HTTPS的全民时代

进入全民https时代

不知道你是不是注意到这样一个现象,当我们访问网站时,一些http的网址,会被浏览器认为是不安全的,而https的网站确实安全的。

http.png
https.png

无论你是用户,还是企业或个人开发者,都希望你的站点或你访问的站点能更加安全。那么在这个全民https的年代,让我们一起把自己的网站绿(安全)起来吧。

简介

  • 为什么HTTPS会突然受到青睐?

    大多数情况是运营商HTTP劫持,当我们使用HTTP请求请求一个网站页面的时候,网络运营商会在正常的数据流中插入精心设计的网络数据报文,让客户端(通常是浏览器)展示“错误”的数据,通常是一些弹窗,宣传性广告或者直接显示某网站的内容。

  • 什么是HTTP劫持?

    DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务或诈骗钱财的目的。

  • HTTP为什么会被劫持?

    HTTP在传输的过程中使用的是明文!

什么是https

超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。

HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。

HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。这个协议由网景公司(Netscape)在1994年首次提出,随后扩展到互联网上。

来自维基百科

HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的防护。

与http的差异

与HTTP的URL由http://起始且默认使用端口80不同,HTTPS的URL由https://起始且默认使用端口443

http使用TCP 三次握手建立连接,客户端和服务器需要交换3个包,https除了 TCP 的三个包,还要加上 SSL握手需要的9个包,所以一共是12个包。一般开启了SSL会增加内存、CPU、网络带宽的开销。

HTTP是不安全的,且攻击者通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等。HTTPS被设计为可防止前述攻击,并在正确配置时被认为是安全的。

HTTP协议和安全协议同属于应用层(OSI模型的最高层),具体来讲,安全协议工作在HTTP之下,运输层之上:安全协议向运行HTTP的进程提供一个类似于TCP的套接字,供进程向其中注入报文,安全协议将报文加密并注入运输层套接字;或是从运输层获取加密报文,解密后交给对应的进程。严格地讲,HTTPS并不是一个单独的协议,而是对工作在一加密连接(TLS或SSL)上的常规HTTP协议的称呼。

HTTPS报文中的任何东西都被加密,包括所有报头和荷载。除了可能的选择密文攻击(参见限制小节)之外,一个攻击者所能知道的只有在两者之间有一连接这一事实。

通常使用的是RSA非对称加密算法加密算法。

证书的分类

  • 域名型 SSL 证书(DV SSL)
  • 企业型 SSL 证书(OV SSL)
  • 增强型 SSL 证书(EV SSL)

详情的可以参考各个厂商的介绍,反正越贵越好就对了

各大服务商都有卖SSL证书的服务,比如阿里云、亚马逊等等。

img

嗯 价格感人。当然有可以免费使用一年的证书。有阿里服务器的可以申请一个。

当然土豪随意......

使用免费的开源的证书

市面上有些免费的https 证书,但有些证书浏览器并不太认可,当访问网站时依然会报警。

所以这里我们推荐使用 Let's Encrypt 这款免费的证书

这里官网letsencrypt.org

letsEncrypt.png

Let's Encrypt

Let's Encrypt 是一个于2015年三季度推出的数字证书认证机构,将通过旨在消除当前手动创建和安装证书的复杂过程的自动化流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书。[1][2] Let's Encrypt 是由互联网安全研究小组(ISRG,一个公益组织)提供的服务。主要赞助商包括电子前哨基金会,Mozilla基金会,Akamai以及思科。2015年4月9日,ISRG与Linux基金会宣布合作。[3] 用以实现这一新的数字证书认证机构的协议被称为自动证书管理环境(ACME)。[4] GitHub上有这一规范的草案,[4][5]且提案的一个版本已作为一个Internet草案发布。[6] Let's Encrypt 宣称这一过程将十分简单、自动化并且免费。[7]

所以... 它是免费的,有强大的基金支持,我们可以放心大胆的使用免费的证书。

Certbot

网上许多的 Let's Encrypt 教程,普遍安装起来比较麻烦,这里我推荐使用github上的一款非常方便的工具certbot

github.com/certbot/certbot

这个安装起来非常的傻瓜,大概只要三四步基本就搞定了。

接下来我们开始安装。

Install

首先找一个目录把Certbot给clone下来,如果服务器没有git,那么在github上下载最新的master.zip包就好了,然后解压进入certbot目录:

这里以nsini.com为例

执行命令:

$ ./certbot-auto --nginx -d example.com -d www.example.com -d static.example.com -d storage.example.com -d wechat.example.com 

如果您使用的是apache服务,那么把 --nginx 修改 成 --apache 就行了,具体配制请查看官网。-d 后面可以跟多个域名,最多支持100个子域名使用这个证书

然后它会让你同意一些协议啥的,选择 A同意。

然后选择 Y 如果不同意,那就生成不了了。

如果上面的不成功您可以试试以下命令:

./certbot-auto certonly --standalone --email yourmail@example.com -d example.com -d www.example.com -d other.example.net

注意: 你的域名、子域名必须解析了,并且能访问。否则可能生成失败

当一切顺利并且没报错的话,应该是生成成功了。

然后在你的 /etc/letsencrypt/live/example.com/ 目录下就能看到你所生成的证书了。

img

把证书配制到nginx

我服务器使用的是Nginx,所以这里以nginx配制为代理,apache或其他代理服务的请自行google。

打开你网站的nginx配制:

server {
    listen 443 ssl;
    
    server_name example.com www.example.com;
    
   ssl on;
   ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
   ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
   ssl_session_timeout 5m;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
   ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
   ssl_prefer_server_ciphers on;
   ssl_dhparam /etc/ssl/certs/dhparam.pem;
   ssl_stapling on;
   ssl_stapling_verify on;
}

配制就这么简单,然后重启你的nginx服务,一会你的网站就绿起来了(⁎⁍̴̛ᴗ⁍̴̛⁎)

如果需要把访问:80端口的浏量全部转发到:443的话,需要新建一个:80端口的文件或在新增加一个server{}具体代码如下:

server {
    listen       80;
    server_name  example.com www.example.com;

    location / {
        return 301 https://$host$request_uri;
    }
}

注意

这个证书有一个问题,那就是每三个月需要重新生成一次,证书的有效期是90天。

网上有也许多的自动生成的动配,其实比较简单。就是把刚刚那几个命令再执行一下就好了。具体不再赘述。

结语

https是大势所趋, 无论是个人站点还是企业站点都值得去升级。

https所能带来的好处很多,比如防止劫持,防止信息泄漏等等。再者,对用户也好,当用户看到绿色的"安全"两个字后至少心理上会对这个站点更加放心一些。

最后希望大家都能升级https站点,真正做到全民https。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349

推荐阅读更多精彩内容

  • 原文地址 http://blog.csdn.net/u012409247/article/details/4985...
    0fbf551ff6fb阅读 3,516评论 0 13
  • 相关知识 HTTP/HTTPS 是什么? 简单来说,HTTP 是一个传输网页内容的协议,比如我们浏览一个网页,网页...
    SuzeKii阅读 1,007评论 0 0
  • 一、作用 不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三大风险。 (1)窃听风险...
    XLsn0w阅读 10,498评论 2 44
  • 下午下班,照旧去市场买菜做饭。买了几年的菜了依旧为每天买什么菜而烦恼。逛了一圈不知所措,走出门外百度孕妇食谱...
    蓝永强阅读 547评论 0 0
  • 大学没毕业我们就住一起了,到现在三年啦,是彼此生活目前为止没有血缘这么朝夕相处接触时间最长的一群人了吧 性格各异,...
    Edan_阅读 459评论 0 0