在Web伺服器上安裝SSL證書後,站長應該執行SSL檢測以驗證設定是否正確。SSL/TLS證書不僅需要自簽名證書(主證書),還需要安裝所謂的中間證書(鏈)。如果沒有正確設定這些設定,則網站訪問者開啟您的網站時,在瀏覽器會收到警告,從而導致網站訪客流失(因為他們認為您的網站是不可信的)。並且,根據瀏覽器和版本的不同,即使證書設定不正確,瀏覽器可能會或可能不會發出警告。因此,使用第三方工具執行SSL檢測非常重要。
如何執行SSL檢測
建議使用Qualys SSL Labs提供的免費SSL檢測工具。該工具非常可靠,也是閃電博常用的SSL相關工具。開啟SSL檢測工具頁面,在“Hostname”欄位中輸入網站域名,然後點選“Submit”即可。還可以根據需要選擇隱藏公開結果的選項。在您的Web伺服器上掃描站點的SSL/TLS配置可能需要一兩分鐘。
域名SSL證書檢測
通過A等級的SSL證書檢測
SSL Labs設定了多個SSL伺服器等級(從A到F)。其中A等級為最高等級,也應該為站長需要實現的目標,這意味著正確設定了SSL證書和中間證書。並且WordPress所在的Web伺服器的其餘要點,也要符合SSL Labs相關規範。如果未能達到目標等級,站長可以進一步瞭解警告和錯誤以及如何修復它們。
SSL評級-A等級
SSL證書鏈不完整警告
執行SSL檢測時,“證書鏈不完整”是最常見的警告之一。當Web伺服器上安裝SSL證書時,要求新增證書金鑰,私鑰和證書鏈。如果僅新增自簽名證書(主證書),則會遇到如下警告:“This server’s certificate chain is incomplete. Grade capped to B.(此伺服器的證書鏈不完整。等級上限為B。)” 並在下面顯示完整的檢測報告,以便於站長深入瞭解問題。
SSL檢測-證書鏈不完整
要解決此問題,您需要新增中間證書。大多數SSL提供商都會通過電子郵件傳送.crt檔案和.ca-bundle檔案。您可以使用文字編輯器(如記事本或TextMate)開啟.crt證書和.ca-bundle檔案,將兩者合併儲存為.cer檔案。如果您沒有或不知道中間證書,則可以使用免費工具,例如 https://whatsmychaincert.com/來生成它。
如果您使用其他網路託管服務提供商,則可以開啟支援通知單並向他們提供中間證書。在您的伺服器新增好完整的SSL證書之後,清除SSL Labs快取,重新執行檢測應該就可以獲得A等級評級了。
清除SSL快取
參考閱讀:《SSL和TLS部署最佳實踐指南》。
評論留言