起来很不错,但是它们在保护您的网站免受什么侵害? 对某些人来说,这个概念可能看起来很模糊。 实际上,这两者共同对抗可能是计算机安全中记录的最经典的攻击方法之一。 “中间人”攻击(或缩写,MitM)。

使用 Pressidium 托管您的网站

60 天退款保证

查看我们的计划

假设我们有一个由 Alice 运营的网站,Bob 访问了该网站(攻击也适用于不同的服务,而不仅仅是网站)。 到目前为止,一切都很好。 然后,有一个叫查尔斯的坏人(出于某种原因,计算机安全领域的坏人通常被称为查尔斯。我想到了干马提尼酒和秘密藏身之处。)

查尔斯通过使用许多在本文中过于复杂的不同技术,控制了 Alice 和 Bob 之间的通信通道。 他安静而隐蔽地坐在他们之间。

中间人

当 Bob 访问 Alice 的网站时,他认为他发送和接收来自 Alice 的数据。 实际上,他发送的数据通过查尔斯,后者又将它们转发给爱丽丝(确保在这样做之前要么存储它们,要么以某种邪恶的方式篡改它们)。 当 Alice 的网站响应时,数据再次从 Charles 传递给 Bob。 就像拥有强大的窃听器一样。 除了能够存储敏感数据(例如电子邮件、密码和信用卡)之外,Charles 甚至可以冒充 Alice 的部分网站或 Bob 的网络浏览会话。

所以在这里我们看到了我们的两个 SSL 盟友,经过身份验证的身份和安全通信来救援!

当您的网站受到 SSL 保护时,中间人攻击变得更加难以实施。 当 Bob 连接到 Alice 的网站时,他会收到服务器的证书并根据 CA 对其进行验证。 证书验证后,服务器和客户端交换一些额外的信息,然后数据通信开始(例如他们将使用什么类型的密码,一个称为握手的过程)。 如果查尔斯试图通过向鲍勃发送他自己的公钥来冒充爱丽丝,他不会走得太远。 在证书内部,有一串称为数字签名的数据,可确保文件的完整性。 如果证书的任何部分发生更改,签名也会更改。
因此,如果 Charles 试图更改公钥,CA 将拒绝证书并通知 Bob(因为 CA 计算的数字签名与证书上的当前签名不匹配)。 由于查尔斯没有爱丽丝的私钥,他无法解密通信。 Charles 能够做任何事情的唯一方法就是尝试破坏 CA 的服务器。

但除了保护您免受喝马提尼酒的坏人的伤害之外,它还可以提高您的 SEO 排名! 根据 Zineb Ait Bahajji 和 Gary Illyes 的 Google Webmasters 博客文章,HTTPS 被用作排名信号:

我们已经看到了积极的结果,因此我们开始使用 HTTPS 作为排名信号。 目前它只是一个非常轻量级的信号。 但随着时间的推移,我们可能会决定加强它,因为我们希望鼓励所有网站所有者从 HTTP 切换到 HTTPS,以确保每个人在网络上的安全。

此外,截至 9 月,Google 安全博客宣布 Chrome 浏览器将开始明确将网站标记为“不安全”。 这样做是为了“迈向更安全的网络”并提高用户的意识。

它是怎么运行的 ?

到目前为止,我们已经讨论了 SSL 证书以及它们在提供安全性和身份验证方面的重要性。 在本节中,我们将卷起袖子,深入了解细节!

SSL 通过使用称为公钥基础设施(或 PKI,用于排序)的系统工作。
PKI 是一种计算机安全系统,用于解决如何通过不安全的网络进行安全通信的问题。 简单地说,如果 Alice 和 Bob 想通过 Internet 安全地通信,他们需要交换某种加密密钥。 但是,如果他们这样做,并且介于他们之间并拥有计算机的人获得了该密钥,那么他将能够读取所有未来的通信! (它可能不是 Charles 类型的人;系统管理员由于其工作性质,也可以访问通过其服务器的所有明文数据)。

这似乎是一个自相矛盾的问题,但它不仅可以通过使用一个密钥,而且可以通过一对密钥来解决。 一个公共的,一个私人的:

  1. Alice 和 Bob 交换他们的公钥。 由于这些是公开的,它们可以通过不安全的网络发送而无需担心。 事实上,将它们公开发布是他们的预期用途!
  2. 然后 Alice 使用她的私钥Bob 的公钥加密她想发送给 Bob 的消息。
  3. Bob 得到消息并使用他的私钥Alice 的公钥对其进行解密。

私钥通常存储在本地计算机上(或 USB 驱动器,或您知道它们安全的地方)。 无论谁阅读您的电子邮件,或网络通信,在没有您的私钥的情况下,他们只会得到一个看起来像乱码的文本。

公钥加密的另一个有用方面是数字签名的概念。 我们之前提到过,当查尔斯试图篡改证书时。
当 Alice 向 Bob 发送消息时,她还可以使用她的私钥对其进行数字签名。 这确保了消息确实是由 Alice 发送的,而不是由其他任何人发送的。 数字签名实际上是使用证书信息计算的一长串十六进制数字。 即使证书中的一个字节发生变化,数字签名也会发生变化,CA 将拒绝它。

SSL 证书只是安装在系统上(通常在 Web 服务器上)并以相同方式工作的数据文件。 它加密通信,并确保实体(在我们的例子中是网站)的身份。 它包含以下信息:

  • 证书所有者的姓名
  • 电子邮件地址
  • 有效期
  • Web 服务器的完全限定域名
  • 所有者的公钥
  • 保证证书没有以任何方式更改的数字签名。

它使用所有这些信息来有效地将实体/组织与该系统相关联。

颁发证书有两种方式。 第一种是自己签名(自签名),第二种是通过证书颁发机构(受信任)获取。

自签名证书和可信证书有什么区别?

自签名证书提供与受信任证书相同级别的加密,但不保证所有者的身份。 它主要用于测试或本地网络基础设施中,不需要将所有者绑定到系统。

另一方面,受信任的证书提供加密和身份验证。 证书由第三方 (CA) 颁发,该第三方 (CA) 使用大量背景调查来验证证书所有者的身份。

所以这意味着你需要信任 CA。 如果它是流氓,又怎么知道呢?

这肯定会发生,并且在过去已经发生过无数次。 由于这确实是一个信任问题,唯一的解决方案是确保您使用的 CA 是一个知名的、成熟的、受人尊敬的组织。 CA 为颁发证书收取费用(通常从 10 美元到三位数不等),但不应落入认为昂贵的 CA 意味着更多的信任和安全的陷阱!

如何使用 Let's Encrypt 对您的网站进行 SSL 保护

有很多方法可以生成 Let's Encrypt 证书并将其安装在您的 Web 服务器上。 该过程取决于您是否将在 Unix shell 中工作,您正在运行什么类型的 Web 服务器等。将您的浏览器指向 Let's Encrypt 的入门页面以了解更多信息。

如果您是现有的 Pressidium 客户,事情再简单不过了!
首先,登录您的 Pressidium 门户帐户:

  1. 单击SSL 证书选项卡。
  2. 单击生成免费的 Let's Encrypt 证书按钮。
  3. Install Let's Encrypt下拉菜单中选择要安装证书的网站。
  4. 最后,单击Create & Install SSL Certificate按钮,您就完成了!

为了测试您的网站是否启用了 SSL,请打开您的浏览器并在地址中使用https访问您网站的 URL。 如果您的浏览器显示熟悉的绿色安全挂锁标志,那么您就在做生意!

您的新 Let's Encrypt 证书有 90 天的时间跨度,但它会自动更新自己。 您还可以从门户管理和安装您自己购买的证书。 阅读此知识库帖子以查找所有相关信息!

安全是一个过程,而不是交钥匙解决方案

残酷的事实是,你不能只是买了东西,或者安装了一个软件就忘了它,并认为你已经成功地处理了所有的安全问题。 计算机安全是一个巨大的难题,涉及技术机制、政策、计算机,尤其是人和人的心理! 您需要正确解决所有难题并不断努力。 这是一个过程,而不是一个交钥匙解决方案。

人为因素是恶意用户一次又一次地利用的东西。 我们 100% 支持任何旨在提供信息、提供工具和提高公众对互联网安全问题意识的倡议。 在以后的文章中,我们将更深入、更彻底地研究 WordPress 安全方面。 人们和公司使用 WordPress 为许多人提供价值和食物。 安全事件不再是网站污损和网络涂鸦,而是切实影响他人的生活。 这是我们非常重视的事情。