超文本传输协议 (HTTP) 是一组规则,浏览器依据这些规则来决定如何通过 Web 读取和传输数据。当网址包含“http”时,浏览器便知道必须遵循此协议才能成功加载网页。
HTTPS 与 HTTP 一样,不过 HTTPS 会要求浏览器加密与网页交换的数据。加密技术可以对数据进行伪装,并可降低他人查看或操纵您信息的可能性。如果网站包含个人详细信息或财务信息等敏感数据,这一点至关重要。
设置 HTTPS
若要为您的域名使用 HTTPS,您需要在您的网站上安装 SSL 或 TLS 证书。您的网站托管提供商可能会提供 HTTPS 安全服务,或者您也可以向证书授权机构申请 SSL/TLS 证书并自行安装。SSL/TLS 证书可能需要定期续期。
网络服务器有各种不同的类型,每种类型都有自己的 SSL/TLS 证书安装和更新流程。您需要了解自己的网站在使用哪种网络服务器,并按照相应的说明安装和更新证书。
以下 Google 服务会自动颁发、安装 SSL/TLS 证书并续期,且无需额外费用:
许多第三方网站托管服务商也会颁发、安装和续订 SSL/TLS 证书。您可以将 Google Domains 与任何网站托管服务商搭配使用,包括 Bluehost、Shopify、Squarespace、Weebly 和 Wix。
如果您的网站托管服务商不提供 HTTPS 安全性,您可以从证书授权机构 (CA) 为您的网域获取 SSL/TLS 证书。Google 有自己的 CA,也就是 Google Trust Services。对于 Google Domains 客户,您可以按照网域的“安全性”页面上的说明操作,从 Google Trust Services 获取证书。
另一个可以提供证书的热门 CA 是 Let's Encrypt,其愿景是打造更安全的互联网。
获取证书后,您必须与您的网站托管服务商合作才能安装此证书。如果您在自己的服务器上托管网站,请了解如何启用 HTTPS。如果您使用自动证书管理环境 (ACME) 协议来管理证书,则可以按照以下步骤使用 ACME 和 DNS 管理证书。
如需从 Google Trust Services 获取证书,请按以下步骤操作:
- 登录 Google Domains。
- 选择要为其申请证书的网域。
- 在左上角,依次点按“菜单”图标 安全性。
- 在“您的网域的 SSL/TLS 证书”部分下,展开“Google Trust Services”。
- 点击获取 EAB 密钥。
- 系统会打开一个包含“EAB 密钥 ID”和“EAB HMAC 密钥”这 2 个值的对话框。
- 点按这两个值旁边的复制按钮,即可复制这两个值。
- 使用这 2 个值向 Google Trust Services CA 注册帐号。对于此 EAB 的指定方式,每个 ACME 客户端实现都会略有不同。请参阅您要使用的 ACME 客户端对应的文档。
- 下面是一个使用热门 Certbot ACME 客户端的配置示例。
- 如需注册帐号,请执行以下操作:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- 创建帐号后,您可以通过运行以下命令颁发证书:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- 如需注册帐号,请执行以下操作:
- 下面是一个使用热门 Certbot ACME 客户端的配置示例。
- 系统会打开一个包含“EAB 密钥 ID”和“EAB HMAC 密钥”这 2 个值的对话框。
使用 ACME 和 DNS 管理证书
自动证书管理环境 (ACME) 是一种通用协议,用于自动进行证书授权机构 (CA) 与服务器之间的证书管理。使用此自动化功能,很多用户都可以降低因无法续订 HTTPS 证书而导致服务中断的可能性。
ACME 协议使用质询来证明您拥有对域名的控制权。Google Domains 支持 DNS-01 质询类型,这种质询通过使用 API 令牌在 DNS 服务器上执行。
如需创建 API 令牌,请执行以下操作:
- 登录 Google Domains。
- 选择您想使用的域名。
- 在左上角,依次点按“菜单”图标 安全性。
- 在“ACME DNS API”部分下,点按创建令牌。
重要提示:此值仅显示一次。对话框关闭后,您将无法再找到此 API 令牌。由于拥有此令牌的任何人都可以修改您的网域的某些 DNS 记录,因此请将此令牌保存在安全的位置。
- 系统会打开一个包含“API 令牌”的对话框。
- 您需要将此 API 令牌输入您的 ACME 客户端。
- 如需复制此值,请点按 API 令牌旁边的复制按钮。
- 如果您没有在关闭对话框前保存此值,则可以轻松删除并创建新的 API 令牌。
- 每个网域一次只能拥有 10 个 API 令牌。
- 对话框关闭后,列表中会显示一条记录。如需撤消其访问权限,您可以随时删除此令牌。
- API 令牌可在支持 Google Domains ACME DNS API 的 ACME 客户端中使用。对于此 API 令牌的指定方式,每种 ACME 实现略有不同。请参阅您要使用的 ACME 客户端对应的文档。
- 系统会打开一个包含“API 令牌”的对话框。
保护您的 SSL/TLS 证书
HTTPS 有助于防止中间人 (MitM) 攻击,但如果有人能够冒充您的 SSL/TLS 证书,此类攻击仍有可乘之机。为防止出现这种情况,您应检查不认识的机构为您的网站颁发的证书。您还可以利用证书授权机构授权 (CAA) 资源记录限制谁可以为您的网域颁发证书。
查看为您的域名颁发的证书
如需查看为您的域名颁发的证书,您可以在 censys.io 上搜索。