為您的 WordPress 網站選擇正確的 HTTPS 證書

已發表: 2019-09-27

在我們之前的文章 WordPress HTTPS、SSL 和 TLS——網站管理員指南中,我們解釋了 HTTPS 和所有其他技術術語是什麼,以及它是如何工作的。 在本文中,我們將討論 HTTPS 證書、為 WordPress 網站獲取證書的不同方式,以及為什麼應該或不應該為證書付費。 讓我們潛入水中。

什麼是 HTTPS 證書?

在我們討論 HTTPS 證書的方式和原因之前,我們首先需要討論什麼是證書。 證書用於:

  • 加密網絡服務器和網絡瀏覽器之間的流量,
  • 驗證您連接的網絡服務器實際上是它聲稱的身份(一種識別方式)。

HTTPS 證書(TLS 證書)包含加密證明,證明瀏覽器信任的實體可以證明該網站的身份。 該實體稱為證書頒發機構(CA)。 CA 在 HTTPS 證書方面發揮著至關重要的作用。

您可以想到一個類似於“護照辦公室”的證書頒發機構,它獨立驗證您的身份並為您提供“護照”(證書)以向他人證明您的身份。 但是,為了讓某人(網絡瀏覽器)驗證您的“護照”,他們需要信任頒發“護照”(證書)的“護照辦公室”(證書頒發機構)。 與護照類似,證書將具有內置的安全功能,使其難以欺騙

換句話說,要通過 HTTPS 為您的網站提供服務,您需要一個證書頒發機構來為您提供證明您的 WordPress 網站身份的證書(您就是您所說的那個人)。

不同類型的 HTTPS 證書

雖然可能不是很明顯,但您可以獲得 3 種不同類型的證書:

  • 域驗證 (DV)
  • 組織驗證 (OV)
  • 擴展驗證 (EV)。

DV 證書是迄今為止最常見的證書。 當您獲得 DV 證書時,您會看到您所期望的常用瀏覽器用戶界面。 請注意,這因瀏覽器而異,甚至因瀏覽器版本而異,但通常,您會看到掛鎖,有時還會看到“安全”一詞。

OV 證書比 DV 證書更難獲得,因為它們需要更多的驗證。 然而,它們很少被使用。 對最終用戶來說,它們看起來完全一樣,與 DV 證書相比並沒有提供切實的好處,而且成本更高。

這就留下了 EV 證書——擴展驗證證書應該需要一個徹底的驗證過程才能讓組織獲得一個。 它們要貴得多,並且歷來瀏覽器在其 UI 方面的處理方式略有不同。

瀏覽器 URL 欄中的 HTTPS 掛鎖

然而,在 Chrome、Firefox 和 Safari 的最新版本中,該指標已移至不那麼顯眼的部分。 這主要是因為沒有證據表明 EV 證書向最終用戶傳達了任何有意義的信任級別。 在某些情況下,電動汽車實際上可能會給最終用戶帶來更多的困惑。 如此之多,以至於互聯網上絕大多數最受歡迎的網站都從 EV 證書轉向 DV 證書。

帶有 EV 的 HTTPS 證書

您的 WordPress 網站需要什麼類型的證書?

因此,簡而言之,您需要為您的 WordPress 網站提供域驗證 (DV) 證書。 沒有真正的理由需要擴展驗證 (EV) 證書,尤其是現在瀏覽器幾乎消除了擁有證書的任何優勢(另外,它們也非常昂貴)。

獲取 HTTPS 證書

傳統上,獲取 HTTPS 證書意味著向證書頒發機構 (CA) 支付年費。 這個過程是手動的,對管理員來說非常煩人。

讓我們加密徽標

幸運的是,早在 2012 年,Mozilla 就開始研究後來被稱為Let's Encrypt 的東西。 由 Internet Security Research Group (ISRG) 運營的非營利性證書頒發機構。 它免費所有人提供 HTTPS 證書。 毫不奇怪,它在幾個月內就成為了 Internet 上最大的 CA。

Let's Encrypt 中有關 HTTPS 證書和域的統計信息

除了簡單的免費 CA 之外,Let's Encrypt 還具有革命性,因為它是第一個使用 ACME 協議的 CA。 ACME 協議允許自動更新證書。 這允許 Let's Encrypt 製作更短的生命週期(90 天)的證書,這樣更安全。 此外,借助 Certbot 等工具,系統管理員無需擔心更新證書。

Let's Encrypt HTTPS 證書限制

雖然網上有數千篇文章如何讓 Let's Encrypt 為您的 WordPress 網站工作,但重要的是要意識到在某些情況下您可能無法使用他們的證書。 如果您將 HTTPS 證書作為您的網絡託管計劃的一部分,或者您無法完全控制您的網絡服務器,則尤其如此。

在這種情況下,在花錢購買證書之前,請檢查您是否可以通過託管服務提供商的客戶支持使用 Let's Encrypt 證書。 如今,大多數 WordPress 託管服務都支持 Let's Encrypt 證書。

如果您的託管計劃無法使用 Let's Encrypt 證書,您可能需要商業 HTTPS 證書,或者您可能會使用在線 WordPress 防火牆/CDN 服務。 他們中的大多數都提供免費的 HTTPS 證書作為其服務的一部分。

在 HTTPS 上設置 WordPress

除了獲取 HTTPS 證書並在您的 Web 服務器上啟用 HTTPS 之外,您還需要確保您的 WordPress 站點也設置為 HTTPS。 雖然您可以在不使用插件的情況下做到這一點,但對於大多數 WordPress 管理員來說,使用像真正簡單 SSL 這樣的流行插件可能更容易。 使用這樣的插件,您可以確保所有鏈接都正確指向您網站的 HTTPS 版本。

還需要注意的是,搜索引擎將 HTTP 和 HTTPS 網站視為不同的網站。 因此,除非您已經這樣做了,否則您還應該將 HTTPS 站點提交到 Google Search Console。

免費的HTTPS證書真的好嗎?

許多 WordPress 網站所有者仍然對使用 Let's Encrypt 提供的免費 HTTPS 證書持懷疑態度。 有些人擔心描繪出他們不認真對待安全的形象,因此害怕失去客戶。 其他一些人認為免費的 HTTPS 證書不如付費證書。 我不怪他們——沒有好的產品/服務真的是免費的。 但是,這是另一種情況。

作為用戶,Let's Encrypt 是免費的,但它不是免費項目。 感謝 Google、Facebook、Microsoft、Cisco 等許多贊助商,他們可以免費頒發 HTTPS 證書! 因此,假設所有這些大公司都在為您的 WordPress 網站 HTTPS 證書付費。

Let's Encrypt 是一個成熟的證書頒發機構。 Let's Encrypt 的免費 TLS 證書和付費證書之間沒有什麼不同,尤其是在加密功能方面。 話雖如此,如果您能證明費用合理,那麼支付 HTTPS 證書並沒有什麼壞處。

HTTPS 是否使我的網站“安全”?

不幸的是,沒有什麼是 100% 安全的,HTTPS 當然也不例外。 HTTPS 只是您的 WordPress 網站安全計劃的一小部分。 它允許:

  • 您的用戶可以安全地連接到您的網站,而不會因窺探同一網絡而攔截他們的通信。
  • 有助於解決網站安全這一持續挑戰的一部分

然而,這不是靈丹妙藥:雖然您無疑應該實施和強制實施 HTTPS,但這並不意味著您已經完成了對 WordPress 網站的保護。

我還能做些什麼來確保我的 WordPress 網站安全?

您可以做很多事情來提高 WordPress 網站的安全性。 我們建議您從以下內容開始:

  • 使用 WordPress 防火牆,
  • 執行強大的 WordPress 密碼策略,
  • 安裝文件完整性監控插件,
  • 記錄 WordPress 上發生的所有更改,
  • 使 WordPress 核心、您使用的所有插件、主題和軟件保持最新。