新手朋友們常問帶路姬,我照著五天自學衝刺班做好網站了,可是為什麼網址旁邊有個驚嘆號?寫著「你的網站的連線不安全」…
不知道你有沒有注意到,你的網址現在是 http:// 開頭的,我們需要安裝 「SSL 安全憑證」就可以把它改成 https:// 開頭,這樣就可以被改成「安全連線」的狀態了。
什麼是 SSL 安全憑證呢?
安全憑證真的要說起來,太多專有名詞了,有點難懂…
帶路姬用最簡單的說法來說,如果身為一個使用者在網路上購物時,常會看到瀏覽器網址旁有一個鎖頭符號,這表示這個網站是安全的、資料有經過憑證加密處理、不會輕易被駭客之類的非法人士竊取。
SSL 安全憑證要錢嗎?
有免費的,也有付費的喔!帶路姬推薦的主機商,像是 Bluehost、A2 Hosting 和 Cloudways,都有提供免費的安全憑證,都可以從主機後台,按一個按鈕就安裝好了,非常方便!那什麼時候才需要買付費的呢?…
SSL 安全憑證用免費的還是付費的呢?
SSL 安全憑證依據驗證等級分為 DV、OV、EV 三種等級,不同的安全憑證,會有不同的驗證方式,越高等級、高安全性的憑證,驗證的方式越嚴格,更加強公司的可信賴度。也就是說,貴公司如果好不容易獲得最高等級的憑證,訪客來到貴公司網站時,會覺得很放心,Google 搜尋引擎也會認為貴公司的網站很有公信力。
SSL 憑證的三種等級:
- 網域驗證 DV SSL:是最基本的安全憑證,只需確認你是該網址的擁有者,申請後很快就可以簽發,只擁有最基本的加密傳輸,無驗證保證,Let’s Encrypt 和 CloudFlare 的憑證就是屬於這種類型。
- 組織驗證 OV SSL:除了驗證網址的擁有單位 (公司行號、財團法人等等),也會人工驗證營利事業登記證等等來證明這個公司真正存在,來證明網域憑證的信任保障。
- 延伸驗證 EV SSL:網址列旁邊會有綠色鎖頭及顯示經過驗證的組織單位,因此,不但會驗證公司證明文件也會實際查證公司的各項營業資料,有的 EV SSL 證書會賠償因為這個憑證加密失敗所產生的損失,在一定的保額內,每個憑證的保額不一樣喔!
那到底要用哪一種呢?如果不確定的話,建議還是要找專家評估喔!
付費的 SSL 憑證哪裡買?
帶路姬通常是跟 ssls.com 買,蠻便宜的。
國內的話,也可以考慮跟 Gandi 買喔!他們提供很好的中文服務。
裝一次就可以永久使用嗎?可以自己裝嗎?
A2Hosting、Bluehost 和 Cloudways 主機都有提供免費的 Let’s Encrypt 憑證,是屬於比較低階型的 DV SSL 憑證,這種憑證效期只有三個月,三個月後需要手動延展憑證。但是,帶路姬推薦的這三個主機商,剛好都有「自動延展 Auto Renew」的功能,就不用每三個月做一次延展來重啟憑證。不過帶路姬也有遇過,偶爾自動延展失敗,網站會突然壞掉,就得到主機後台再點一下「延展 Renew」的按鈕來重啟憑證。
付費版的安全憑證,通常可以直接購買一年到三年的有效期限,就比較不會遇到自動延展失敗,造成網站斷線的問題。但是,付費版的 SSL 安裝起來比較複雜,對不懂程式的業餘使用者來說會有點難度,建議請專家協助安裝。
SSL 安全憑證重要嗎?一定要安裝嗎?
SSL 憑證保護瀏覽器與伺服器之間的安全與隱私。
如果你是公司網站、會員網站、購物網站並搭配綠界、歐付寶、智付通之類的金流,最敏感信用卡資料的安全性保障,會由金流公司 SSL 憑證來會幫你把關。但是,除了刷卡階段需要保護,當貴公司安全性的需求提高、或者網站需要收集的資料更為重要、想要保護客戶隱私資料等等時。建議還是購買付費版的專業 SSL 憑證有更多的保障。
如果你是個人網站或沒有搜集重要資料的形象網站,則可以考慮安裝免費版的 SSL 安全憑證,除非你不希望有延展失敗的機率,也可以請工程師幫你安裝付費版的 SSL。
安裝 SSL 安全憑證後,你的網址變成 https:// 開頭了,Google 會覺得你的網站比沒有安裝安全憑證的還更有公信力,會比較願意把你的網站排名前面一點,所以,安裝安全憑證,對 SEO 是有利的喔!
要怎麼免費讓網站變成 https:// 開頭的呢?
如果你決定使用免費版的 Let’s Encrypt SSL 憑證,讓網址變成 https:// 開頭,有很多方式,對不懂程式的新手來說,帶路姬只教你最簡單的方式喔!可以不用碰程式碼、不用動到資料庫。
主要需要做好下面兩大步驟喔!
1. 請先到你的主機後台,安裝免費的 SSL 安全憑證,下面我會列出三個主機商的操作。
如果你目前用的主機沒有提供免費的SSL憑證,或者不方便安裝,也可以考慮搬到帶路姬所推薦的主機喔!
如何在 Bluehost 主機上,幫網站安裝免費的 SSL 安全憑證
如何在 A2 Hosting 主機 安裝 SSL 安全憑證?
A2 Hosting 會自動幫新安裝的 WordPress 網站安裝 SSL 安全憑證喔!就不用自己安裝了!超級方便:)如果你的 WordPress 剛安裝完,可能要等待至少十分鐘左右,讓 SSL 自動安裝。
如何在 Cloudways 主機上,幫網站安裝免費的 SSL 安全憑證
2. 可以使用 SSL Checker 來確認安全憑證是否安裝成功
安裝成功時,在 SSL Checker 會看到一整排綠色的勾勾。這時,請先去你的網站前台,看看網址是否已經變成 https:// 開頭,是否已經多了一個鎖頭外網址列(顯示為「已建立安全連線」)。
3. 如果主機端已經啟用 SSL,但是你的網址仍然是 http 開頭。或者,雖然網址已經變成 https:// 開頭,但是沒有鎖頭,仍顯示為非安全連線。下面列出兩種比較簡單的方式來解決。
方式一:如果你是使用 WordPress 5.7.2以上的版本
請到 工具>網站狀態,展開SSL相關警告,點選更新網站並且換成 https,就可以了喔!
方式二:請安裝並且啟用 Really Simple SSL 外掛
如果你的網址已經變成 https:// 開頭,可是,卻仍然顯示不是安全連線。
這可能是因為你的網站內,有一些資源(圖片、程式檔案等等)的來源是非 https:// 開頭的,造成你的網站不是全部都是安全的連線,仍有一部分是非安全的,這有時候會被稱作是有「混和內容」。
請安裝並且啟用 Really Simple SSL 這個外掛,就可以幫非技術人員,快速解決這個問題。記得重新登入網站,必要時要清除快取,應該就可以了喔!
以上就是關於 SSL 安全憑證的一些基礎教學囉,如果你的主機沒有提供免費的 SSL,或者很不方便安裝的話,也可以考慮搬到這幾個更好用的主機喔。
特別感謝
這篇文章,是帶路姬特別諮詢主機專家楊振暉的喔!謝謝阿暉的幫忙,讓帶路姬對 SSL 安全憑證也有更深一點的認識了!
18 留言
您好,我想請問一下,我照著步驟做確實網址已經更正為https,但是前方還是顯示驚嘆號而不是鎖頭,請問這是為什麼?
這就比較複雜了,有的時候,有的外掛或頁面編輯器,產生的圖片或樣式檔案(CSS)的網址,剛好沒辦法被Really simple SSL 外掛自動改成https開頭,如果你的整個網頁內容裡,剛好有某個內容不是https開頭的,就會被判定為有混合性內容,不是完全安全的,鎖頭就不會出現。
要解決這個問題,得檢查程式碼,就比較複雜一點了,沒辦法用外掛直接解決了喔…
如果你想找人幫你,可以到社團裡來找找比較可以信任的帶路老師,私訊他們看看,請他們報價幫你解決喔..
請問自己在NameCheap上面買的網域名稱
也可以在SiteGround使用免費的SSL嗎?
(因為SiteGround上面網域名稱要$16,NameCheap只要$10)
可以喔!只要是用Siteground的主機,就可以用Siteground免費的SSL喔!
想請問我是用NAS自架伺服器,而wordpress安裝在跟目錄下,我下載來的憑證要放在哪一個位置呢?
憑證放哪不是重點…
重點是你的伺服器要設定網域指向 正確憑證位置!
自架伺服器麻煩就在這,你要會去設定伺服器完整訊息;
然後再變更WP的網址設定(如有圖˙片可能也要變更連結)
請問有沒有只有在user端安裝憑證才能開啟網站的做法或相關文件可以推薦
請問,使用SiteGround主機,但是要加SLL的站是其他網址(其他網站)的話,也是先將主要綁定 SiteGround 的網址設定SSL就可以了嗎?還是是要將SLL啟動在 其他網址上呢?
謝謝您
其他網站,如果也是要放到同一個SiteGround主機,那就用Addon Domain的功能把網址先加進主機裡,然後再幫這個網址安裝SSL就可以了。
我目前的狀況是內部的連結都是有鎖頭的,但是從google連結過去的網址會變成不安全~
想請問我的網站突然ssl變不安全說甚麼時間跟憑證不一樣,請問要怎麼調整呢?我是用godaddy
建議你到社團裡面發問喔,附上圖片之類的,大家比較方便幫助你。 https://www.facebook.com/groups/wpointer
(1)
namecheap出售的 PositiveSSL ( https://www.namecheap.com/security/ssl-certificates/comodo/positivessl/ ) 介紹的Features裡註明的 Local Domains上面打X是指什麼意思呢?
(2)購買namecheap出售的 PositiveSSL, 可使用在 mydomain.com.tw的網域上嗎?
Erin您好:
真的很感謝您的文章,讓我短短在三天內就有一個WP的網站雛形,越深入研究才發現有很多好奇的地方,您之前在教學siteground指定網域有提到cloudflare,後來去深入瞭解一下,有以下兩個問題:
1. 使用CloudFlare時,必須將NameServer 改為由 CloudFlare 提供的 NS。但是如您教的siteground主機商都要求要把NameServer 改到主機商所提供的 NS,這時就出現兩難的窘境,不知道您有何看法。
2. 另外關於CloudFlare和siteground 在提供SSL服務這方面,兩者可以同時安裝嗎?這兩者又有什麼樣的差異呢?
謝謝您。
from 布萊恩
咦?我的教學好像重來沒有提到過 Cloudflare?因為我總覺得,他也不是一定必要的,稍微進階一點,對新手來說很容易混淆。
關於你的問題,使用 Cloudflare時,就是把NS改成 CF的,然後就改成再CF設定DNS。
2. 看你有沒有開啟使用 CF,如果有,就開啟CF的SSL,如果單純只是用CF來做DNS寄放,那就使用SG的SSL
如果以上說的讓你很難懂,建議就不用執著於使用 CF囉 🙂
你好 我主機是用blushost,網站做好後才設定ssl。在網站後台已經變成有鎖頭,也是https的狀態
但我測試在google搜尋到的還是開頭http
請問google seo是需要一段時間才會更新嗎?
應該是喔,要等Google一段時間。
Erin您好
陸續按照您的五天攻略架設Wordpress網站,因目前已有網域(原本有用網站shopline搭配go daddy買網域,shopline想停用,換自己架Wordpress,godaddy還有兩年才到期)目前我的Wordpress按照您的day1使用cloudway ocean 然後在Godaddy設定A record和Cname紀錄(都是成功的)。可是回到cloudway設定SSL install certificate 一直失敗(右上角顯示Please make sure that your domains are pointed correctly your server IP),請問我該怎麼做?