背景

现在越来越多的网站开始使用https协议。相较于http协议，https能够加密浏览器和服务端之间的通信，防止通信数据遭他人窃取和串改。

静态网站也需要启用https吗？

静态网站是什么呢？那些只有html的静态网页组成的网站，基本上和服务器没有什么交互。客户端也不会发送账户名、密码、表单等各种数据给服务端。如此一来就有了上面的疑问，既然是静态的，几乎没有动态数据交互，那还用得着https吗？

但仔细一想，答案非常的明显：也是需要的！

我们可以看看常见的一些静态网页，例如w3school不也启用了https嘛。静态网站虽然没有动态数据交互，也就不存在通信数据遭他人窃取了，但是依然存在串改的可能。劫持者可以在你的静态网页上修改数据，嵌入广告或者钓鱼链接。所以还是有必要启用https的。

准备工作

证书

个人网站要启用https，首先需要准备证书。这是https协议中的一部分，具体原理不在这里详细说明了。通常可以有2种途径弄到证书。

• 第一种是自己生成。但是自己生成的证书很多浏览器都不认，会给出警告提示。虽然忽略警告就可以继续使用https和网站进行通信了，不过现在不是一个完美的解决方案。
• 第二种便是申请一个证书，由浏览器认可的第三方机构发布证书。虽然大部分是收费的服务，但面向个人也有免费的。

推荐 FreeSSL.cn
其中的TrustAsia品牌就可以提供给个人免费的证书申请，每年续期一次即可。

配置服务器

这里以nginx为例，需要先将证书导出crt和key文件。推荐使用keyManager软件可视化操作导出，可以省去不少命令。

然后修改nginx的配置

1
2
3
4
5
6

ssl_certificate            site.crt;
    ssl_certificate_key        site.key;
    ssl_prefer_server_ciphers  on;
    ssl_protocols              TLSv1.2 TLSv1.1;
    ssl_session_cache          shared:SSL:5m;
    ssl_session_timeout        5m;

最后记得调整nginx的监听端口，增加443。

1

listen                     443 ssl http2;

同时开放防火墙和（阿里云）安全组的443端口。
这样我们的网站就可以使用https的了！不过这只是第一步。

强制使用https

上一步，我们把网站弄成了支持https的协议，但是网站依旧可以使用http的协议，这里我们需要强制使用https。

1
2
3

if ($scheme = http) {
        return  301 https://$host$request_uri;
    }

这样我们访问http的时候会自动跳转到https。

绿锁

所谓的绿锁，就是除了网站要使用https协议之外，还需要满足以下几点。

1. 网站证书是可以信任的。（通过上面的申请，我们的证书就是可以信任的。）
2. 网站的所有资源访问都必须是https。也就是说，在https内的页面，访问的所有css、js、图片等资源都必须是https的，只要有任何一个资源不是https的就不是绿锁了。

通过chrome浏览器，可以轻松找到非https的资源。

评级

https还有一个评级。

启用HSTS（HTTP Strict Transport Security）并且设置时长超过180天，就会提升评级。

这个HSTS是干什么的呢？
它是chrome浏览器的一个功能，当网站设置了这个HSTS，浏览器就会记住，并且在有效期内无论网站是否使用https协议，浏览器与这个网站的交互都必须采用https协议。
也是强制使用https的一个功能。

尾声

至此，全站都采用了https协议。当然还有一些其他方面的设置，例如CDN服务也必须支持https，这方面免费的不是很多。目前个人在使用百度云，免费支持个人https协议，只需要把证书上传到百度云服务器配置上即可。