我们在网络上工作、社交、购物、娱乐，同时也将自己的隐私和安全置于一个虚拟的空间。为了保护网络使用者的利益，各种网络安全协议和工具应运而生，其中就包括近两年大热的HTTPS协议和SSL证书。

　　如果由可信CA颁发的SSL证书被部署到全球的每一台服务器上，那将营造出一个实现全网HTTPS传输加密和没有“钓鱼”网站及流量劫持威胁的网络空间。

　　这意味着你可以无所顾忌地在网络上传递悄悄话而不被窃听，你可以任性支付而无需担心购物页面是假冒的，你可以不再被浏览网页时突然蹦出的××小广告所打扰等等。如果成真，这将多么的美好……

　　全网HTTPS下月启动，掉队的后果很严重

　　为了实现这美好的场景，谷歌、火狐、苹果等浏览器和手机厂商在近两年通过多种方式推进HTTPS的普及。例如从今年1月开始，如果您在非HTTPS页面，也就是未经SSL证书加密的HTTP页面输入密码或信用卡信息时，Chrome56浏览器就会显示“不安全”（Not Secure）警告。这警告的威力有多大？根据谷歌今年4月的统计，仅过了三个月，使用HTTP登录或支付的页面下降了23%。

　　对多数网站来说，登陆或支付页面的数量很少，更是有很多网站不涉及交易，所以被警告的网页终究是少数，而且申请SSL证书需要一些费用，所以不如再等一等吧！

　　但从下个月开始，网站管理者已经等不起了，因为自10月发布的Chrome62开始，用户在HTTP页面输入数据或者在隐身模式下浏览HTTP网页时，浏览器都会提示“不安全”（Not Secure）。

　　好了，注册表单、调查问卷、官网留言板、订阅邮件框……几乎所有交互页面都要使用HTTPS。而对于习惯隐身（无痕）浏览的用户来说，HTTP页面会被统统警告，这也是谷歌等互联网企业的最终计划。留给HTTP的时间已经不多了，如果在全网HTTPS的过程中反应缓慢，难免要出现交易量下滑、用户活跃度下降、客户流失等情况。所以请尽快部署SSL证书，不要在这一进程中掉队。

　　数字证书界“老司机”带你上道 HTTPS一步到位

　　既然如此，那就申请一张SSL证书吧！但目前市面上有多种类型的SSL证书，该如何选择？而作为一种新型网络安全产品，多数管理员对SSL证书的部署、配置等细节还缺乏了解。“闻道有先后，术业有专攻”，下面就由专业的SSL证书签发机构中国金融认证中心（CFCA）解答下这些问题。

　　CFCA成立于1998年，是首批获得电子认证服务许可的电子认证机构。截至目前，超过2400家金融机构使用他们的电子认证服务，在使用数字证书的银行中占98%的份额，堪称数字证书界的“老司机”。同时，CFCA签发的SSL证书也是唯一支持微软、谷歌、火狐、苹果这四大浏览器的国产证书。在SSL证书的选择和部署上，他们建议：

　　1. 向可信第三方CA申请SSL证书，且必须选择已经加入所有浏览器系统根证书信任库的证书，同时证书应采用SHA256标准算法。

　　2. 根据网站服务器配置状况选择SSL证书：

　　① 单一域名/固定公网IP，且域名以及IP变动几率较小的，采用标准OV单域名证书；

　　② 多域名/多公网IP，且域名以及IP变动几率较小的，采用标准OV多域名证书；

　　③ 多域名/多公网IP，且可能会后续增加子域名的，采用标准OV通配符证书；

　　④ 需要给网站使用并显示公司名称和绿色地址栏的，采用EV单域名/多域名证书。

　　3. 完成服务器HTTPS配置，启用TLS v1.2版本协议。

　　4. 为服务器配置符合正向加密（Forward secrecy）的加密套件。

　　而对于在证书申请、制作过程中涉及的CSR生成、证书格式转换等问题，CFCA建议网站管理员登陆SSL工具平台——ssltools.cfca.com.cn。该平台整合多种免费的证书申请、制作、检测工具，通过简单操作即可解决上述问题。同时，CFCA还提供更为高效的证书审批及本土化技术支持与专业安全、成本低廉的一站式证书服务，协助网站管理员一步到位的完成HTTPS升级。

　　如果您希望了解HTTPS和SSL证书的更多信息，请致电010-59798680或登录ssl.cfca.com.cn查询。　　

责任编辑：韩希宇