如果您是网站所有者,您可以想知道如何使您的网站尽可能安全。保护您的网站并将其转换为 HTTPS 应该是当务之急。您可能听说过两个对您的目标至关重要的术语:TLS 和 SSL。他们的意思是什么?这个比那个好吗?您应该使用哪个来拥有最安全的网站?
让我们分析协议之间的差异和相似之处,并检查您应该如何保护您的网站。
什么是 SSL 和 TLS?
安全套接字层 (SSL) 和传输层安全性 (TLS) 都是有助于保护数据并使您的网站对最终用户而言更安全的安全协议。这两种协议都会导致站点和用户设备之间的端到端加密。这与用户和搜索引擎建立了信任。无论您使用 TLS 还是 SSL 来保护您的网站,您都是在保护您自己的数据和(可能更重要的)您的用户数据免受潜在的黑客攻击或恶意活动。
网站所有者获取 TLS 和 SSL 证书以将其网站从 HTTP(超文本传输协议)转换为 HTTPS(安全超文本传输协议)。当网站是安全的时,它会在用户的浏览器地址栏中显示一个安全锁图标。拥有网站的安全证书会告诉浏览器用户可以安全访问,从而让用户确信他们的信息是安全的。
每个网站都需要 TLS 或 SSL 证书。它有助于搜索排名以及防止黑客和其他妥协情况。但如果您使用网站处理支付信息或存储敏感记录,这一点尤为重要。这只是您完整、锁定站点安全的拼图的一部分,但它是关键的一部分。
TLS 和 SSL 有什么区别?
因此,TLS 和 SSL 提供相同的东西:为您的网站加密安全。在提到证书时,您可能会听到这些术语可以互换使用。尽管从技术上讲,TLS 和 SSL 并不相同。两种协议都使用称为握手的过程来启动加密连接。基本上两台机器要求看对方的ID,结账的时候就可以做生意了。
技术相似性到此为止。每个加密协议以不同的方式运行以实现相同的最终结果。
简而言之,TLS 1.3 与 SSL(和旧的 TLS 标准)作为当前标准包括减少延迟以促进更快的加载时间,这对于当今的每个站点来说都是必不可少的是的,删除遗留代码膨胀以减少有人可以用来攻击您网站的矢量数量,并在点之间使用一次握手而不是多次握手,这再次减少了有人可能危及您安全的矢量。
SSL 于 1995 年首次发布,是 TLS 的前身。此后发现 SSL 的所有三个迭代都没有安全漏洞。事实上,第一个版本从未公开发布。后来,互联网工程任务组 (IETF) 弃用了所有版本的 SSL。
即便如此,SSL一词仍被广泛用于描述网站用户需要获取的安全证书。但在大多数情况下,在幕后执行的实际协议是 TLS。今天,TLS 的 1.2 版和 1.3 版是唯一没有被 IETF 或主要浏览器弃用的协议版本(TLS 与 SSL)。如果您想详细了解 TLS 1.3 的技术复杂性及其工作原理,Cloudflare 有一篇很好的文章阐明了该规范。
您的网站应该使用 TLS 还是 SSL?
多年来,SSL 几乎完全被 TLS 取代。虽然您仍然会看到比 TLS 证书更频繁地提到“SSL 证书”,但使用的底层协议很可能是 TLS。不管它叫什么。
您的网站应该使用 TLS,因为它现在是 IETF 批准的网站安全标准协议。您的 Web 主机可能会通过托管提供 SSL 证书(或者您可能会在其他地方自己获得),并且它可能仍在该 TLS 协议上运行,无论它是否称为 SSL。如果顶级 WordPress 安全性是您的目标,那么您需要确保此处涵盖了您的基础。
由于各种安全问题,您网站的服务器端已禁用所需的 SSL 和旧版本的 TLS。如果您不习惯自己在服务器上工作,您可能需要请您的虚拟主机或开发人员帮助您。毕竟,这就是您为他们付出的代价!确保已弃用的 SSL 和 TLS 版本可防止启用旧协议,从而进一步保护您的网站免受安全威胁和入侵。
两个怎么样?
由于相似性、历史和有些复杂的命名约定,您可能想知道网站所有者是否需要 SSL 和 TLS 证书来正确保护他们的网站。不!今天,SSL 和 TLS 证书做同样的事情。证书本身并不能为您的网站提供安全保障。相反,它只是启用幕后的 TLS 协议来完成它的工作。这进一步解释了为什么命名约定令人困惑——使事情与人们习惯听到的更加一致。
如何在您的 WordPress 网站上使用 TLS 和 SSL
在您的 WordPress 网站上使用 TLS 和 SSL 相当简单。首先,您需要获得一个证书(正如我们提到的,通常称为 SSL 证书)。提供付费和免费选项。这意味着您可以以最适合您的预算和您运行的网站类型的方式获得证书。您的行业可能需要比免费证书提供的更严格的安全和控制级别。如果是这种情况,您可能需要寻找付费的 SSL 证书。
有几种不同的方法可以为您的 WordPress 站点获取 SSL 证书。所有这一切都很容易。
- 从 Zero SSL 或免费使用 SSL 等网站获取免费的 SSL 证书(这些需要每 90 天手动更新一次,并且缺乏深入的客户服务支持)。
- 从提供 SSL 证书的公司(如 VenueGround、Flywheel 和 Compressible)购买网络托管作为托管包的一部分。
- 使用内容交付网络,如 Cloudflare。
- 使用 Really Simple SSL 等 WordPress 插件来实施您的 SSL 证书。
获得证书后,您需要确保所有链接都重定向到 HTTPS 站点而不是 HTTP。如果您不这样做,Google 可能会因为您的网站不安全而对您进行处罚。这可确保当用户尝试访问您的网站时您不会被标记。您可以使用 WP Force SSL 和 HTTPS Redirect 等 WordPress 插件来执行此操作。或者,您可以向您的网络托管服务商或开发人员寻求帮助,以正确配置您的服务器以重定向到 HTTPS。一些 301 重定向插件和 SEO 插件也在其设置中直接提供此功能。
结论
当您发现对 TLS 与 SSL 的引用并且其中一个不同时,它们既是对的也是错的。技术规格不同,但这些天名称可以互换。本质上,它们指的是提供相同最终结果的标准。 TLS 协议已经取代了 SSL,因为它更快、更安全。但是,在涉及安全证书时,TLS 和 SSL 这两个名称仍然可以互换使用。
请记住,使用 TLS 的 WordPress 安全性相对简单,并且与名称和 相去甚远。
现在您知道要使用哪种协议,是时候保护您的站点了。祝你好运!
MicroOne / shutterstock.com 文章特色图片
来源
