Web 服務器託管的最佳 SSL

您的託管環境、網站和客戶端交互的安全性現在比以往任何時候都更加重要。 面對持續不斷的威脅和攻擊，您希望確保訪問者相信您考慮到他們的安全並積極保護他們的信息。 使用安全套接字層 (SSL) 證書為您的網站提供安全連接是向訪問者表明您重視安全性的最簡單方法之一。 但是，並非所有 SSL 證書都被視為平等或提供相同的保證。 確定哪個最適合您和您的業務是一個重要的選擇，取決於您的特定需求。

什麼是 SSL 證書？

要確定哪種 SSL 最適合您的業務，您首先需要了解什麼是 SSL 證書。 SSL 證書是一種數字“證書”（基本上是一個文件），用於在主機（您）和客戶端（您的訪問者）之間提供加密和解密。 此證書證明域的所有權和真實性。 換句話說：它告訴您的訪問者（更重要的是：他們的瀏覽器）他們正在訪問的域實際上是他們認為他們要去的域，並且它屬於他們認為應該屬於的人。 該證書還允許他們的瀏覽器以安全可靠的方式與您的網站進行通信。 在瀏覽器中查看 URL/地址欄並看到 https 時，“s”部分代表 SSL 證書提供的安全連接。

SSL 如何工作？

在選擇最適合您需求的 SSL 之前，您還應該了解 SSL 的使用過程。 基本思想是創建“信任鏈”； 一條路徑，從您的計算機和您的瀏覽器開始，到提供 SSL 證書的組織結束，該組織稱為“證書頒發機構”或“CA”。 訪問站點時，您的瀏覽器會查看 SSL 證書並開始“跟踪”其中包含的信息，檢查每個步驟並確保該組件由您的瀏覽器信任的組織或 CA 進行數字“簽名”。 通過遵循此路徑，您的瀏覽器可以保證它從站點接收到的信息是準確的，因為每一步都驗證最後一步，以與您的瀏覽器有特定協議的 CA ^[1]結束。

此外，您的瀏覽器使用 SSL 證書與您正在訪問的網站的服務器建立安全連接。 有一系列來回消息來協商或確認站點和您的瀏覽器可以安全地通信，並且您的瀏覽器正在訪問的網站確實是您認為您所在的網站。

[1] – 這是 SSL 可能會收取相關費用的部分原因。 證書頒發機構必須得到它想要識別 SSL 證書的每個瀏覽器的批准。 這是勞動力成本的一部分，並且是一個耗時且困難的過程。 這也是 SSL 證書可以信任的原因：不僅僅是任何人都可以啟動證書頒發機構並頒發最常用瀏覽器信任的 SSL 證書。

SSL 證書的類型

要確定哪種 SSL 最適合您運營的企業或網站，您還應該了解不同類型的 SSL 以及它們的使用方式。 本文將簡要介紹四種可供您選擇的 SSL 證書：

自簽名

此 SSL 證書是您自己創建並基本上“簽名”的證書，表明您就是您所說的自己，您的網站就是它所宣稱的網站。 當使用只有您認識/信任的人才能訪問它的網站時，這些都很好。 他們不必擔心真實性，因為他們已經確切知道誰在操作它並且它是安全的。 這些不應用於任何類型的在線業務或隨機訪問者會停下來的站點，因為自簽名證書會在大多數瀏覽器中顯示不可信的錯誤/警告（這可能會嚇跑訪問者/客戶）。

單域

單域 SSL 證書將準確地代表它所說的：一個完全限定的域名。 這不支持域的任何類型的子域，除非這是專門為 SSL 配置的（因此 mail.example.com 的 SSL 只會為 mail.example.com 提供安全性和真實性，而不是 www.example.com ）。 此外，除非為該域名 TLD 明確購買/配置 SSL 證書，否則不會自動涵蓋備用頂級域 (TLD)，例如 .net、.org 等。

通配符

通配符 SSL 為域名的所有子域提供安全性和真實性。 術語“通配符”代表可以與您的主域名一起使用的任何和所有可能的子域。 如果您不確定如何將子域用於您的業務或知道您有大量需要覆蓋的子域（足以使通配符子域的增加成本比購買單個單域 SSL 更便宜），這將特別有用覆蓋您的所有子域）。

多域

多域 SSL，而不是專注於覆蓋多個子域，提供了對多個主機名的覆蓋。 這些主題備用名稱 (SAN) 列在 SSL 證書上，您的瀏覽器在訪問站點時會單獨檢查每一個。 在收到 SSL 證書並查看 SAN 後，您的瀏覽器將識別域是否與其中一個 SAN 匹配，如果匹配則創建安全連接。 如果您控制多個要保護的域或所有與您的業務相關的域，則這種類型的 SSL 非常有用，因為您只有一個證書來管理和保持服務器上的更新/配置。

驗證級別

除了提供特定類型的 SSL 證書之外，各種證書頒發機構還可以提供不同的“驗證”級別來證明 SSL 的所有者就是他們所說的那個人。 各種類型的驗證以不同的方式呈現給您的瀏覽器，並為使用 SSL 的站點的訪問者提供 SSL 連接的視覺確認。 此外：證明 SSL 的請求者/所有者就是他們所說的身份的驗證程度隨著根據您的業務需求提供的各種級別而增加。 這些驗證級別的快速細分如下：

域驗證 (DV)

這是最常見和最容易通過的驗證級別。 唯一的限定條件是您證明您為其訂購 SSL 的域在您的控制之下。 這可能是響應發送到該域地址的電子郵件以修改域的 DNS 記錄，以便自動化系統可以對其進行審查。 這種驗證方法通常最多需要幾分鐘到幾個小時。 瀏覽器將在地址欄上顯示一個鎖定圖標，表示正在建立與 SSL 提供的站點的安全加密連接。

組織驗證 (OV)

這是一個更深入和詳細的驗證。 實際上已經聯繫了所有者或企業，並且必須提交證明您的企業是合法企業的文件。 如果經過審查，個人或組織的名稱將與 SSL 相關聯； 但是，瀏覽器將顯示與域驗證 SSL 相同的視覺指示器。 這通常可以在幾天內完成。

擴展驗證 (EV)

這是最複雜的驗證級別，需要一周或更長時間。 公共記錄用於證明您的企業的位置、您的企業存在/合法，並且通常需要親自/通過電話溝通以提供額外的驗證和信息。 這是一個極端的審查過程，需要大量的來回溝通並遵循嚴格的準則； 但是它會導致瀏覽器中出現綠色條形視覺指示器； 唯一提供它的 SSL，被認為是最值得信賴的 SSL。

為什麼 SSL 很重要？

本文簡要介紹了 SSL 證書為何如此重要的原因，但擴展這一點至關重要，因為企業越來越需要認真對待安全性。 客戶開始期望他們的數據受到保護，並且他們可以信任他們訪問的網站。 失去這種信任意味著失去業務和聲譽。

SSL 存在三個主要原因：隱私、身份驗證和數據完整性。 首先，隱私非常重要，因為它幫助創建的 SSL 證書和加密連接可以保護您的客戶提供給您的信息不被攔截和以“純文本”形式查看。 這可以防止您的客戶信息（例如信用卡號、用戶名或其他個人數據）被惡意攻擊者截獲。

這就引出了第二點：身份驗證。 SSL 有助於確保只有源和目標知道該數據是什麼並且可以使用它，而且還可以向源證明他們正在與他們期望與之通信的人進行通信。 SSL 證書是一種快速簡便的方法，可以證明域是合法的、企業已經過審查以及訪問者正在查看的網站是他們希望看到的網站。 網絡釣魚網站非常普遍，但由於 SSL 證書和審查過程，這種可能性極小

最後，數據完整性。 簡單來說，這意味著訪問者發送給您的信息就是您收到的信息（反之亦然）。 這與其他兩個方面一樣重要，因為我們希望確保在進行金融交易或購買請求時，該請求被正確解釋。 SSL 證書及其提供的加密/數據完整性允許企業向訪問者提供一定程度的確定性，即他們要求您或發送給您的內容就是您收到的內容。

以上所有要點對於當今互聯網上的任何實體都極為重要。 銀行、醫療、交通和購物行業依賴於保護數據通信。 PCI 或 HIPAA 等合規性和監管機構有嚴格的要求才能獲得批准，SSL 證書幾乎總是位居榜首。

什麼是好的 / 更好 / 最好的 SSL？

各種類型的 SSL 及其獲取方式之間存在一些不同的因素。 您需要注意的第一個是密鑰長度。 記住密鑰長度和你應該得到的最簡單的方法是更大（更長的密鑰）更好並且提供更強的安全性。 現在訂購具有 2048 位密鑰長度的 SSL 是一種常見的做法。 您不應再訂購具有 1024 位密鑰長度的 SSL，因為這些已被證明是無效的，並且很容易被惡意攻擊者破壞以窺探您的站點和訪問者之間的數據。

上面我談到了證書頒發機構以及並非所有瀏覽器都接受它們。 這是獲取 SSL 證書時要考慮的一個主要組成部分，因為您需要了解您的受眾以及他們可能使用晦澀的瀏覽器還是僅使用流行的變體。 瀏覽器的基礎越大，它就越挑剔，因為它需要確保它為它必須考慮的用戶提供最大的安全性。 更完善的證書頒發機構也致力於保護他們的聲譽，並希望以認真對待他們的審查過程而聞名，以便被認為是幫助那些可能在其 SSL 請求背後有惡意的個人。

最後，您需要 SSL 的目的。 今天，我們看到各大科技公司都在推動“保護網絡”並全面使用 SSL。 每個站點都應努力為訪問者提供盡可能（或實用）的最大安全性。 SSL 證書雖然對企業來說是必需的，但它甚至與博客等簡單的信息和新聞相關網站相關。 為博客使用 SSL 可以為訪問者提供安全性和確認，即他們在他們期望的博客上，而不是仿冒或網絡釣魚嘗試，甚至是試圖傳遞虛假信息的人（例如告訴人們使用的安全博客）簡單密碼）。

哪種 SSL 最適合 Web 服務器託管？

隨著我們對 SSL 證書及其使用方式的了解，我們現在可以檢查什麼最適合常見的 Web 服務器和託管行業。 雖然安全性對於任何類型的在線存在都極為重要，但我們很少看到需要進行 EV SSL 證書所需的極端審查。 醫療、金融和交通行業的訪客往往會因為這些業務經常被模仿並成為惡意攻擊的目標而保持警惕和最初謹慎。 此外，他們對法律要求遵守的安全準則有嚴格的要求。 EV SSL 非常適合他們，但不適用於在線業務的典型 Web 服務器。

組織或域驗證的 SSL 是絕大多數在線企業驗證的理想選擇，因為它們可以更快地獲取並提供相同級別的保護和可視化確認。 除非您認為 SSL 可以識別您業務的某些方面，否則具有簡單域控制驗證的 DV SSL 是最適合大多數在線人員、企業和網站的 SSL。

就獲得什麼類型的 SSL 而言，我經常建議人們為未來做好計劃。 通配符 SSL 允許您為您的域提供簡單的 SSL 保護，同時還提供擴展業務計劃範圍內的任何子域或站點需求的自由。 您可能不需要為您的子域提供 SSL 保護，但選擇總是更好。 此外：通過使用單個 SSL 證書來跟踪您不再需要擔心多個證書在不同日期到期，從而降低了操作複雜性。 單個證書簡化了跨多個 Web 服務器的複制並減輕了管理職責，最終降低了您的成本和風險。

結論

總的來說，只有您會知道您的在線網站的需求以及如何最好地滿足這些需求。 使用 SSL 證書來保護您的網站和訪問者是最簡單的方式之一，可以表明您認真對待您的在線狀態並將訪問者的安全放在首位。 考慮您的業務增長以及您看到網站的發展方向可以幫助防止您的網絡服務器出現技術問題以及您如何保護它們。