Come posso verificare il mio sito in modo tale che mostri una casella verde nella barra degli indirizzi di Chrome?

26

Come posso verificare il mio sito da Google Chrome in modo che abbia la casella verde nella barra degli indirizzi? Onestamente non so come farlo. Inoltre, devo chiedere a Google di verificarlo?

domains  web-hosting  https  security-certificate 
TwentyCharMax
fonte
7
Stai chiedendo del green che indica che il sito ha un certificato di sicurezza Extended Verification (EV) per HTTPS / SSL / TLS?
Stephen Ostermiller
@StephenOstermiller sì
TwentyCharMax,
8
Devi pagare per questo.
Evorlor,
12
Consente Encrypt non offre nemmeno certificati EV. È nelle loro FAQ: letsencrypt.org/docs/faq Offrono solo certificati di convalida del dominio (DV).
Stephen Ostermiller
5
@Alex NO, ottenere un certificato da LetsEncrypt non ti darà "la casella verde". Servire il tuo sito Web su HTTPS mostrerà un lucchetto nella maggior parte dei browser, ma "la casella verde" che mostra il nome della tua azienda verrà mostrata solo se possiedi un certificato EV, che LetsEncrypt non offre.
BlueCacti,

Risposte:

34

La "casella verde" nella barra degli indirizzi di Chrome non ha nulla a che fare con la verifica da parte di Google - come ha accennato Stephen nei commenti sulla tua domanda, è un'indicazione che il tuo sito ha un certificato di sicurezza con verifica estesa (EV).

La "scatola verde"

Questo è generalmente un prodotto SSL "premium" offerto da molti fornitori di certificati SSL. Per ottenere uno di questi certificati, il punto migliore da cui iniziare è di solito il tuo host web, in grado di gestire l'intero processo di generazione di una richiesta di firma del certificato, acquisto del certificato per te e installazione. A volte è possibile farlo da soli tramite il pannello di controllo dell'hosting Web, ma per farlo è necessario conoscerlo.

Se decidi di seguire il percorso per farlo da solo, la maggior parte dei fornitori di certificati affidabili dovrebbe essere in grado di fornirti un certificato EV. Questi includono aziende come Comodo, Thawte, Verisign e molti altri. In genere forniscono anche istruzioni per l'installazione su pannelli di controllo di hosting popolari.

Tim Malone
fonte
25
È anche importante ricordare che i certificati EV non sono rilasciati a persone fisiche.
Michael Hampton,
3
Un certificato EV viene concesso alle persone giuridiche solo dopo che la CA ha verificato che è consentito acquistare il certificato e che il dominio appartiene effettivamente all'entità legale. -> en.wikipedia.org/wiki/Extended_Validation_Certificate - Un certificato di convalida estesa (EV) è un certificato a chiave pubblica che dimostra l'entità legale che controlla un sito Web o un pacchetto software. L'ottenimento di un certificato EV richiede la verifica dell'identità dell'entità richiedente da parte di un'autorità di certificazione (CA).
BlueCacti,
30

Come ha affermato Tim Malone, questo è un tipo speciale di certificato SSL che di solito viene venduto a un premio dalle autorità di certificazione. Il tasso corrente è di solito almeno un paio di centinaia di dollari.

Ciò che Tim non ha menzionato, e parte del motivo del prezzo elevato, è che c'è un certo numero di pratiche burocratiche che devono essere presentate e verificate dalla CA da cui si sta acquistando il certificato. Questi documenti di solito includono la verifica che l'attività commerciale che richiede il certificato sia debitamente registrata con lo stato o il paese, convincere un dirigente dell'azienda a firmare la richiesta, e possibilmente altre cose. A differenza di altri certificati, non puoi semplicemente acquistarlo, effettuare una verifica automatica di cinque minuti e avere il certificato installato al massimo entro poche ore. Questi certificati sono chiamati "Extended Validation"

D. Strout
fonte
15

Penso che questa domanda meriti un po 'più di background ... Esistono diversi tipi di certificati SSL / TLS che possono essere emessi da un'autorità di certificazione (CA), che sostanzialmente agisce come un notaio, certificando che il dominio a cui si accede, è davvero il sito reale e lo stai accedendo in modo sicuro.

Quando accedi a un sito che utilizza HTTPS, il server del sito invierà il suo certificato SSL / TLS e che verrà controllato dal browser. Un "blocco verde" visualizzato indica che il certificato del sito è valido (firmato da un'autorità di certificazione) e che l'intero contenuto della pagina e la connessione sono crittografati. Un lucchetto verde indica che sei effettivamente connesso al vero server reale utilizzato da quel dominio.

L'altro tipo di "blocco verde" ha il nome dell'entità aziendale ed è un certificato SSL / TLS Extended Validation (EV) valido. Solo le aziende possono richiedere certificati EV, e ciò implica un processo di emissione più approfondito da parte di un'autorità di certificazione (CA) che in pratica si assicura che il sito google.com sia effettivamente di proprietà di Google, Inc.

Vedi la differenza tra i due: inserisci qui la descrizione dell'immagine

Spesso i siti Web statici che non sono molto complessi o che non memorizzano password o informazioni sensibili non hanno davvero bisogno (ma sono fortemente incoraggiati ) per crittografare il loro traffico utilizzando i certificati HTTPS e SSL. Come indicato in questa domanda, l'utilizzo di HTTPS non solo protegge la connessione , ma fornisce anche autenticità che è importante anche per semplici siti statici.

Per i siti Web personali, è possibile ottenere un normale certificato SSL / TLS DV (Domain Validation). Il modo per farlo dipende da dove è ospitato il tuo sito, ma l'essenziale è che devi creare una chiave privata (2048 bit per favore) e con essa creare un file di richiesta di firma del certificato (domainame.csr) da inviare a un CA per emettere / firmare un certificato. Dopo aver ottenuto il certificato pubblico firmato dalla CA e la chiave privata, si comunica al server Web dove si trovano e per utilizzare SSL / TSL, i dettagli variano a seconda della configurazione.

Puoi usare openssl.com per ottenere gratuitamente un regolare certificato SSL, a proposito. HTH

unknownprotocol
fonte
7
"Spesso i siti Web statici che non sono molto complessi o che non memorizzano password o informazioni sensibili non devono realmente crittografare il loro traffico utilizzando i certificati HTTPS e SSL." Le persone non sono d'accordo. Si noti inoltre che HTTP / 2 non è supportato da nessuno dei principali browser in modalità non crittografata, quindi se si desidera HTTP / 2, è necessario parlare HTTPS.
un CVn il
6
"Spesso i siti Web statici che non sono molto complessi o che non memorizzano password o informazioni sensibili non devono realmente crittografare il loro traffico utilizzando i certificati HTTPS e SSL." Se non stai crittografando ogni frammento di dati che colpisce il tuo server e me lo restituiscono, non ho davvero bisogno di darti il ​​mio traffico. Inoltre, qualsiasi tipo di sito Web subirà un colpo nelle classifiche di ricerca se non utilizzano HTTPS completo ovunque. Inoltre, c'è una nuova icona della barra degli indirizzi in arrivo in Chrome che dice "Not Secure" in rosso brillante con un triangolo di avviso se il dominio non esegue HTTPS. ---> i.imgur.com/ahR6dMg.png
dhaupin
1
@dhaupin Grazie. Il prossimo avviso "Not Secure" è una novità per me, dovrò leggere su questo. Ma anche i siti che usano certificati SSL non crittografano tutto il loro traffico (contenuto statico) ... diamine questo sito non serve tutto usando https.
unknownprotocol
1
@ MichaelKjörling So che è sempre meglio servire HTTPS, ma per alcuni semplici siti html solo informativi, penso che a volte il processo per ottenere un certificato di problemi CA sia più complicato di quanto valga la pena.
unknownprotocol
È perfettamente possibile utilizzare Stack Exchange quasi esclusivamente su HTTPS, attualmente ad eccezione dei meta siti specifici del sito e delle immagini inserite nei post dagli utenti in modo esplicito tramite HTTP. E il processo per ottenere un certificato DV SSL non è certamente laborioso, nemmeno prima di Let's Encrypt. I certificati EV sono un'altra questione, ma per molti siti i certificati EV non aggiungono un valore significativo; HTTPS invece di HTTP testo normale fa .
un CVn il
5

Altre risposte indicano come ottenere il certificato, ma non menzionare il fatto che i tuoi utenti devono utilizzare il tuo sito su HTTPS per vedere la barra verde anche dopo aver installato il certificato.

Se mostrare la verifica verde è importante per te e per il tuo sito, devi reindirizzare il tuo sito HTTP al tuo sito HTTPS in modo che gli utenti utilizzino sempre la versione HTTPS che ha la convalida.

Stephen Ostermiller
fonte
5
E se è davvero importante, dovresti configurare HSTS insieme a HTTPS.
un CVn il
Una volta iniziato con HTTPS, è necessario utilizzare un'intestazione HSTS in modo che i client che utilizzano il sito HTTP (non sicuro) inizieranno automaticamente a utilizzare la versione HTTPS. C'è un bel sito che mostrerà quali intestazioni ti mancano o hai configurato in modo errato: securityheaders.io
BlueCacti
1
@GroundZero Sì, dovresti usare HSTS. Ma non vedo come questo si aggiunge allo scopo della domanda. HSTS non è correlato a EV. La domanda riguarda in particolare l'EV. Allora potresti anche menzionare il precarico di HSTS. O pinzatura OCSP. O pinning delle chiavi. O anche questo o quello. E c'è molto di più che devi fare bene oltre a impostare solo un paio di intestazioni.
Num Lock,
-3

Se hai una firma SSL abilitata, vedrai sicuramente l'icona verde non solo in Google Chrome, ma anche in Firefox. Prova a ottenere un'integrazione HTTPS per il tuo sito Web. Sono abbastanza nuovo qui, quindi apparentemente non posso condividere alcun link per alcuni motivi. Tuttavia, puoi cercarlo su Google.

Mukul Sharma
fonte
Ci vuole più di un semplice certificato SSL per ottenere la barra verde. Prende specificamente un certificato di convalida estesa (EV).
Stephen Ostermiller
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.