Jak mogę zweryfikować swoją witrynę, aby wyświetlała zielone pole na pasku adresu Chrome?

26

Jak mogę zweryfikować swoją witrynę przez Google Chrome, aby miała zielone pole na pasku adresu? Naprawdę nie wiem jak to zrobić. Czy muszę też poprosić Google o weryfikację?

TwentyCharMax
źródło
7
Czy pytasz o zielony, który wskazuje, że witryna ma certyfikat bezpieczeństwa Extended Verification (EV) dla HTTPS / SSL / TLS?
Stephen Ostermiller
@StephenOstermiller tak
TwentyCharMax
8
Musisz za to zapłacić.
Evorlor,
12
Lets Encrypt nawet nie oferuje certyfikatów EV. To jest w ich FAQ: letsencrypt.org/docs/faq Oferują tylko certyfikaty walidacji domen (DV).
Stephen Ostermiller
5
@Alex NO, uzyskanie certyfikatu z LetsEncrypt nie da ci „zielonego pola”. Udostępnianie witryny przez HTTPS spowoduje wyświetlenie blokady w większości przeglądarek, ale „zielone pole” pokazujące nazwę Twojej firmy zostanie wyświetlone tylko wtedy, gdy posiadasz certyfikat EV, którego LetsEncrypt nie oferuje.
BlueCacti

Odpowiedzi:

34

„Zielone pole” na pasku adresu Chrome nie ma nic wspólnego z weryfikacją przez Google - jak wspomniał Stephen w komentarzach do pytania, oznacza to, że Twoja witryna ma certyfikat bezpieczeństwa Extended Verification (EV).

„Zielone pudełko”

Zazwyczaj jest to „premium” produkt SSL oferowany przez wielu dostawców certyfikatów SSL. Aby uzyskać jeden z tych certyfikatów, najlepszym miejscem do rozpoczęcia jest zazwyczaj Twój hosting, który może obsłużyć cały proces generowania żądania podpisania certyfikatu, zakupu certyfikatu dla Ciebie i jego instalacji. Czasami można to zrobić samodzielnie za pomocą panelu sterowania hostingu, ale musisz to zrobić, aby to zrobić.

Jeśli zdecydujesz się pójść tą drogą samemu, większość zaufanych dostawców certyfikatów powinna być w stanie dostarczyć Ci certyfikat EV. Należą do nich takie firmy jak Comodo, Thawte, Verisign i wiele innych. Zazwyczaj zawierają one również instrukcje dotyczące instalacji popularnych paneli kontrolnych hostingu.

Tim Malone
źródło
25
Należy również wspomnieć, że certyfikaty EV nie są wydawane osobom fizycznym.
Michael Hampton,
3
Certyfikat EV jest przyznawany podmiotom prawnym dopiero po zweryfikowaniu przez urząd certyfikacji, że możesz kupić certyfikat, a domena rzeczywiście należy do podmiotu prawnego. -> en.wikipedia.org/wiki/Extended_Validation_Certificate - Extended Validation Certificate (EV) to certyfikat klucza publicznego, który potwierdza, że ​​osoba prawna kontroluje witrynę internetową lub pakiet oprogramowania. Uzyskanie certyfikatu EV wymaga weryfikacji tożsamości podmiotu wnioskującego przez urząd certyfikacji (CA).
BlueCacti
30

Jak powiedział Tim Malone, jest to specjalny rodzaj certyfikatu SSL, który zwykle jest sprzedawany z premią przez urzędy certyfikacji. Obecna stawka wynosi zwykle co najmniej kilkaset dolarów.

Tym, o czym Tim nie wspomniał, a jedną z przyczyn podwyższonej ceny jest to, że wiąże się to z pewną ilością dokumentów, które należy złożyć i sprawdzić przez urząd certyfikacji, od którego kupujesz certyfikat. Ta dokumentacja zwykle obejmuje sprawdzenie, czy firma wnioskująca o certyfikat jest należycie zarejestrowana w państwie lub kraju, uzyskanie od firmy dyrektora do podpisania się na żądanie i ewentualnie innych rzeczy. W przeciwieństwie do innych certyfikatów, nie można go po prostu kupić, wykonać pięciominutową automatyczną weryfikację i zainstalować certyfikat w ciągu kilku godzin. Certyfikaty te nazywane są „Extended Validation”

D. Strout
źródło
15

Myślę, że to pytanie zasługuje na nieco więcej tła ... Istnieją różne rodzaje certyfikatów SSL / TLS, które mogą być wydawane przez urząd certyfikacji (CA), który zasadniczo działa jak notariusz, potwierdzający, że domena, do której masz dostęp, jest naprawdę prawdziwa strona i masz do niej bezpieczny dostęp.

Po uzyskaniu dostępu do witryny korzystającej z protokołu HTTPS serwer tej witryny wyśle ​​certyfikat SSL / TLS i zostanie sprawdzony przez przeglądarkę. Pojawienie się „zielonej blokady” oznacza, że ​​certyfikat witryny jest ważny (podpisany przez urząd certyfikacji), a cała zawartość strony i połączenia jest szyfrowana. Zielona kłódka oznacza, że ​​jesteś rzeczywiście podłączony do rzeczywistego serwera używanego przez tę domenę.

Drugi rodzaj „zielonej blokady” ma nazwę podmiotu biznesowego i jest ważnym certyfikatem SSL / TLS Extended Validation (EV). Jedynie przedsiębiorstwa mogą ubiegać się o certyfikaty EV, a te wiążą się bardziej dokładny proces wydający przez urząd certyfikacji (CA), który w zasadzie naprawdę sprawia pewien, że strona google.com jest w rzeczywistości własnością Google, Inc.

Zobacz różnicę między nimi: wprowadź opis zdjęcia tutaj

Często statyczne witryny internetowe, które nie są bardzo złożone lub nie przechowują haseł lub poufnych informacji, tak naprawdę nie potrzebują (ale są zachęcane ) do szyfrowania ruchu przy użyciu certyfikatów HTTPS i SSL. Jak stwierdzono w tym pytaniu, użycie HTTPS nie tylko zabezpiecza połączenie , ale także zapewnia autentyczność, która jest ważna nawet w przypadku prostych witryn statycznych.

W przypadku witryn prywatnych można uzyskać zwykły certyfikat DV (walidacja domeny) SSL / TLS. Sposób na zrobienie tego zależy od tego, gdzie twoja witryna jest hostowana, ale przede wszystkim musisz utworzyć klucz prywatny (proszę 2048-bitowy), a wraz z nim utworzyć plik żądania podpisania certyfikatu (domainame.csr), aby wysłać go do Urząd wystawiający / podpisujący certyfikat. Po uzyskaniu certyfikatu publicznego podpisanego przez urząd certyfikacji i klucza prywatnego informujesz serwer WWW, gdzie się znajdują, a aby użyć protokołu SSL / TSL, szczegóły różnią się w zależności od konfiguracji.

Możesz skorzystać z witryny openssl.com, aby uzyskać zwykły certyfikat SSL za darmo, przy okazji. HTH

nieznany protokół
źródło
7
„Często statyczne witryny internetowe, które nie są zbyt skomplikowane, nie przechowują haseł ani poufnych informacji, nie muszą tak naprawdę szyfrować ruchu przy użyciu certyfikatów HTTPS i SSL”. Ludzie się nie zgadzają. Należy również pamiętać, że HTTP / 2 nie jest obsługiwany przez jedną z głównych przeglądarek w trybie niezaszyfrowanej, więc jeśli chcesz HTTP / 2, to mają mówić HTTPS.
CVn
6
„Często statyczne witryny internetowe, które nie są zbyt skomplikowane, nie przechowują haseł ani poufnych informacji, nie muszą tak naprawdę szyfrować ruchu przy użyciu certyfikatów HTTPS i SSL”. Jeśli nie szyfrujesz wszystkich strzępów danych, które trafiają na twój serwer i do mnie, to tak naprawdę nie muszę zapewniać ci ruchu. Ponadto, każda strona internetowa będzie hitem w rankingach wyszukiwania, jeśli nie wszędzie będą korzystać z pełnego HTTPS. Ponadto w Chrome pojawia się nowa ikona paska adresu z napisem „Niezabezpieczone” w kolorze jasnoczerwonym z trójkątem ostrzegawczym, jeśli domena nie obsługuje protokołu HTTPS. ---> i.imgur.com/ahR6dMg.png
dhaupin
1
@dhaupin Thanks. Nadchodzące ostrzeżenie „Niezabezpieczone” to dla mnie wiadomość, muszę o tym poczytać. Ale nawet witryny korzystające z certyfikatów SSL nie szyfrują całego ruchu (zawartość statyczna) ... cholera, ta witryna nie obsługuje wszystkiego przy użyciu protokołu https.
unknownprotocol
1
@ MichaelKjörling Wiem, że zawsze lepiej jest obsługiwać HTTPS, ale w przypadku niektórych zwykłych witryn html zawierających wyłącznie informacje, czasem proces uzyskiwania certyfikatu wystawienia urzędu certyfikacji jest bardziej kłopotliwy niż warty.
unknownprotocol
Zupełnie możliwe jest używanie Stack Exchange prawie wyłącznie przez HTTPS, obecnie z wyjątkiem witryn Meta specyficznych dla witryny i obrazów umieszczanych w postach przez użytkowników jawnie przez HTTP. A proces uzyskiwania certyfikatu DV SSL z pewnością nie jest pracochłonny, nawet przed Let's Encrypt. Certyfikaty EV to inna sprawa, ale w wielu witrynach certyfikaty EV nie wnoszą znaczącej wartości; W przeciwieństwie do zwykłego protokołu HTTP działa HTTPS .
CVn
5

Inne odpowiedzi mówią, jak uzyskać certyfikat, ale nie wspominaj, że użytkownicy muszą korzystać z Twojej witryny przez HTTPS, aby zobaczyć zielony pasek nawet po zainstalowaniu certyfikatu.

Jeśli pokazanie zielonej weryfikacji jest ważne dla Ciebie i Twojej witryny, powinieneś przekierować swoją stronę HTTP na swoją stronę HTTPS, aby użytkownicy zawsze używali wersji HTTPS, która ma sprawdzanie poprawności.

Stephen Ostermiller
źródło
5
A jeśli to naprawdę ważne, powinieneś skonfigurować HSTS wraz z HTTPS.
CVn
Po uruchomieniu HTTPS powinieneś użyć nagłówka HSTS, aby klienci korzystający z (niezabezpieczonej) witryny HTTP automatycznie zaczęli korzystać z wersji HTTPS. Jest ładna strona, która pokaże, które nagłówki brakuje lub zostały niepoprawnie skonfigurowane: securityheaders.io
BlueCacti
1
@GroundZero Tak, powinieneś użyć HSTS. Ale nie rozumiem, jak to zwiększa zakres pytania. HSTS nie jest związany z EV. Pytanie dotyczy konkretnie EV. W takim razie możesz równie dobrze wspomnieć o wstępnym ładowaniu HSTS. Lub zszywanie OCSP. Lub przypinanie kluczy. Albo to czy tamto. I nie jest tak dużo więcej trzeba zrobić prawo niż po prostu ustawienie kilka nagłówków.
Num Lock
-3

Jeśli masz włączony podpis SSL, z pewnością zobaczysz zieloną ikonę nie tylko w Google Chrome, ale także w Firefoksie. Spróbuj uzyskać integrację HTTPS dla swojej witryny. Jestem tu dość nowy, więc z jakichś powodów nie mogę udostępniać żadnych linków. Możesz jednak go wylogować.

Mukul Sharma
źródło
Uzyskanie zielonego paska wymaga więcej niż dowolnego certyfikatu SSL. W szczególności wymaga certyfikatu rozszerzonej weryfikacji (EV).
Stephen Ostermiller