WooCommerce 的 SSL 證書簡介

已發表: 2015-12-24

開設在線商店的一部分過程是尋找一種方法來確保您的購物者的體驗。 當然,您希望您的潛在客戶感到安全,並且知道他們的數據不會落入壞人之手。

如果您是電子商務新手,您可能聽說過一些關於 SSL 證書或 HTTPS 作為此安全過程的一部分的討論。 你可能完全被它弄糊塗了。 放鬆——這很正常,我們可以提供幫助。

SSL聽起來像是一個複雜的話題,但是一旦您了解了前提以及您的商店可能需要它的原因,您就不必花時間擔心了。 事實上,對於大多數店主來說,您可以在短短幾分鐘內獲得將 SSL 添加到您的商店的證書。

讓我們回顧一下 SSL 是什麼,為什麼需要它,以及如何為您的商店獲取證書。 在這篇文章的最後,你的困惑應該消失了,你應該更加準備好開始在線銷售。

SSL證書解釋

要了解 SSL 證書是什麼以及您可能需要它的原因,讓我們首先快速了解一下它背後的技術。

SSL 快速課程

SSL 代表“安全套接字層”,但有時也稱為“傳輸層安全性”(或 TLS)。 SSL 就其本身而言,它是一種用於保護和保護網絡上目的地之間的交易(儘管不一定是金融交易)的協議

SSL 依靠加密使這些交易保密。 傳輸的每條消息都必須在成功之前通過內部檢查以確保該加密的完整性。 如果檢查失敗(由於數據損壞,或任何意外更改或捕獲數據的嘗試),則不會公開加密數據。

當我們每天瀏覽 Facebook、YouTube 和在線商店等常見網站時,我們都會使用 SSL。 所使用的加密可防止那些具有惡意意圖的人攔截與您的搜索查詢一樣無辜的交易……或與您的信用卡信息一樣危險的交易。

SSL 如何應用於網站證書

當網站想要保護其交易時,它將獲得該域的 SSL 證書。 SSL 證書將上述加密應用於所有網站活動,包括頁面和表單提交、財務交易等。 這可以防止數據盜竊或其他此類攻擊。

SSL 證書還包含重要的安全信息,包括:

  • 公司名
  • 公司所在地
  • 證書適用的時間長度
  • 頒發證書的機構的詳細信息

這允許不確定網站真實性或可信度的個人單擊瀏覽器中的綠色“鎖定”圖標以查看更多信息。 如果他們仍然感到不安全,他們可以退出該站點。

查看 SSL 證書時可以看到的信息類型示例——在本例中是 Google 的 Webmaster Central 博客。
查看 SSL 證書時可以看到的信息類型示例——在本例中是 Google 的 Webmaster Central 博客。

如何知道網站是否使用 SSL/TLS

有兩種快速方法可以判斷任何給定網站是否具有 SSL 證書。 尋找:

  • 地址欄中的綠色“鎖定”圖標,以及
  • 以 https 而不是 http 開頭的 URL

根據站點使用 SSL 的方式,這可能並不適用於每個頁面 - 正如您將在下面了解的那樣。

SSL 的使用方式正在發生怎樣的變化

很長一段時間以來,互聯網標準是 SSL 證書只推薦用於傳輸或接收敏感信息(如財務數據)的域或網站的特定頁面。 但是,該建議正在慢慢改變。

2014 年 8 月,谷歌宣布將網站安全作為其搜索引擎結果的“輕量級排名信號” 。 這意味著假設所有其他因素都相同,使用 SSL/TLS 保護的網站比不安全的網站更有可能獲得更高的查詢排名。

來自公告:

[W] 我們一直在運行測試,考慮網站是否在我們的搜索排名算法中使用安全、加密的連接作為信號。 我們已經看到了積極的結果,因此我們開始使用 HTTPS 作為排名信號。 目前,它只是一個非常輕量級的信號 [...],而我們讓網站管理員有時間切換到 HTTPS。 但隨著時間的推移,我們可能會決定加強它,因為我們希望鼓勵所有網站所有者從 HTTP 切換到 HTTPS,以確保每個人的安全。

在過去的一年裡,這一變化的潛在影響已經導致許多網站所有者——不僅僅是商店所有者——使用完整的 SSL 證書來加密他們的網站,將他們的 URL 更改為“https”而不是“http”。

但是,這並不要求任何人使用 SSL 保護他們的整個站點。 如果他們選擇,網站和商店所有者仍然可以將所有敏感頁面放在子域中,並單獨為該域購買證書,其餘頁面不加密。

如何知道您的在線商店是否需要 SSL

閱讀所有這些,您可能會確信您需要 SSL 證書。 畢竟,安全對您來說很重要,對吧?

但是,如果您不捕獲或存儲任何敏感數據,您可能實際上不需要證書。 這聽起來可能很奇怪,所以讓我們深入研究一下。

導致店主無需 SSL 的最常見情況是使用異地支付處理器,例如 PayPal。 這是因為PayPal負責捕獲和存儲您客戶的所有敏感支付信息,因此它永遠不會存儲在您的數據庫中。

異地支付處理器有自己的安全標準、證書和安全地將數據從您的商店傳遞到您的商店的方法。 因此,您不一定需要 SSL,因為他們會涵蓋它。

如果您不存儲任何敏感的付款信息,則可能不需要 SSL。
如果您不存儲任何敏感的付款信息,則可能不需要 SSL。

另一種情況是,如果您不允許客戶創建涉及任何類型密碼的帳戶或登錄名。 即使您使用第三方的完全異地支付網關,您可能仍然有客戶在您那裡創建帳戶以保存他們的送貨地址和賬單地址

雖然是不那麼敏感的信息,但許多客戶傾向於為每個帳戶使用相同的密碼。 因此,一些逆向工程可能會導致黑客獲得訪問權限,例如,購物者的電子郵件賬戶、銀行賬戶……你可以說是。 這意味著除非您的商店禁用帳戶創建,否則您將需要 SSL 來保護這些密碼和登錄名

回顧一下,可以消除 SSL 作為要求的兩個因素是:

  • 使用完全異地支付網關,以及
  • 客戶絕對不允許使用帳戶或密碼功能

如果您沒有這兩個因素,則需要為您的商店提供證書。 即使你這樣做了,你仍然應該考慮它,因為 HTTPS 有可能在未來對排名和客戶安心變得更加重要。

需要 SSL? 如何獲得證書(兩種方式)

直到最近,使用 SSL 保護您的商店的標準方法是向第三方支付證書費用。 然而,正如 WordCamp US 的 The State of the Word 中所提到的,現在還有另一種選擇。

這裡有兩種方法可以保護您的商店並讓您的客戶滿意。

支付證書

SSL 證書可以從各種各樣的第三方購買。 許多域名經銷商將它們提供給他們的客戶(有時甚至與您的域名捆綁在一起),也有一些獨立公司只銷售 SSL 證書。

您最好的選擇可能是從您購買(或計劃購買)商店域名的公司開始,以確定他們是否提供證書或任何類型的捆綁包。 如果沒有,一個簡單的搜索應該會出現多個可靠的選項。

在您購買之前,請花幾分鐘仔細考慮您需要的證書類型。 基本 SSL 證書僅涵蓋一個域 - 例如。 example.com 或 subdomain.example.com。 但您也可以購買多域證書或“通配符”證書以覆蓋多個子域(example1.domain.com、example2.domain.com…)。

付費證書的價格通常在單域每年 30 美元到 50 美元之間,多域或通配符選項每年最高 300 美元。

Let's Encrypt 的免費證書

互聯網安全研究小組 (ISRG) 目前有一個名為 Let's Encrypt 的公開測試版程序。 Let's Encrypt 允許任何人免費使用 SSL/TLS 保護他們的網站 -有效地為網站和商店所有者提供免費的永久 SSL 證書

問題:Let's Encrypt 並不像與域名註冊商合作購買和安裝證書那麼簡單。 它也仍處於測試階段,因此可能存在錯誤。 但是,它仍然是完全免費的,並且是開源的。

Let's Encrypt 的圖表顯示了他們的證書是如何工作的。
Let's Encrypt 的圖表顯示了他們的證書是如何工作的。

如果您有興趣走這條路,我們建議您將 Let's Encrypt 文檔發送給您的開發人員,他們可以確定您的服務器所需的插件和客戶端,並為您處理證書安裝過程。

沒有證書的後果

您可能想知道“如果我忽略所有這些並且沒有獲得 SSL 證書會發生什麼?”

說實話,什麼都可能發生。 但也可能產生可怕的後果,包括:

  • 購物者對您失去信任,因為您的商店似乎不安全
  • 討厭的人“欺騙”你的商店,因為沒有辦法證明你是你商品的真正所有者或製造商
  • 黑客使用逆向工程劫持客戶的電子郵件、社交媒體或其他在線帳戶,其中包含從您的商店獲取的信息
  • 竊取存儲在您服務器上的敏感個人或財務數據
  • 由上述任何事件引起的公眾和潛在的財務反彈

如您所見,與其冒險,不如簡單地為 SSL 證書付費並高枕無憂。 即使有潛在客戶糾纏你關於丟失的鎖圖標 - 並且可能因為它丟失而沒有購買而退出 - 值得每年 30 美元左右,你不覺得嗎?

SSL 不一定是一件複雜的事情

我們希望對電子商務 SSL 證書的介紹能夠幫助您更好地理解為什麼您可能(或可能不需要)為自己的在線商店需要證書。

運氣好的話,SSL 和存儲安全性現在看起來應該更容易掌握。 但是,如果您還有任何疑問,我們將非常樂意在下面的評論中為您解答! 問吧,我們隨時為您提供幫助。