谷歌宣布

谷歌宣布

我正在使用 Apache 构建一个简单的博客网站,并按照 HowTo 在我的服务器上启用 SSL/TLS:http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html

  • 就此网站而言,最佳做法是获取 CA 信任的证书吗?

  • 在服务器上启用 SSL/TLS 并使用自签名证书的操作是否会提高安全级别,而不是仅使用 HTTP 或使用没有 CA 的 SSL/TLS,这没有意义吗?

任何反馈都将受到欢迎,以获得更多理解。

答案1

是的,使用合适的 CA 签名证书是最佳做法。自签名证书应仅用于非常有限的环境,例如用于开发目的。

幸运的是,你可以使用https://letsencrypt.org/,它是免费的,使用简单,自从它出现以来,就不再有不加密或仅使用自签名证书的借口。

一些解释:签名证书具有双重目的 - 除了加密之外,它们还旨在表明服务是合法的,并且运行该服务的实体控制着域(在更高的验证级别,它还包括验证证书所有者的身份,例如,CA 验证了证书确实是代表现有公司 Example Inc. 创建的)。

没有受信任 CA 签名的证书将导致(所有?)浏览器直接拒绝连接并发出严厉警告。强迫用户为您的网站创建例外被认为是不好的做法,因为大多数用户应该只知道,如果他们看到这种警告,他们应该不是继续,因为有些事情非常错误——他们不应该被训练去忽视这一点。

答案2

必须使用受信任的 CA SSL 证书而不是自签名证书来加密您的博客。

SSL 为您的博客提供数据完整性、真实性和安全性,并有助于保护网站免受中间人和窃听攻击,因此黑客无法修改内容。CA 签名证书提供行业标准的 2048 位加密密钥长度,并验证您对域的控制以证明网站的可信度。

谷歌宣布

出于这些原因,过去几个月我们一直在进行测试,考虑网站是否使用安全加密连接作为我们搜索排名算法的信号。我们看到了积极的结果,因此我们开始使用 HTTPS 作为排名信号。目前,它只是一个非常轻量的信号——影响不到 1% 的全球查询,并且比高质量内容等其他信号的重要性要低——同时我们给网站管理员时间切换到 HTTPS。但随着时间的推移,我们可能会决定加强它,因为我们希望鼓励所有网站所有者从 HTTP 切换到 HTTPS,以确保每个人在网络上的安全。

来源:https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html

自签名与 CA 签名的 SSL 证书

就安全性而言,这两种证书都为您的网站提供相同的保护和加密,您共享的信息在互联网上将是安全的。这两种证书之间的区别在于客户的信任。

CA 是在为您的网站颁发数字证书之前验证网站和/或企业所有权的实体。这意味着身份验证过程由第三方处理,并且 CA 单一证书可被所有浏览器识别并发现安全标志 - 绿色挂锁和 HTTPS://,因此,您的网络用户可以轻松注意到该网站是安全可靠的。

自签名证书是自行生成的,缺少验证过程,这意味着网站诚实度存在很大问题。浏览器不支持自签名证书,并会显示警告消息来处理您的网页。

了解更多有关自签名证书的风险:https://www.ssl2buy.com/wiki/self-signed-certificate-vs-trusted-ca-signed-certificate/

答案3

从安全角度来看,这两种证书都是为了安全而创建的,并提供 HTTPS 连接。主要区别在于“信任”。来自受信任 CA 的证书意味着您的网站是安全的,因为它是由受信任的来源认证的。像 Comodo 这样的 CA 会在颁发证书之前验证域所有权和业务详细信息。

自签名证书可供 Web 开发人员在安全网站上工作时使用;他们可以使用自签名 SSL 安全证书测试网站。自签名证书就像一份自我验证文件或驾驶执照,不能用于任何法律程序或验证。对于任何法律工作,您都需要由法律机构验证的证书。

因此,来自受信任 CA 的 SSL 证书将是理想的解决方案,因为 HTTPS 现在是 Google 排名因素以及网络安全。对于博客,您可以采用许多 CA 以低成本提供的域验证 SSL。

相关内容