全網HTTPS下月啟動 (C)老(F)司(C)機(A)帶你趕上這趟車！

我們在網路上工作、社交、購物、娛樂，同時也將自己的隱私和安全置於一個虛擬的空間。為了保護網路使用者的利益，各種網路安全協議和工具應運而生，其中就包括近兩年大熱的HTTPS協議和SSL證書。

如果由可信CA頒發的SSL證書被部署到全球的每一台伺服器上，那將營造出一個實現全網HTTPS傳輸加密和沒有「釣魚」網站及流量劫持威脅的網路空間。

這意味著你可以無所顧忌地在網路上傳遞悄悄話而不被竊聽，你可以任性支付而無需擔心購物頁面是假冒的，你可以不再被瀏覽網頁時突然蹦出的××小廣告所打擾等等。如果成真，這將多麼的美好……

全網HTTPS下月啟動，掉隊的後果很嚴重

為了實現這美好的場景，谷歌、火狐、蘋果等瀏覽器和手機廠商在近兩年通過多種方式推進HTTPS的普及。例如從今年1月開始，如果您在非HTTPS頁面，也就是未經SSL證書加密的HTTP頁面輸入密碼或信用卡信息時，Chrome56瀏覽器就會顯示「不安全」（Not Secure）警告。這警告的威力有多大？根據谷歌今年4月的統計，僅過了三個月，使用HTTP登錄或支付的頁面下降了23%。

對多數網站來說，登陸或支付頁面的數量很少，更是有很多網站不涉及交易，所以被警告的網頁終究是少數，而且申請SSL證書需要一些費用，所以不如再等一等吧！

但從下個月開始，網站管理者已經等不起了，因為自10月發布的Chrome62開始，用戶在HTTP頁面輸入數據或者在隱身模式下瀏覽HTTP網頁時，瀏覽器都會提示「不安全」（Not Secure）。

好了，註冊表單、調查問卷、官網留言板、訂閱郵件框……幾乎所有交互頁面都要使用HTTPS。而對於習慣隱身（無痕）瀏覽的用戶來說，HTTP頁面會被統統警告，這也是谷歌等互聯網企業的最終計劃。留給HTTP的時間已經不多了，如果在全網HTTPS的過程中反應緩慢，難免要出現交易量下滑、用戶活躍度下降、客戶流失等情況。所以請儘快部署SSL證書，不要在這一進程中掉隊。

數字證書界「老司機」帶你上道 HTTPS一步到位

既然如此，那就申請一張SSL證書吧！但目前市面上有多種類型的SSL證書，該如何選擇？而作為一種新型網路安全產品，多數管理員對SSL證書的部署、配置等細節還缺乏了解。「聞道有先後，術業有專攻」，下面就由專業的SSL證書籤發機構金融認證中心（CFCA）解答下這些問題。

CFCA成立於1998年，是首批獲得電子認證服務許可的電子認證機構。截至目前，超過2400家金融機構使用他們的電子認證服務，在使用數字證書的銀行中佔98%的份額，堪稱數字證書界的「老司機」。同時，CFCA簽發的SSL證書也是唯一支持微軟、谷歌、火狐、蘋果這四大瀏覽器的國產證書。在SSL證書的選擇和部署上，他們建議：

1. 向可信第三方CA申請SSL證書，且必須選擇已經加入所有瀏覽器系統根證書信任庫的證書，同時證書應採用SHA256標準演算法。

2. 根據網站伺服器配置狀況選擇SSL證書：

① 單一域名/固定公網IP，且域名以及IP變動幾率較小的，採用標準OV單域名證書；

② 多域名/多公網IP，且域名以及IP變動幾率較小的，採用標準OV多域名證書；

③ 多域名/多公網IP，且可能會後續增加子域名的，採用標準OV通配符證書；

④ 需要給網站使用並顯示公司名稱和綠色地址欄的，採用EV單域名/多域名證書。

3. 完成伺服器HTTPS配置，啟用TLS v1.2版本協議。

4. 為伺服器配置符合正向加密（Forward secrecy）的加密套件。

而對於在證書申請、製作過程中涉及的CSR生成、證書格式轉換等問題，CFCA建議網站管理員登陸SSL工具平台——ssltools.cfca.com.cn。該平台整合多種免費的證書申請、製作、檢測工具，通過簡單操作即可解決上述問題。同時，CFCA還提供更為高效的證書審批及本土化技術支持與專業安全、成本低廉的一站式證書服務，協助網站管理員一步到位的完成HTTPS升級。