SSL 证书已成为任何网站的基本安全要素。 只有电子商务商店和金融机构使用它们的时代已经一去不复返了。 如今,所有网站都需要数字证书,但并非所有网站所有者都知道如何正确配置 SSL 以获得最佳安全性和搜索引擎优化效果。
本文将介绍 SSL 证书的最佳实践,从选择合适的提供商到安装和优化。 由于要涵盖如此多的重要方面,我们将力求简洁而详细。 对于大多数网站来说,做好基础工作就足够了。 复杂的系统可能需要进一步定制优化。
七大 SSL 最佳实践
正确的 SSL 证书管理可确保数据加密完美无瑕,网站访问不中断。 它可以保护用户的敏感信息不被窃取,并提高网站作为可靠可信平台的声誉。 以下是 SSL/TLS 最佳实践:
1.选择可信的证书颁发机构 (CA)
任何人都可以签发 SSL 证书,但只有少数人可以签署 99% 的浏览器都信任的数字证书。 欢迎来到证书颁发机构的世界,它是网络安全行业中最受监管的实体之一。 值得信赖的 CA 符合一系列严格的要求,并接受定期审计。 由于所有网络浏览器都预装了所有主要证书颁发机构的公开密钥,因此很容易识别可靠的 CA 和假冒的 CA。
Sectigo,GeoTrust,Thawte,RapidSSL 和DigiCert 是最受欢迎的 SSL 提供商,在数据加密方面拥有多年经验。 所有这些 CA 都提供更广泛的 SSL 产品,包括扩展验证、通配符和多域证书。 他们在全球拥有数百万客户,技术专长堪称一流。
2.生成 CSR 代码和私人密钥
选择 SSL 品牌和产品后,下一步就是生成必须的证书签名请求和私钥。 CSR 包含有关您的网站和公司的数据,证书颁发机构将使用它来创建与您的私钥匹配的公钥。
生成 CSR 代码的最佳方法是在您打算安装证书的服务器上生成。 我们已经编写了 80 多份指南,介绍如何在各种平台上生成 CSR 代码。 或者,您也可以使用我们的CSR 生成器工具自动创建 CSR 和私钥。
备份私钥并妥善保管很有必要。 如果在服务器上生成 CSR,私钥就会留在服务器上。 但是,如果通过其他程序创建 CSR,则必须手动将私钥导入系统。 确保在安全可靠的电脑上生成。
以下是处理私钥时需要考虑的几个重要方面:
- 私钥的最佳大小为 2048 位 RSA 或 256 位 ECDSA。 较低的值更容易破解,而较大的密钥则不能很好地扩展,速度也较慢。 对于大多数网站来说,2048 位 RSA 密钥是默认选择。
- 切勿让 CA 或第三方实体为您生成私钥。
- 如果您认为您的私人密钥已损坏,请尽快重新颁发证书
3.导入并配置服务器上的 SSL 文件
安装 SSL 证书的最佳时间是在开发阶段。 至少在网站上线前一周进行。 这样,您就有足够的时间来解决任何潜在的错误和问题。
CA 批准你的证书申请后,会将安装文件以 ZIP 压缩包的形式发送给你。 在设备上下载文件夹并解压缩其中的内容。 通常的安装包会包含服务器和中间证书。 确保服务器支持SSL 证书格式和文件扩展名。 有时,你可能需要将 SSL 文件转换成另一种格式。
按照服务器的要求上传证书文件。 请密切关注您的中间证书,因为它能为浏览器提供完整的信任链,并确保您的网站在旧版本浏览器上的安全。 如果没有中间证书,浏览器会向访问者发出安全警告。
配置证书时需要考虑的其他关键点:
- 使用最新的 SSL/TLS 协议。 TLS 1.2 是目前网络上使用的标准版本。 流行浏览器的最新版本也支持全新的 TLS 1.3。 除 TLS 1.2 或 TLS 1.3 之外的任何其他版本都已过时、废弃或成为历史。
- 使用安全的 AEAD密码套件,至少提供 128 位加密、强身份验证和密钥交换。 避免使用 ADH(匿名 Diffie-Hellman)套件,因为它们不提供身份验证功能;避免使用 NULL 密码套件,因为它们不提供加密功能。
- 启用 “前向保密 “功能,确保私钥泄露不会危及之前的密钥会话。
- 使用 TLS 会话恢复功能,让服务器跟踪最近的 SSL/TLS 会话并重复使用,从而优化性能。
4.优化新的 HTTPS 网站
安装 SSL 证书是一项半途而废的工作。 要完成 HTTPS 过渡,还需要调整网站。 恼人的SSL 连接错误的罪魁祸首之一是混合内容。 安装完 SSL 后,应立即解决这个问题。 使用该工具扫描网站上的非安全 HTTP 内容,并将所有不安全的图像、文件和脚本移至 HTTPS。 此外,请查看我们的HTTPS 迁移指南。
如果您的网站使用 cookie,也要确保它们的安全。 不要让你的 cookies 缺乏安全保障,因为它们可能成为网络攻击者窃取敏感数据的完美漏洞。
最后,在网站上使用插件、Google Analytics 或 Javascript 代码等第三方应用程序时一定要小心。 虽然它们中的大多数并不构成安全风险,但它们的流行是一把双刃剑,也是黑客探索的一大目标。 避免使用免费的网站主题、过时的插件和任何看起来可疑的应用程序。
5.测试 SSL 证书是否存在潜在错误和漏洞
安装 SSL 证书并优化网站后,就可以运行诊断扫描,测试网站是否存在任何潜在的SSL 相关错误和漏洞。 我们为读者准备了一份包含即时报告和修复功能的高端 SSL 工具列表。
6.关注最新 SSL 行业新闻和网络安全威胁
当 SSL 证书在后台默默工作时,你应该关注 SSL 行业的最新趋势和发展,以免错过重大事件。 新的、复杂的网络威胁可能会突然出现,你可不想成为最后一个知道这些威胁的人。
7.按时更新 SSL 证书
SSL 证书的有效期只有一年。 如果您不在到期日前更新,浏览器就会向访问者发出安全警告,阻止您的内容。 不更新 SSL 证书是一件大事,因为网站会受到网络威胁和潜在的中间人攻击。 为避免这一问题,应至少提前一周更新 SSL 证书。 这样,您就有足够的时间获取和配置新证书。
结论
只要在安装、优化和更新过程中执行 SSL 证书最佳实践,SSL 证书就能在整个生命周期内完美地在后台运行。 一个失误就可能导致潜在的安全漏洞和网站中断。 这就是为什么必须遵守 SSL 证书管理准则的原因。
