全站https

背景

现在越来越多的网站开始使用https协议。相较于http协议,https能够加密浏览器和服务端之间的通信,防止通信数据遭他人窃取和串改。

静态网站也需要启用https吗?

静态网站是什么呢?那些只有html的静态网页组成的网站,基本上和服务器没有什么交互。客户端也不会发送账户名、密码、表单等各种数据给服务端。如此一来就有了上面的疑问,既然是静态的,几乎没有动态数据交互,那还用得着https吗?

但仔细一想,答案非常的明显:也是需要的!

我们可以看看常见的一些静态网页,例如w3school不也启用了https嘛。静态网站虽然没有动态数据交互,也就不存在通信数据遭他人窃取了,但是依然存在串改的可能。劫持者可以在你的静态网页上修改数据,嵌入广告或者钓鱼链接。所以还是有必要启用https的。

准备工作

证书

个人网站要启用https,首先需要准备证书。这是https协议中的一部分,具体原理不在这里详细说明了。通常可以有2种途径弄到证书。

  • 第一种是自己生成。但是自己生成的证书很多浏览器都不认,会给出警告提示。虽然忽略警告就可以继续使用https和网站进行通信了,不过现在不是一个完美的解决方案。
  • 第二种便是申请一个证书,由浏览器认可的第三方机构发布证书。虽然大部分是收费的服务,但面向个人也有免费的。

推荐 FreeSSL.cn
其中的TrustAsia品牌就可以提供给个人免费的证书申请,每年续期一次即可。

配置服务器

这里以nginx为例,需要先将证书导出crt和key文件。推荐使用keyManager软件可视化操作导出,可以省去不少命令。

然后修改nginx的配置

1
2
3
4
5
6
ssl_certificate            site.crt;
ssl_certificate_key site.key;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1.2 TLSv1.1;
ssl_session_cache shared:SSL:5m;
ssl_session_timeout 5m;

最后记得调整nginx的监听端口,增加443。

1
listen                     443 ssl http2;

同时开放防火墙和(阿里云)安全组的443端口。
这样我们的网站就可以使用https的了!不过这只是第一步。

强制使用https

上一步,我们把网站弄成了支持https的协议,但是网站依旧可以使用http的协议,这里我们需要强制使用https。

1
2
3
if ($scheme = http) {
return 301 https://$host$request_uri;
}

这样我们访问http的时候会自动跳转到https。

绿锁

所谓的绿锁,就是除了网站要使用https协议之外,还需要满足以下几点。

  1. 网站证书是可以信任的。(通过上面的申请,我们的证书就是可以信任的。)
  2. 网站的所有资源访问都必须是https。也就是说,在https内的页面,访问的所有css、js、图片等资源都必须是https的,只要有任何一个资源不是https的就不是绿锁了。

通过chrome浏览器,可以轻松找到非https的资源。

评级

https还有一个评级。

启用HSTS(HTTP Strict Transport Security)并且设置时长超过180天,就会提升评级。

这个HSTS是干什么的呢?
它是chrome浏览器的一个功能,当网站设置了这个HSTS,浏览器就会记住,并且在有效期内无论网站是否使用https协议,浏览器与这个网站的交互都必须采用https协议。
也是强制使用https的一个功能。

尾声

至此,全站都采用了https协议。当然还有一些其他方面的设置,例如CDN服务也必须支持https,这方面免费的不是很多。目前个人在使用百度云,免费支持个人https协议,只需要把证书上传到百度云服务器配置上即可。