WooCommerce 的 SSL 证书简介

已发表: 2015-12-24

开设在线商店的一部分过程是寻找一种方法来确保您的购物者的体验。 当然,您希望您的潜在客户感到安全,并且知道他们的数据不会落入坏人之手。

如果您是电子商务新手,您可能听说过一些关于 SSL 证书或 HTTPS 作为此安全过程的一部分的讨论。 你可能完全被它弄糊涂了。 放松——这很正常,我们可以提供帮助。

SSL听起来像是一个复杂的话题,但是一旦您了解了前提以及您的商店可能需要它的原因,您就不必花时间担心了。 事实上,对于大多数店主来说,您可以在短短几分钟内获得将 SSL 添加到您的商店的证书。

让我们回顾一下 SSL 是什么,为什么需要它,以及如何为您的商店获取证书。 在这篇文章的最后,你的困惑应该消失了,你应该更加准备好开始在线销售。

SSL证书解释

要了解 SSL 证书是什么以及您可能需要它的原因,让我们首先快速了解一下它背后的技术。

SSL 快速课程

SSL 代表“安全套接字层”,但有时也称为“传输层安全性”(或 TLS)。 SSL 就其本身而言,它是一种用于保护和保护网络上目的地之间的交易(尽管不一定是金融交易)的协议

SSL 依靠加密使这些交易保密。 传输的每条消息都必须在成功之前通过内部检查以确保该加密的完整性。 如果检查失败(由于数据损坏,或任何意外更改或捕获数据的尝试),则不会公开加密数据。

当我们每天浏览 Facebook、YouTube 和在线商店等常见网站时,我们都会使用 SSL。 所使用的加密可防止那些具有恶意意图的人拦截与您的搜索查询一样无辜的交易……或与您的信用卡信息一样危险的交易。

SSL 如何应用于网站证书

当网站想要保护其交易时,它将获得该域的 SSL 证书。 SSL 证书将上述加密应用于所有网站活动,包括页面和表单提交、财务交易等。 这可以防止数据盗窃或其他此类攻击。

SSL 证书还包含重要的安全信息,包括:

  • 公司名
  • 公司所在地
  • 证书适用的时间长度
  • 颁发证书的机构的详细信息

这允许不确定网站真实性或可信度的个人单击浏览器中的绿色“锁定”图标以查看更多信息。 如果他们仍然感到不安全,他们可以退出该站点。

查看 SSL 证书时可以看到的信息类型示例——在本例中是 Google 的 Webmaster Central 博客。
查看 SSL 证书时可以看到的信息类型示例——在本例中是 Google 的 Webmaster Central 博客。

如何知道网站是否使用 SSL/TLS

有两种快速方法可以判断任何给定网站是否具有 SSL 证书。 寻找:

  • 地址栏中的绿色“锁定”图标,以及
  • 以 https 而不是 http 开头的 URL

根据站点使用 SSL 的方式,这可能并不适用于每个页面 - 正如您将在下面了解的那样。

SSL 的使用方式正在发生怎样的变化

很长一段时间以来,互联网标准是 SSL 证书只推荐用于传输或接收敏感信息(如财务数据)的域或网站的特定页面。 但是,该建议正在慢慢改变。

2014 年 8 月,谷歌宣布将网站安全作为其搜索引擎结果的“轻量级排名信号” 。 这意味着假设所有其他因素都相同,使用 SSL/TLS 保护的网站比不安全的网站更有可能获得更高的查询排名。

来自公告:

[W] 我们一直在运行测试,考虑网站是否在我们的搜索排名算法中使用安全、加密的连接作为信号。 我们已经看到了积极的结果,因此我们开始使用 HTTPS 作为排名信号。 目前,它只是一个非常轻量级的信号 [...],而我们让网站管理员有时间切换到 HTTPS。 但随着时间的推移,我们可能会决定加强它,因为我们希望鼓励所有网站所有者从 HTTP 切换到 HTTPS,以确保每个人的安全。

在过去的一年里,这一变化的潜在影响已经导致许多网站所有者——不仅仅是商店所有者——使用完整的 SSL 证书加密他们的网站,将他们的 URL 更改为“https”而不是“http”。

但是,这并不要求任何人使用 SSL 保护他们的整个站点。 如果他们选择,网站和商店所有者仍然可以将所有敏感页面放在子域中,并单独为该域购买证书,其余页面不加密。

如何知道您的在线商店是否需要 SSL

阅读所有这些,您可能会确信您需要 SSL 证书。 毕竟,安全对您来说很重要,对吧?

但是,如果您不捕获或存储任何敏感数据,您可能实际上不需要证书。 这听起来可能很奇怪,所以让我们深入研究一下。

导致店主无需 SSL 的最常见情况是使用异地支付处理器,例如 PayPal。 这是因为PayPal负责捕获和存储您客户的所有敏感支付信息,因此它永远不会存储在您的数据库中。

异地支付处理器有自己的安全标准、证书和安全地将数据从您的商店传递到您的商店的方法。 因此,您不一定需要 SSL,因为他们会涵盖它。

如果您不存储任何敏感的付款信息,则可能不需要 SSL。
如果您不存储任何敏感的付款信息,则可能不需要 SSL。

另一种情况是,如果您不允许客户创建涉及任何类型密码的帐户或登录名。 即使您使用第三方的完全异地支付网关,您可能仍然有客户在您那里创建帐户以保存他们的送货地址和账单地址

虽然是不那么敏感的信息,但许多客户倾向于为每个帐户使用相同的密码。 因此,一些逆向工程可能会导致黑客获得访问权限,例如,购物者的电子邮件账户、银行账户……你可以说是。 这意味着除非您的商店禁用帐户创建,否则您将需要 SSL 来保护这些密码和登录名

回顾一下,可以消除 SSL 作为要求的两个因素是:

  • 使用完全异地支付网关,以及
  • 客户绝对不允许使用帐户或密码功能

如果您没有这两个因素,则需要为您的商店提供证书。 即使你这样做了,你仍然应该考虑它,因为 HTTPS 有可能在未来对排名和客户安心变得更加重要。

需要 SSL? 如何获得证书(两种方式)

直到最近,使用 SSL 保护您的商店的标准方法是向第三方支付证书费用。 然而,正如 WordCamp US 的 The State of the Word 中所提到的,现在还有另一种选择。

这里有两种方法可以保护您的商店并让您的客户满意。

支付证书

SSL 证书可以从各种各样的第三方购买。 许多域名经销商将它们提供给他们的客户(有时甚至与您的域名捆绑在一起),也有一些独立公司只销售 SSL 证书。

您最好的选择可能是从您购买(或计划购买)商店域名的公司开始,以确定他们是否提供证书或任何类型的捆绑包。 如果没有,一个简单的搜索应该会出现多个可靠的选项。

在您购买之前,请花几分钟仔细考虑您需要的证书类型。 基本 SSL 证书仅涵盖一个域 - 例如。 example.com 或 subdomain.example.com。 但您也可以购买多域证书或“通配符”证书以覆盖多个子域(example1.domain.com、example2.domain.com…)。

付费证书的价格通常在单域每年 30 美元到 50 美元之间,多域或通配符选项每年最高 300 美元。

Let's Encrypt 的免费证书

互联网安全研究小组 (ISRG) 目前有一个名为 Let's Encrypt 的公开测试版程序。 Let's Encrypt 允许任何人免费使用 SSL/TLS 保护他们的网站 -有效地为网站和商店所有者提供免费的永久 SSL 证书

问题:Let's Encrypt 并不像与域名注册商合作购买和安装证书那么简单。 它也仍处于测试阶段,因此可能存在错误。 但是,它仍然是完全免费的,并且是开源的。

Let's Encrypt 的图表显示了他们的证书是如何工作的。
Let's Encrypt 的图表显示了他们的证书是如何工作的。

如果您有兴趣走这条路,我们建议您将 Let's Encrypt 文档发送给您的开发人员,他们可以确定您的服务器所需的插件和客户端,并为您处理证书安装过程。

没有证书的后果

您可能想知道“如果我忽略所有这些并且没有获得 SSL 证书会发生什么?”

说实话,什么都可能发生。 但也可能产生可怕的后果,包括:

  • 购物者对您失去信任,因为您的商店似乎不安全
  • 讨厌的人“欺骗”你的商店,因为没有办法证明你是你商品的真正所有者或制造商
  • 黑客使用逆向工程劫持客户的电子邮件、社交媒体或其他在线帐户,其中包含从您的商店获取的信息
  • 窃取存储在您服务器上的敏感个人或财务数据
  • 由上述任何事件引起的公众和潜在的财务反弹

如您所见,与其冒险,不如简单地为 SSL 证书付费并高枕无忧。 即使有潜在客户纠缠你关于丢失的锁图标 - 并且可能因为它丢失而没有购买而退出 - 值得每年 30 美元左右,你不觉得吗?

SSL 不一定是一件复杂的事情

我们希望对电子商务 SSL 证书的介绍能够帮助您更好地理解为什么您可能(或可能不需要)为自己的在线商店需要证书。

运气好的话,SSL 和存储安全性现在看起来应该更容易掌握。 但是,如果您还有任何疑问,我们将非常乐意在下面的评论中为您解答! 问吧,我们随时为您提供帮助。