社长用爬虫程序抓取了1188家外贸企业的官网做抽样分析,结果发现这些网站中,居然只有8家安装了SSL安全证书!这可是一个会直接“影响老外询盘数量”,还很可能间接“影响网站谷歌排名”的东西啊!结果只有千分之6的企业有这方面的意识!所以社长就跟大家来好好谈一下HTTPS协议和SSL安全证书的相关知识。
一、没有SSL证书会怎么样
网站询盘数量会受影响!
很多人说外贸B2B网站又不会直接进行交易,不像电商或者银行那样需要很高的安全性,加个SSL安全证书没什么用,这么多年下来不也都好好的吗?社长只能说“少年,图样图森破”啦!
作为谷歌等科技巨头强力推动的互联网安全协议,谷歌可没少在这事情上花心思。到了2018年7月,更是直接使出了杀手锏,在谷歌Chrome浏览器上加入了识别功能,如果你的网站没有采用SSL安全证书,那么客户浏览你网站的时候,左上角会弹出这样的风险提示FF1A。
试想下,一个国外采购商原本要填写个10个柜的询盘信息,结果一看到这个不安全提示,吓都吓跑了吧。(敲黑板:国际贸易,风险意识大于利益意识啊)
二、SSL证书到底是什么?
网上有很多SSL证书和HTTPS的文章,但都是这样的画风:“网络协议、加密算法,对称加密、非对策加密、凯撒密码、CA机构、@#)¥*@)#*¥)@#¥”,这哪里是给人看的啊?!
社长为了让各位小伙伴们能够秒懂,决定给大家讲一个关于牛郎与织女的故事,话说long long long long ago。。。。。
牛郎和织女忍受不了每年只能见一天,决定靠写信来倾述相思之苦。而送信这个重要的任务,自然就交给了牛郎家那只忠诚的老黄牛啦。他们给信取了个洋气的名字,叫做NiuMail,而送信的老黄牛也不能落下,黄的首字母是H,那干脆就叫他H踢踢屁(HTTP)吧,霸气外露有没有?
看到这里,聪明的你肯定看明白了,故事里的牛郎和织女可以理解为通信的“电脑”和“服务器”。其实所有的互联网活动,本质上都是数据和信息的传递。而他们之间的数据传输,都是通过老黄牛HTTP协议来进行的。
当然牛郎和织女的故事还没结束,让我们接着往下说。
牛郎和织女想要策划私奔,这个事情显然不能直接写在信里。因为他们知道王母都有安排手下偷偷打开信件审查。当然这难不倒聪明牛郎和织女,他们在七夕见面的时候,约定了一个加密方式,当有涉及私奔计划的内容时候,都在原文单词基础上,都向字母表右侧移动两位来写。比如A,向右移动两位就变成C,I LOVE U,就变成 K NQXG W。这样就算王母拿到信,也完全看不懂在说什么啦。
但是好景不长,王母发现了异常。请了一帮智囊团破解了加密方式,这下可穿帮了,害得牛郎织女被惩罚一万年不能见面。(社长:我说得没错吧,确实是long long long long ago。)(李社长旁白:科学家一直致力于研究如何提升网络数据传输安全,于是有了上面牛郎织女的加密方法。原理很简单,由双方约定了一个天知地知你知我知,其他人统统不知的加密防范,就是所谓的“对称加密”。而字母偏移的加密方法就叫做“恺撒加密”。)
但是这个方法也存在弊端,因为不可能每个人都面对面的告知加密方法,这样效率太低了。另外HTTP这只老黄牛也实在太不安全,信的内容可以随便看,只需要一个嗅探器和网络抓包工具,任何小白都可以截取到传输的数据。而如果再碰到像王母智囊团这样高明的黑客,那很可能会破解拿到真实的数据,同样无法保证信息的安全性。
正所谓魔高一尺,道高一丈。我们天才的牛郎,又想出了个妙计。既然问题出在老黄牛身上,那么我就来加强老黄牛的安全措施吧。于是他们各准备了一个密码箱,密码各自知道,甚至不告诉对方(社长:这手够绝的,万一你们记忆力退化忘记了可咋办啊,毕竟都一万多岁滴人啦)。
当要写信的时候,就先把空的密码箱寄给对方,对方把信放进去后锁上箱子再寄回来,而只有知道密码的人才能打开查看信件。有了这个双保险的方案,加上牛郎织女一万多年的努力,终于~有情人终成眷属啦~(李社长旁白:上面这种加密算法,叫做“非对称加密”,说白了意思就是即使你知道我是用密码箱加密的,你也不知道打开他的密码。)
这里的密码箱就是专业术语中的“公钥”,举一个最典型的互联网场景“用户登录系统”来说。这是黑客最想窃取的信息之一了。用上非对称加密后,整个流程如下:
step1:服务器把公钥(空的密码箱)发给客户端电脑
step2:客户端用公钥加密信息,并锁上密码箱
step3:客户端把密码箱回传给服务器
step4:服务器接到密码箱接到信息后,使用他自己的密码钥匙(密钥)去打开箱子,并解密获得信息。
上述的方法已经近乎完美,但是还是有一种风险,就是整个密码箱被人中途调包,也就是说客户端收到的,是黑客伪装后寄过来的一个密码箱和公钥。那么信息还是无法保证安全。要想解决这个问题,人们又想出了一个办法:CA(Certificate Authority)即数字证书颁发机构,由CA来作为中间人管理和发布证书,这样就不会出现中途被调包的风险。这里的证书,就是我们本篇文章要讲解的SSL证书啦。要完全解释清楚CA的工作原理,恐怕社长要另外写一篇长文才能科普的明白。不过大家把CA理解为开信用证的银行,这样是不是一下子茅塞顿开啦?
牛郎织女的故事总算编完了,真实个折磨人的活儿。希望大家通过这段文章,能够对SSL、HTTPS等专业术语有个更深刻的理解。
三、证书选购
科普完SSL证书的重要性和原理后,最后要解决的问题就是去哪里买?网上各种SSL证书从免费到付费、价格参差不齐。相信很多朋友都挑花眼了。这里社长就跟大家科普下SSL证书的分类和区别,方便的大家选购。
SSL证书分以下三种:
1. 域名型证书DV SSL
这种证书也叫基础型SSL证书,只是单纯对域名的所有权进行验证,这种证书的优点在于:又快又便宜。因为审核是全自动完成的,一般只需要十分钟搞定。市面上出现的免费SSL多是以DV SSL为主。不足:获得DV证书,也只能证明这个网站和域名所有权有效。但是网站内容是否安全却无法保证。因此经常有黑客用伪装成某某银行的钓鱼网站,加上一个免费的DV SSL认证,就轻易骗取了网民的信任,心甘情愿的输入了自己的敏感信息。
另外DV SSL还有多域型和通配型两种,多域型就是一个证书可以用在多个域名上。通配型就是一个整数只支持一个域名,同时这个域名下的所有二级子域名都可以共用这个证书。(李社长结论:做为展示为主的外贸营销网站而言,选购DV SSL证书一般就够用了。当然如果有预算的话,也可以购买后两种更高级的证书。)
2. 企业型证书OV SSL
这类证书的办法需要经过书面审核,把关更加严格,获得该类证书的网站也更加的可靠。
3. 增强型证书 EV SSL
一句话:比OV SSL更高级别的证书,获得该类证书的网站更加更加可信。(哈哈,好像说了句废话)
四、免费SSL证书推荐
市面上有不少免费SSL证书,但是免费的真心不敢随便用。在这里李社长仅推荐一款靠谱的免费证书:
Let's Encrypt
别因为免费就小瞧他,这个证书是由Mozilla基金会、美国密歇根大学基金会、EEF电子前哨基金会为了尽快推动SSL证书普及,而免费推出的一款服务,要知道在当时,同类证书的服务费至少要20美金起。感谢这些基金会对全球互联网信息安全所作出贡献!
Let's Encrypt的证书安装需要涉及一些服务器安装技术,特别是需要每30天用脚本自动续约一次,这里不延展开来介绍了,如果感兴趣,可以网上搜索相关关键词,有很多的教程可以参考学习。或者请你们服务器技术支持协助完成。
为了让网络数据传输更安全,人们采用了各种加密算法。然而再好的算法用HTTP协议来传输,还是有可能被黑客破解。后来人们想出了非对称加密的算法来,把公钥和密钥分开管理。同时为了进一步提高安全,公钥的信息和证书交由第三方权威机构CA来颁发和管理,这里的证书就是SSL证书。所以公式如下:HTTPS 约等于 HTTP协议+SSL证书/TLS