取得 SSL 安全憑證教學,替網站/部落格強化安全性與排名

自從去年中,全球最大搜尋引擎 Google 宣告要將網站安全性也列入網站排名的演算法參數後,許多網站與部落客1們紛紛替自己網站申請一組 SSL 安全通訊加密憑證(這是 Google 直接了當點出的重點之一)。SSL 是安全通訊協定(Secure Sockets Layer)的簡稱,用途是讓使用者在網站上的輸入、輸入訊息都得以進行 128 或 256 位元的密碼加密,保護數據隱私安全。

在實際享受 SSL 所能帶來的好處前,你必須先擁有一個 SSL 安全憑證。取得 SSL 憑證的方式有三種來源,包括:

  1. 自己簽發給自己的 SSL 憑證(SSL Self-Signed Certificate),只適合在開發初期做內部測試使用;
  2. 在 StarSSL 之類的簽發組織取得免費憑證,設定過程稍微麻煩,適合可隨時變更憑證,用方便性與時間換取金錢的小型網站、部落格使用;
  3. 花一點小錢購買專用 SSL 安全憑證,適合有心經營網站、部落格的站長使用;另外,如果你打算經營電商平台,選擇昂貴點的 SSL 安全憑證還能替你帶來穩定性、信賴感等優點,讓使用者在網站上獲得更佳操作體驗。

SSL 安全憑證的取得,目前主流 SSL 簽證商雖然有「Comodo」、「RapidSSL」、「GeoTrust」、「Symantec」、「thawte」等公司,但實際上維德建議是直接在網站域名供應商(例如:NameCheap選購適合自家網站規模的安全憑證2

一方面靠著集中管理,可以讓網域輕鬆綁定 SSL 憑證,另一方面如果出現問題,至少可以統一在域名商處詢問網路端的相關問題。

在 NameCheap 購買 SSL 安全憑證

在「NameCheap」挑選時,我們可以從「Comodo」、「RapidSSL」、「GeoTrust」、「Symantec」、「thawte」這幾家公司中找到適合自己的產品,這比起直接到 SSL 憑證供應商挑選 SSL 來得更方便,也更便宜一些。

[pullquote-right]註:微軟(Microsoft)和 Google 已經有錢到自己核發安全憑證給自己。[/pullquote-right]

Namecheap 合作的這五家安全憑證商中,就屬 Comodo 的 PositiveSSL 憑證最便宜,每一年的單價可以壓到新台幣 300 元以下(正常價格為 9 美金,使用折扣碼可以便宜到 1.99 美金3)。GeoTrust 稍微貴一點,是許多網路專業領域的首選,例如 NameCheap 自家就使用 GeoTrust 核發的安全憑證(已更換為Symantec)。

至於大家熟悉的 Symantec(賽門鐵克),他們在併購 Virgin 之後一躍成為全球最頂尖 SSL 供應商,但是他們非常貴!非常貴!是 GeoTrust 五到十倍的價格起跳。例如蘋果電腦(Apple Inc.)就是採用他們家的 SSL 安全憑證,而國內電商平台目前也只看到「Yahoo 購物」採用 Symantec 等級的 SSL 安全憑證。

請參考下圖一,在進入「NameCheap」挑選 SSL 憑證時,會出現三大類型可以選擇,分別是「Single」、「WildCard」和「Multiple Domains」,從字面意義可以看出來是針對不同「規模」網站提供不同類型的憑證。一般來說,如果你手上的網站低於三個,而且不是電商或商務網站,維德覺得分別替每一個網站購買單站憑證(Single Domain)就夠了。

NameCheap-Which-SSL-certificate-is-right-for-me

圖一,挑選 SSL 安全憑證類型。

Comodo 三種 SSL 安全憑證的選擇

如果你跟維德一樣打算挑選便宜好用的下手,Comodo 已經足夠現代大多數電腦、移動裝置使用。而在單域名憑證中,又可概分成「Positive SSL」、「Essential SSL」以及「Instant SSL」三大憑證屬於(便宜)低階產品(如果是商務網站就向上挑選 EV 等級,可以擁有自己的綠色標籤)。

Instant SSL 適合公司與組織使用,需要提交商業證明後進行人工驗證。至於 Essential SSL 比起 Positive SSL 雖然貴了三倍,但在加密效果上是一樣的,除非你非常想要 EssentialSSL 會在網址列出現的 Comodo 認證標章,否則選擇便宜的 Positive SSL 就相當好用。

在挑完想要的 SSL 並且付款後,系統會接著進入認證安全憑證的操作頁面。

請參考下圖二,首先要輸入「CSR Code」,指的是憑證簽名要求(Certificate Signing Request, CSR)。我們可以在「Enter CSR」欄位中輸入伺服器提供的 CSR 碼。每一家伺服器託管業者或是自架站所選用的控制台(CP, Control Panel)都能產生 CSR 碼4。請向你的託管業者洽詢,或由自己管理的控制台核發。

在輸入 CSR 碼後,接著挑選「Server Type」選項中的伺服器類別(如 Apache)就可以進行下一步驟。

Namecheap-Activate-PositiveSSL-Certificate-CSR

圖二,要求證書簽名。

在輸入 CSR Code 後,接著就必須驗證域名所有權與 CSR 碼的內容是否正確。

驗證的方法有三種(如下圖三),分別是「電子郵件驗證」、「網頁驗證」以及「DNS-based 紀錄驗證」。只要挑自己比較方便的驗證方式進行選擇即可(最快的應該是電子郵件驗證)。

Namecheap-Activate-PositiveSSL-Certificate-Validation

圖三,域名所有權驗證。

在完成上面四步驟後,接著就是等待 Namecheap 查驗資料是否正確。官方說法雖然說是十幾分鐘就能完成驗證,但我發現在假日時會比較慢(很慢!),所以請盡量在平日晚上提出申請或變更(誒)。

接著讓我們多看一下圖四,在買完 SSL 安全通訊憑證後,會以產品的形式出現在 NameCheap 後台管理介面的「產品列表(Product List)」中,這時候還是獨立存在,沒有綁定任何域名。

接著請點擊產品後方的「Activate」按鈕,就可以啟動前面提到的驗證步驟。而等到 SSL 綁定域名後,就會從產品列表中移轉到「域名列表(Domain List)」中,依附在我們的網域名稱底下。

NameCheap-SSL-Certificate-Manage-Product-List

圖四,Namecheap 產品管理介面。

最後,當 NameCheap 完成域名驗證後,會寄送一封電子郵件到我們信箱中,同時挾帶一個以域名為名稱的壓縮檔案。該壓縮檔案內含兩個檔案,分別是「DOMAIN_NAME.crt」以及「DOMAIN_NAME.ca-bundle」。在以文字編輯器開啟該二檔案後,裡面存放的就是我們要用來填入伺服器「SSL Certificate」以及「SSL Certificate Authority / Intermediate」中的密鑰。不過要特別注意的是,每一家伺服器託管商或自架控制後台(CP,例如 Vesta)都有不同的位置用來存放密鑰,請參考各託管商或CP的操作說明。

  •  
  •  
  •  
  •  
  •  
  •  

1 個回應

說些什麼吧

您也許也會喜歡…