2026年了,没有SSL证书的网站基本等于"不可信"。Chrome浏览器会直接标记为"不安全",Google也把HTTPS列为排名因素。对外贸站来说,SSL证书是标配中的标配。
什么是SSL证书
简单说,SSL证书就是让你的网站从http://变成https://,加上那个小锁标志。它的作用:
- 加密用户和网站之间的数据传输
- 防止数据被中间人窃取
- 提升搜索引擎排名
- 增加用户信任度
SSL证书类型
| 类型 | 验证内容 | 签发时间 | 费用 | 适合 |
|---|---|---|---|---|
| DV(域名验证) | 仅验证域名所有权 | 几分钟 | 免费-$50/年 | 个人站/小型站 |
| OV(组织验证) | 验证企业身份 | 1-3天 | $50-200/年 | 中型企业站 |
| EV(扩展验证) | 严格验证企业 | 3-7天 | $200-1000/年 | 金融/大型电商 |
| 通配符 | 覆盖所有子域名 | 视类型 | $50-500/年 | 多子域名站 |
免费SSL方案
Let’s Encrypt
最主流的免费SSL证书,由非营利组织发行。
# 使用Certbot安装(Ubuntu + Nginx)
sudo apt update
sudo apt install certbot python3-certbot-nginx
# 自动获取并配置SSL证书
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
# 测试自动续期
sudo certbot renew --dry-run
# Let's Encrypt证书有效期90天,Certbot会自动续期
优势:
- 完全免费
- 自动续期
- 被所有主流浏览器信任
- 安装简单
劣势:
- 只支持DV验证
- 证书90天有效期(需要自动续期)
- 没有保险赔偿
Cloudflare SSL
如果你用Cloudflare做CDN,可以直接用它的免费SSL。
设置方法:
1. 网站接入Cloudflare
2. SSL/TLS → Overview
3. 选择加密模式:
- Flexible:Cloudflare到你的服务器不加密
- Full:Cloudflare到服务器也加密(需要服务器有证书)
- Full (Strict):最安全,服务器需要有效证书
推荐用Full (Strict)模式配合Cloudflare的Origin Certificate,详细配置看Cloudflare CDN配置教程。
其他免费方案
| 方案 | 特点 |
|---|---|
| ZeroSSL | 类似Let’s Encrypt,有Web界面 |
| 主机商自带 | SiteGround/Hostinger等自带免费SSL |
| Cloudflare Origin | 最长15年有效期(仅限CF代理) |
付费SSL方案
| 品牌 | DV价格 | OV价格 | EV价格 | 特点 |
|---|---|---|---|---|
| DigiCert | - | $268/年 | $398/年 | 行业标准 |
| Comodo/Sectigo | $7/年 | $68/年 | $178/年 | 性价比高 |
| GlobalSign | $249/年 | $349/年 | $599/年 | 企业级 |
| GeoTrust | $149/年 | $245/年 | $344/年 | 老牌 |
什么时候需要付费SSL
免费SSL就够用的场景(99%的外贸站):
✓ 一般的B2C电商站
✓ 企业展示站
✓ 博客/内容站
✓ B2B询盘站
需要考虑付费SSL的场景:
△ 大型电商平台(日交易额>$10000)
△ 金融相关服务
△ 需要EV证书显示公司名
△ 合规要求(某些行业必须OV/EV)
安装SSL证书的完整流程
方案一:Certbot + Nginx
# 1. 安装Certbot
sudo apt install certbot python3-certbot-nginx
# 2. 获取证书
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
# 3. 验证配置
# Certbot会自动修改Nginx配置,添加SSL相关设置
# 4. 设置自动续期
sudo crontab -e
# 添加以下行(每天凌晨2点检查)
0 2 * * * /usr/bin/certbot renew --quiet
# 5. 测试SSL
# 访问 https://www.ssllabs.com/ssltest/
# 输入你的域名检查SSL评分
方案二:宝塔面板
1. 登录宝塔面板
2. 网站 → 对应站点 → SSL
3. 选择Let's Encrypt
4. 输入域名
5. 点击申请
6. 勾选"强制HTTPS"
方案三:Shopify/SaaS平台
Shopify、Wix等SaaS建站平台自带SSL,不需要手动配置。绑定域名后自动启用。
WordPress HTTPS配置
SSL证书安装好后,WordPress还需要做一些设置:
1. 修改WordPress地址:
设置 → 常规
WordPress地址(URL):https://yourdomain.com
站点地址(URL):https://yourdomain.com
2. 强制HTTPS重定向(Nginx配置):
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$server_name$request_uri;
}
3. 修复混合内容:
安装Really Simple SSL插件,一键修复
或手动替换数据库中的http://为https://
SSL安全加固
装好SSL证书只是第一步,还需要做安全加固:
Nginx SSL安全配置:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
# HSTS(HTTP严格传输安全)
add_header Strict-Transport-Security "max-age=63072000" always;
常见问题
Q:免费SSL和付费SSL在安全性上有区别吗? 加密强度一样,没有区别。付费SSL多的是验证级别(OV/EV)和商业保险。
Q:SSL证书会影响网站速度吗? 现代的TLS 1.3协议几乎没有性能影响,甚至因为HTTP/2的加持反而可能更快。
Q:一个证书能用在多个域名吗? 可以,SAN证书支持多域名,通配符证书支持所有子域名。
更多关于外贸站安全和服务器配置的内容,可以看外贸建站服务器推荐和用VPS搭建外贸独立站。
写在最后
对绝大多数外贸站来说,Let’s Encrypt + Cloudflare的组合就是最佳方案,完全免费、自动续期、安全性达标。不需要在SSL上花冤枉钱。把省下的钱投到产品和推广上,回报更大。