ฉันจะยืนยันเว็บไซต์ของฉันได้อย่างไรโดยจะแสดงกล่องสีเขียวในแถบที่อยู่ของ Chrome

26

ฉันจะตรวจสอบเว็บไซต์ของฉันโดย Google Chrome เพื่อให้มีกล่องสีเขียวในแถบที่อยู่ได้อย่างไร ฉันไม่รู้จะทำยังไงดี นอกจากนี้ฉันต้องขอให้ Google ยืนยันมันด้วยหรือไม่

— TwentyCharMax
แหล่งที่มา

7

คุณกำลังถามเกี่ยวกับสีเขียวที่ระบุว่าไซต์นั้นมีใบรับรองความปลอดภัย Extended Verification (EV) สำหรับ HTTPS / SSL / TLS หรือไม่

— Stephen Ostermiller

@StephenOstermiller ใช่

— TwentyCharMax

8

คุณต้องจ่ายเงิน

— Evorlor

12

Lets Encrypt ไม่ได้เสนอใบรับรอง EV อยู่ในคำถามที่พบบ่อยของพวกเขา: allowencrypt.org/docs/faq พวกเขาให้การรับรองความถูกต้องของโดเมน (DV) เท่านั้น

— Stephen Ostermiller

5

@Alex NO การรับใบรับรองจาก LetsEncrypt จะไม่ให้ "กล่องสีเขียว" แก่คุณ การให้บริการเว็บไซต์ของคุณผ่าน HTTPS จะแสดงการล็อกในเบราว์เซอร์ส่วนใหญ่ แต่ "กล่องสีเขียว" ที่แสดงชื่อ บริษัท ของคุณจะปรากฏเฉพาะเมื่อคุณมีใบรับรอง EV ซึ่ง LetsEncrypt ไม่ได้ให้บริการ

— BlueCacti

34

'กล่องสีเขียว' ในแถบที่อยู่ของ Chrome ไม่ใช่สิ่งที่เกี่ยวข้องกับการยืนยันโดย Google เนื่องจากสตีเฟ่นพูดถึงความคิดเห็นในคำถามของคุณเป็นข้อบ่งชี้ว่าไซต์ของคุณมีใบรับรองความปลอดภัย Extended Verification (EV)

โดยทั่วไปเป็นผลิตภัณฑ์ SSL 'ระดับพรีเมียม' ที่เสนอโดยผู้ให้บริการใบรับรอง SSL หลายราย ในการรับหนึ่งในใบรับรองเหล่านี้สถานที่ที่ดีที่สุดในการเริ่มต้นคือเว็บโฮสต์ของคุณซึ่งสามารถจัดการกระบวนการทั้งหมดในการสร้างคำขอลงนามใบรับรองซื้อใบรับรองให้คุณและติดตั้ง บางครั้งมันเป็นไปได้ที่จะทำสิ่งนี้ด้วยตัวคุณเองผ่านแผงควบคุมเว็บโฮสติ้งของคุณ

หากคุณตัดสินใจที่จะลงมือทำด้วยตัวเองผู้ให้บริการออกใบรับรองที่เชื่อถือได้ส่วนใหญ่ควรจะให้ใบรับรอง EV แก่คุณ เหล่านี้รวมถึง บริษัท เช่น Comodo, Thawte, Verisign และอื่น ๆ อีกมากมาย โดยทั่วไปแล้วพวกเขายังมีคำแนะนำสำหรับการตั้งค่าบนแผงควบคุมการโฮสต์ที่นิยม

— ทิมมาโลน
แหล่งที่มา

25

สิ่งสำคัญคือต้องพูดถึงว่าใบรับรอง EV ไม่ได้ออกให้กับบุคคล

— Michael Hampton

3

ใบรับรอง EV นั้นจะมอบให้กับนิติบุคคลเท่านั้นหลังจากที่ CA ได้ตรวจสอบแล้วว่าคุณได้รับอนุญาตให้ซื้อใบรับรองและโดเมนนั้นเป็นของสิทธิ์ตามกฎหมาย -> en.wikipedia.org/wiki/Extended_Validation_Certificate - Extended Validation Certificate (EV) เป็นใบรับรองกุญแจสาธารณะที่พิสูจน์ว่านิติบุคคลควบคุมเว็บไซต์หรือแพคเกจซอฟต์แวร์ การได้รับใบรับรอง EV ต้องมีการตรวจสอบข้อมูลประจำตัวของนิติบุคคลที่ร้องขอโดยหน่วยงานผู้ออกใบรับรอง (CA)

— BlueCacti

30

ดังที่ Tim Malone กล่าวว่านี่เป็นใบรับรอง SSL ชนิดพิเศษที่มักจะขายในระดับพรีเมี่ยมโดยผู้ออกใบรับรอง อัตราการไปมักจะอย่างน้อยสองร้อยดอลลาร์

สิ่งที่ Tim ไม่ได้กล่าวถึงและสาเหตุส่วนหนึ่งของราคาที่เพิ่มขึ้นก็คือมีเอกสารจำนวนหนึ่งที่เกี่ยวข้องซึ่งต้องส่งและตรวจสอบโดย CA ที่คุณซื้อใบรับรอง เอกสารนี้มักจะรวมถึงการตรวจสอบว่าธุรกิจที่ขอใบรับรองมีการลงทะเบียนอย่างถูกต้องกับรัฐหรือประเทศรับผู้บริหารจาก บริษัท ที่จะออกจากการร้องขอและสิ่งอื่น ๆ ที่เป็นไปได้ ไม่เหมือนกับใบรับรองอื่น ๆ คุณไม่สามารถซื้อได้ทำการตรวจสอบอัตโนมัติห้านาทีและติดตั้งใบรับรองภายในไม่กี่ชั่วโมง ใบรับรองเหล่านี้เรียกว่า "การตรวจสอบเพิ่มเติม"

— D. Strout
แหล่งที่มา

15

ฉันคิดว่าคำถามนี้สมควรได้รับพื้นหลังมากกว่านี้ ... มีใบรับรอง SSL / TLS หลายประเภทที่ออกโดย Certificate Authority (CA) ซึ่งโดยทั่วไปแล้วจะทำหน้าที่เหมือนทนายความรับรองว่าโดเมนที่คุณกำลังเข้าถึงนั้นเป็นจริง ไซต์จริงและคุณเข้าถึงอย่างปลอดภัย

เมื่อคุณเข้าถึงไซต์ที่ใช้ HTTPS เซิร์ฟเวอร์ของไซต์จะส่งใบรับรอง SSL / TLS และที่เบราว์เซอร์จะตรวจสอบ การแสดง "ล็อคสีเขียว" หมายความว่าใบรับรองของไซต์นั้นถูกต้อง (ลงชื่อโดย CA) และเนื้อหาทั้งหมดของหน้าและการเชื่อมต่อนั้นได้รับการเข้ารหัส ล็อคสีเขียวบอกว่าคุณเชื่อมต่อกับเซิร์ฟเวอร์จริงที่ใช้จริงในโดเมนนั้น

"ล็อคสีเขียว" ประเภทอื่นมีชื่อของหน่วยงานธุรกิจและเป็นใบรับรอง Extended Validation (EV) SSL / TLS ที่ถูกต้อง มีเพียงธุรกิจเท่านั้นที่สามารถสมัครขอใบรับรอง EV และธุรกิจเหล่านี้เกี่ยวข้องกับกระบวนการออกใบรับรองที่ละเอียดยิ่งขึ้นโดยผู้ออกใบรับรอง (CA) ซึ่งโดยทั่วไปแล้วทำให้แน่ใจได้ว่าเว็บไซต์ google.com เป็นเจ้าของจริง ๆ โดย Google, Inc.

ดูความแตกต่างระหว่างสอง:

บ่อยครั้งที่เว็บไซต์สแตติกที่ไม่ซับซ้อนมากหรือไม่เก็บรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนไม่ต้องการจริงๆ(แต่ขอแนะนำอย่างยิ่ง ) เพื่อเข้ารหัสปริมาณการใช้งานของพวกเขาโดยใช้ HTTPS และใบรับรอง SSL ตามที่ระบุไว้ในคำถามนั้นการใช้ HTTPS ไม่เพียง แต่รักษาความปลอดภัยให้กับการเชื่อมต่อแต่ยังให้ความน่าเชื่อถือซึ่งมีความสำคัญแม้กับไซต์แบบคงที่ที่เรียบง่าย

สำหรับเว็บไซต์ส่วนบุคคลคุณสามารถรับใบรับรอง SSL (การตรวจสอบความถูกต้องของโดเมน) SSL / TLS ปกติ วิธีการทำเช่นนี้ขึ้นอยู่กับที่เว็บไซต์ของคุณโฮสต์อยู่ แต่ส่วนสำคัญของมันคือคุณต้องสร้างคีย์ส่วนตัว (โปรด 2048 บิต) และสร้างไฟล์คำขอเซ็นชื่อใบรับรอง (domainame.csr) เพื่อส่งไปยัง CA เพื่อออก / ลงนามในใบรับรองคุณ หลังจากที่คุณมีใบรับรองสาธารณะที่ลงนามโดย CA และรหัสส่วนตัวของคุณคุณจะบอกเว็บเซิร์ฟเวอร์ของคุณว่าพวกเขาอยู่ที่ไหนและใช้ SSL / TSL รายละเอียดแตกต่างกันไปขึ้นอยู่กับการตั้งค่าของคุณ

คุณสามารถใช้ startssl.com เพื่อรับใบรับรอง SSL ปกติได้ฟรี btw HTH

— unknownprotocol
แหล่งที่มา

7

"บ่อยครั้งเว็บไซต์สแตติกที่ไม่ซับซ้อนมากหรือไม่เก็บรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนไม่จำเป็นต้องเข้ารหัสการรับส่งข้อมูลโดยใช้ใบรับรอง HTTPS และ SSL" คนไม่เห็นด้วย นอกจากนี้โปรดทราบว่า HTTP / 2 ไม่รองรับเบราว์เซอร์หลัก ๆ ในโหมดที่ไม่ได้เข้ารหัสดังนั้นหากคุณต้องการ HTTP / 2 คุณต้องพูดคุย HTTPS

— CVn

6

"บ่อยครั้งเว็บไซต์สแตติกที่ไม่ซับซ้อนมากหรือไม่เก็บรหัสผ่านหรือข้อมูลที่ละเอียดอ่อนไม่จำเป็นต้องเข้ารหัสการรับส่งข้อมูลโดยใช้ใบรับรอง HTTPS และ SSL" หากคุณไม่ได้เข้ารหัสข้อมูลทุกชิ้นที่กระทบเซิร์ฟเวอร์ของคุณและกลับมาหาฉันฉันไม่จำเป็นต้องให้ปริมาณการใช้งานแก่คุณ นอกจากนี้เว็บไซต์ประเภทใดก็ตามจะได้รับความนิยมในการจัดอันดับการค้นหาหากพวกเขาไม่ใช้ HTTPS แบบเต็มทุกที่ นอกจากนี้ยังมีไอคอนแถบที่อยู่ใหม่ที่มาใน Chrome ซึ่งระบุว่า "ไม่ปลอดภัย" ด้วยสีแดงสดพร้อมสามเหลี่ยมเตือนหากโดเมนไม่ได้ใช้ HTTPS ---> i.imgur.com/ahR6dMg.png

— dhaupin

1

@dhaupin ขอบคุณ คำเตือน "ไม่ปลอดภัย" ที่กำลังจะเกิดขึ้นเป็นข่าวสำหรับฉันฉันจะต้องอ่านข้อมูลต่อไป แต่แม้กระทั่งเว็บไซต์ที่ใบรับรอง SSL ที่ใช้งานไม่ได้เข้ารหัสทั้งหมดเข้าชมของพวกเขา (เนื้อหาแบบคงที่) ... ห่านี้เว็บไซต์ไม่ได้ทำหน้าที่ทุกอย่างโดยใช้ https

— unknownprotocol

1

@ MichaelKjörlingฉันรู้ว่ามันจะดีกว่าเสมอในการให้บริการ HTTPS แต่สำหรับเว็บไซต์ html แบบธรรมดาที่ให้ข้อมูลอย่างเดียวบางครั้งฉันคิดว่าบางครั้งกระบวนการรับใบรับรอง CA-problems นั้นยุ่งยากกว่าคุ้ม

— unknownprotocol

เป็นไปได้อย่างสมบูรณ์แบบที่จะใช้การแลกเปลี่ยนแบบสแต็กซ์เกือบเฉพาะผ่าน HTTPS ในปัจจุบันยกเว้นไซต์ Meta เฉพาะไซต์และการยกเว้นภาพที่อยู่ในโพสต์โดยผู้ใช้ผ่าน HTTP อย่างชัดเจน และกระบวนการในการรับใบรับรอง SSL SSL นั้นไม่ลำบากแม้แต่ก่อนที่ Let's Encrypt EV certs เป็นอีกเรื่องหนึ่ง แต่สำหรับเว็บไซต์จำนวนมาก EV certs จะไม่เพิ่มมูลค่าที่มีนัยสำคัญ HTTPS เมื่อเทียบกับข้อความธรรมดา HTTP ไม่

— CVn

5

คำตอบอื่น ๆ บอกวิธีรับใบรับรอง แต่ไม่ต้องพูดถึงว่าผู้ใช้ของคุณต้องใช้ไซต์ของคุณผ่าน HTTPS เพื่อดูแถบสีเขียวแม้เมื่อคุณติดตั้งใบรับรองแล้ว

หากแสดงการยืนยันสีเขียวเป็นสิ่งสำคัญสำหรับคุณและเว็บไซต์ของคุณคุณควรเปลี่ยนเส้นทางไซต์ HTTP ของคุณไปยังไซต์ HTTPS ของคุณเพื่อให้ผู้ใช้ใช้เวอร์ชัน HTTPS ที่มีการตรวจสอบความถูกต้องเสมอ

— Stephen Ostermiller
แหล่งที่มา

5

และถ้ามันสำคัญมากคุณควรตั้งค่าHSTSพร้อมกับ HTTPS

— CVn

เมื่อคุณเริ่มต้นด้วย HTTPS คุณควรใช้ส่วนหัว HSTS เพื่อให้ไคลเอนต์ที่ใช้ไซต์ HTTP ของคุณ (ไม่ปลอดภัย) จะเริ่มต้นใช้เวอร์ชัน HTTPS โดยอัตโนมัติ มีเว็บไซต์ที่ดีที่จะแสดงส่วนหัวที่คุณหายไปหรือกำหนดค่าไม่ถูกต้อง: securityheaders.io

— BlueCacti

1

@GroundZero ใช่คุณควรใช้ HSTS แต่ฉันไม่เห็นว่าสิ่งนี้จะเพิ่มขอบเขตของคำถามได้อย่างไร HSTS ไม่เกี่ยวข้องกับ EV คำถามนี้เกี่ยวกับ EV โดยเฉพาะ คุณอาจพูดถึงการโหลด HSTS ไว้ล่วงหน้าแล้ว หรือเย็บเล่ม OCSP หรือกุญแจปักหมุด หรือนี่หรือว่าเช่นกัน และมีอื่น ๆ อีกมากมายที่คุณต้องทำขวามากกว่าเพียงแค่การตั้งค่าคู่ของส่วนหัว

— Num Lock

-3

หากคุณเปิดใช้งานลายเซ็น SSL แน่นอนที่สุดคุณจะเห็นไอคอนสีเขียวไม่เพียง แต่ Google Chrome แต่ใน Firefox เช่นกัน ลองรับการรวม HTTPS สำหรับเว็บไซต์ของคุณ ฉันค่อนข้างใหม่ที่นี่ดังนั้นฉันจึงไม่สามารถแชร์ลิงก์ด้วยเหตุผลบางอย่างได้ อย่างไรก็ตามคุณสามารถ google มันออกมา

— Mukul Sharma
แหล่งที่มา

ใช้มากกว่าใบรับรอง SSL ใด ๆ เพื่อรับแถบสีเขียว ใช้ใบรับรองการตรวจสอบความถูกต้องเพิ่มเติม (EV) เป็นพิเศษ

— Stephen Ostermiller