全站https

全站https
逐暗者背景
现在越来越多的网站开始使用https协议。相较于http协议,https能够加密浏览器和服务端之间的通信,防止通信数据遭他人窃取和串改。
静态网站也需要启用https吗?
静态网站是什么呢?那些只有html的静态网页组成的网站,基本上和服务器没有什么交互。客户端也不会发送账户名、密码、表单等各种数据给服务端。如此一来就有了上面的疑问,既然是静态的,几乎没有动态数据交互,那还用得着https吗?
但仔细一想,答案非常的明显:也是需要的!
我们可以看看常见的一些静态网页,例如w3school不也启用了https嘛。静态网站虽然没有动态数据交互,也就不存在通信数据遭他人窃取了,但是依然存在串改的可能。劫持者可以在你的静态网页上修改数据,嵌入广告或者钓鱼链接。所以还是有必要启用https的。
准备工作
证书
个人网站要启用https,首先需要准备证书。这是https协议中的一部分,具体原理不在这里详细说明了。通常可以有2种途径弄到证书。
- 第一种是自己生成。但是自己生成的证书很多浏览器都不认,会给出警告提示。虽然忽略警告就可以继续使用https和网站进行通信了,不过现在不是一个完美的解决方案。
- 第二种便是申请一个证书,由浏览器认可的第三方机构发布证书。虽然大部分是收费的服务,但面向个人也有免费的。
推荐 FreeSSL.cn
其中的TrustAsia品牌就可以提供给个人免费的证书申请,每年续期一次即可。
配置服务器
这里以nginx为例,需要先将证书导出crt和key文件。推荐使用keyManager软件可视化操作导出,可以省去不少命令。
然后修改nginx的配置
1 | ssl_certificate site.crt; |
最后记得调整nginx的监听端口,增加443。
1 | listen 443 ssl http2; |
同时开放防火墙和(阿里云)安全组的443端口。
这样我们的网站就可以使用https的了!不过这只是第一步。
强制使用https
上一步,我们把网站弄成了支持https的协议,但是网站依旧可以使用http的协议,这里我们需要强制使用https。
1 | if ($scheme = http) { |
这样我们访问http的时候会自动跳转到https。
绿锁
所谓的绿锁,就是除了网站要使用https协议之外,还需要满足以下几点。
- 网站证书是可以信任的。(通过上面的申请,我们的证书就是可以信任的。)
- 网站的所有资源访问都必须是https。也就是说,在https内的页面,访问的所有css、js、图片等资源都必须是https的,只要有任何一个资源不是https的就不是绿锁了。
通过chrome浏览器,可以轻松找到非https的资源。
评级
https还有一个评级。
启用HSTS(HTTP Strict Transport Security)并且设置时长超过180天,就会提升评级。
这个HSTS是干什么的呢?
它是chrome浏览器的一个功能,当网站设置了这个HSTS,浏览器就会记住,并且在有效期内无论网站是否使用https协议,浏览器与这个网站的交互都必须采用https协议。
也是强制使用https的一个功能。
尾声
至此,全站都采用了https协议。当然还有一些其他方面的设置,例如CDN服务也必须支持https,这方面免费的不是很多。目前个人在使用百度云,免费支持个人https协议,只需要把证书上传到百度云服务器配置上即可。