WordPress网站应该选择TLS还是SSL 全文详解

作为一个WordPress网站站长，你可能一直在寻找保护你的WordPress网站的最佳方法。这里有几个选项可以帮助你，其中之一就是TLS证书。除了让搜索引擎和用户知道你的WordPress网站是安全的，TLS可以帮助保护在你的网站和访问它的人之间的信息和数据。但是不少人又听过SSL和TLS，到底是什么意思，这两者有什么区别，这里搬主题就介绍一下WordPress网站应该选择TLS还是SSL。

之前搬主题也介绍过相应的TLS相关文章：

1. WordPress网站的HTTPS和SSL安装设置终极指南
2. 在BT宝塔面版内设置Nginx开启TLSv1.3为WordPress网站加速图文教程
3. 利用TLS 1.3网站加载更安全及更快速

让我们来分析一下这两个协议之间的异同，并研究一下你应该做什么来保护你的网站。

什么是TLS？

TLS是传输层安全的缩写。它是一个网站安全协议，可以保护你的网站和它的用户，从头到尾对所有数据进行加密。根据Mozilla开发者网络（MDN）的说法。

传输层安全（TLS），以前被称为安全套接字层（SSL），是一个应用程序用来在网络上安全通信的协议，防止篡改和窃听电子邮件、网页浏览、消息传递和其他协议。SSL和TLS都是客户端/服务器协议，通过使用加密协议在网络上提供安全，确保通信隐私。当服务器和客户端使用TLS进行通信时，它确保没有第三方可以窃听或篡改任何信息。

所有现代浏览器都支持TLS协议，要求服务器提供有效的数字证书，确认其身份，以建立安全连接。如果双方都提供自己的个人数字证书，客户端和服务器就有可能相互验证对方。

什么是SSL和TLS？

安全套接字层（SSL）和传输层安全（TLS）都是安全协议，有助于保护数据，使你的网站对终端用户更安全。这两种协议在网站和用户的设备之间实现了端到端的加密。这在用户和搜索引擎中建立了信任。无论你使用TLS还是SSL来保护你的网站，你都在保护你自己的数据和（也许更重要的是）你的用户的数据免受潜在的黑客攻击或恶意活动。

网站所有者同时获得TLS和SSL证书，以便将网站从HTTP（超文本传输协议）转换成HTTPS（超文本传输协议安全）。当一个网站是安全的，它就会在用户的浏览器地址栏中显示一个安全锁图标。拥有安全证书的网站告诉浏览器，用户访问该网站是安全的，让用户放心，他们的信息是安全的。

每个网站都需要一个TLS或SSL证书。它有助于搜索排名，以及防止黑客和其他损害情况的发生。但如果你的网站用于处理支付信息或存储敏感记录，它就显得尤为重要。这只是全面锁定网站安全的拼图中的一块，但它是关键的一块。

TLS是如何工作的？

作为安全套接字层（SSL）的后续，TLS用于网络浏览器和其他需要交换数据的基于互联网的应用程序和进程。TLS和SSL都是互联网安全的工业标准，尽管TLS是最新的迭代。这两种证书都将不安全的HTTP（超文本传输协议）URL前缀转换成HTTPS（超文本传输协议安全）。

你可以在下图中看到，你的浏览器会在URL旁边用一个锁的图标来显示一个网站是由SSL还是TLS保证的。以前谷歌浏览器将这个锁染成绿色；然而，随着网络标准的发展，HTTPS成为搜索排名的一个标准，谷歌浏览器换成了标准的灰色，只在网站不安全时将锁头染成红色。

TLS的作用是什么？

TLS证书可以保护你的WordPress网站和你的用户信息，确保你的URL拥有一个HTTPS前缀，并有助于提高你的网站在搜索引擎眼中的合法性和安全性（特别是谷歌）。

TLS使用所谓的TLS握手，以安全地连接用户和你的网站。该协议对数据进行端对端加密，因此它受到保护，不能被任何第三方干扰。如果黑客或恶意实体从一个受TLS保护的网站截获数据，他们看到的将是一团乱七八糟的随机字符，而不是他们可以使用（或甚至读取）的数据。TLS还对用户和你的服务器之间启动的每个会话进行认证，验证所有各方都是合法的。此外，传输层安全证书有助于保持你的网站的完整性和在搜索引擎上的声誉。

TLS可以保护我免受什么伤害？

在你的网站上有一个TLS证书，可以保护你免受恶意攻击、黑客和数据泄露的影响。这种安全水平现在是互联网浏览器的一个标准。例如，谷歌浏览器和火狐浏览器会在用户试图访问不安全的HTTP网站时发出警告。谷歌和其他搜索引擎在搜索排名中也会惩罚没有SSL或TLS证书的网站。

除此之外，TLS还提供了一层保护，防止因不安全的网站而产生的潜在法律问题，特别是如果你存储了敏感的用户信息。你（或你的企业）有可能因为不适当地存储这些数据而陷入困境，特别是如果你的企业处理支付信息或涉及存储敏感的健康记录。最好是确保你的网站从上到下都尽可能的安全。虽然TLS证书只是坚实的网站安全的一个组成部分，但它是最容易添加到网站的一个组成部分。

为什么TLS对WordPress用户很重要？

拥有一个安全证书，无论是TLS还是SSL，对WordPress用户来说都是绝对重要的。只在HTTP上运行你的网站，会使它容易被黑客窃取密码和凭证。如果你想使用HTTP/2，没有TLS，你将无法做到这一点。而且，如前所述，HTTPS为网站提供了SEO的好处，如果网站不安全，谷歌会对其进行惩罚。

一般的网站所有者，不仅仅是WordPress用户，需要关注通过SSL或TLS来保护他们的网站。这两种协议对于加密你的网站和它的用户之间的通信都非常好，而且都提供类似的好处。

TLS会影响我网站的性能吗？

基本上，没有。传输层安全不会明显影响你的网站的性能，或以任何可立即测量的方式。对于大多数用户来说，在加载时间上不会有明显的滞后。从技术上讲，TLS确实需要一些加载时间，但它与不安全的网站没有很大的区别。对最终用户来说，任何影响都可能是无法察觉的。规避潜在减速的干预措施包括TLS假启动和TLS会话恢复，这两种措施在加载安全网站时为终端用户提供捷径。

TLS与SSL之间有什么区别？

就结果而言，TLS和SSL提供了同样的东西：为你的网站提供加密的安全。在提到证书时，你可能会听到这两个术语交替使用。虽然从技术上讲，TLS和SSL是不一样的。两种协议都使用一个称为握手的过程来启动一个加密连接。基本上，两台机器要求看到对方的ID，当它检查出来时，他们就可以做生意了。

这就是技术上的相似之处了。每个加密协议都以不同的方式来达到相同的最终结果。

简而言之，TLS 1.3与SSL（以及旧的TLS标准）的现行标准包括减少延迟，以促进更快的加载时间，这对现在的每个网站来说都是必不可少的；消除传统的代码臃肿，以减少有人可能攻击你的网站的载体数量；在各点之间使用单一的握手，而不是多个，这再次减少了有人可能破坏你的安全的载体。

SSL于1995年首次发布，是TLS的前身。当涉及到安全漏洞时，SSL的所有三个迭代版本都被发现缺乏安全性。事实上，第一个版本从未公开发布过。后来，互联网工程任务组（IETF）废弃了所有版本的SSL。

即便如此，SSL这个词仍然被广泛用于描述网站用户需要获得的安全证书。但在大多数情况下，在幕后执行的实际协议是TLS。今天，TLS的1.2和1.3版本是两种协议（TLS vs SSL）中唯一尚未被IETF或主要浏览器废弃的版本。如果你想阅读更多关于TLS 1.3的技术复杂性以及它是如何工作的，Cloudflare有一篇很好的文章阐述了这些规格。

你的网站应该有TLS还是SSL？

多年来，SSL几乎已经完全被TLS所取代。尽管你仍然会看到 "SSL证书"比TLS证书更经常被提及，但使用的底层协议很可能是TLS。不管它被称为什么。

你的网站应该使用TLS，因为它现在是IETF批准的网站安全标准协议。你的虚拟主机可能会随主机提供SSL证书（或者你可能自己在其他地方得到一个），它可能仍然会通过该TLS协议运作，不管被称为SSL。如果你的目标是顶级的WordPress安全，那么你需要确保你的基础在这里被覆盖。

由于各种安全问题，SSL和旧版本的TLS需要在你网站的服务器端被禁用。如果你不习惯自己在服务器上工作，你可能想请你的网站主机或开发人员帮助你。毕竟，这是你付钱给他们的目的。确保废弃的SSL和TLS版本可以防止旧的协议被启用，进一步保护你的网站免受安全威胁和入侵。

两者如何？

由于两者的相似性、历史和有些令人费解的命名惯例，你可能想知道网站所有者是否需要同时使用SSL和TLS证书来适当保护他们的网站。 不，不需要。 如今，SSL和TLS证书做的是同样的事情。 证书本身并不能为你的网站提供安全保障。相反，它只是在后台启用TLS协议来完成其工作。这也进一步解释了为什么命名规则是混乱的，以保持与人们习惯听到的东西更加一致。

如何在你的WordPress网站上使用TLS

在你的WordPress网站上开始使用TLS是很容易的。首先，你需要获得一个TLS证书。有时，你会看到TLS与SSL证书交替使用。如果是这种情况，不要担心。它们都是安全的，而且都能有效地完成工作。

你可以找到这些安全证书的付费和免费选项。例如，一些著名的网站主机（如SiteGround）将SSL证书作为其标准主机套餐的一部分。你还可以从Cloudflare等内容交付网络（CDN）获得TLS证书。我们有一个关于如何获得免费SSL证书的完整介绍，我们强烈推荐。

如果你选择了一个免费的TLS或SSL证书，请确保你从一个值得信赖的来源获得它。在大多数情况下，免费的传输层安全证书与付费证书一样安全。然而，你很可能需要经常更新证书（如每90天），而且你可能无法获得网站安全所需的全面客户服务支持。如果你想开始使用，SSL For Free和ZeroSSL是两个可靠的免费资源。

WordPress的插件

如果你运行一个WordPress网站，你可以使用一个插件来保护你的网站。Really Simple SSL可以帮助你快速将网站迁移到HTTPS，而不需要大费周章。如果你有一个证书，但仍然需要一点帮助来正确重定向你的网站，你可以使用WP Force SSL & HTTPS Redirect。另外，WP Force SSL有一个付费的高级版本，也可以在重定向的同时处理SSL证书的安装。

搬主题提供插件的汉化中文版下载【Really Simple SSL Pro汉化中文版|网站SSL安全设置检测配置WordPress插件介绍】

运输层安全本质上是SSL的演变。两者都能提高你的网站和用户之间数据交换的安全性。它不会对网站性能产生不利影响，而且对大多数网站所有者来说，它很容易访问和安装。这在WordPress中尤其如此，你可以从许多伟大的插件中选择，为你做这项工作。

有了这么多的资源可以在你的WordPress网站上设置TLS，尽快让它运转起来是一个没有问题的事情。毕竟，为什么要拿你的用户的数据冒险？或者你的网站，对于这个问题。有了正确的工具和插件，你可以在短时间内保证你的网站安全，而且这种安心的感觉很值得你花时间投资。

如何在WordPress网站上使用TLS和SSL

在你的WordPress网站上使用TLS和SSL是相当容易的。首先，你需要获得证书（最常被称为SSL证书，我们已经提到）。有付费和免费两种选择。这意味着你可以以最适合你的预算和你经营的网站类型的方式获得证书。你所在的行业可能需要比免费证书更严格的安全和控制水平。如果是这种情况，你会希望寻找一个付费的SSL证书。

有几种不同的方法可以为你的WordPress网站获得SSL证书。所有这些都很容易。

• 从ZeroSSL或SSL For Free等来源获得一个免费的SSL证书（这些证书需要每90天手动更新一次，并且缺乏深入的客户服务支持）。
• 从提供SSL证书的公司购买虚拟主机，作为主机套餐的一部分，如SiteGround、Flywheel和Pressable。
• 通过使用CDN（如Cloudflare）来提高网站的安全性。
• 使用像Really Simple SSL这样的WordPress插件来实现你的SSL证书。

一旦你有了证书，你要确保你所有的链接都重定向到你的HTTPS网站，而不是HTTP。如果你不这样做，谷歌可能会因为你有一个不安全的网站而对你进行惩罚。这可以确保当用户试图访问你的网站时，你不会被标记出来。你可以使用一些WordPress插件来实现这一目标，如WP Force SSL & HTTPS Redirect。另外，你可以向你的虚拟主机或开发人员寻求帮助，以正确配置你的服务器重定向到HTTPS。一些301重定向插件和SEO插件也直接在其设置中提供这一功能。

最后总结

当你看到TLS与SSL和一个不同的参考资料时，他们其实既对又错。技术规格是不同的，但现在的名称是可以互换的。从本质上讲，他们指的是一个提供相同最终结果的标准。TLS协议已经取代了SSL，因为它更快、更安全。然而，在提到安全证书时，TLS和SSL这两个名字仍然可以互换。

记住，使用TLS的WordPress安全是相对简单的，远没有名称和.NET的名字那么令人困惑。

Tags：HTTP/2   Really Simple SSL   SSL   TLS   WordPress   WordPress教程   免费SSL证书

转载：感谢您对Jerbo个人博客网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处“来源Jerbo个人博客”。/web/wordpress/350.html

很赞哦！ ()