如何免費的讓網站啟用HTTPS
今天,我把CoolShell變成https的安全訪問了。我承認這件事有點晚了,因為之前的HTTP的問題也有網友告訴我,被國內的電信運營商在訪問我的網站時加入了一些彈窗廣告。另外,HTTP的網站在搜尋引擎中的rank會更低。所以,這事早就應該幹了。現在用HTTP訪問CoolShell會被得到一個 301 的HTTPS的跳轉。下面我分享一下啟用HTTPS的過程。
我用的是 Let’s Encrypt這個免費的解決方案。Let’s Encrypt 是一個於2015年推出的數字證書認證機構,將通過旨在消除當前手動建立和安裝證書的複雜過程的自動化流程,為安全網站提供免費的SSL/TLS證書。這是由網際網路安全研究小組
2015年6月,Let’s Encrypt得到了一個儲存在硬體安全模組中的離線的RSA根證書。這個由IdenTrust證書籤發機構交叉簽名的根證書被用於簽署兩個證書。其中一個就是用於簽發請求的證書,另一個則是儲存在本地的證書,這個證書用於在上一個證書出問題時作備份證書之用。因為IdenTrust的CA根證書目前已被預置於主流瀏覽器中,所以Let’s Encrypt簽發的證書可以從專案開始就被識別並接受,甚至當使用者的瀏覽器中沒有信任ISRG的根證書時也可以。
以上介紹文字來自 Wikipedia 的 Let’s Encrypt 詞條。
為你的網站來安裝一個證書十分簡單,只需要使用電子子前哨基金會EFF的 Certbot,就可以完成。
2)在那個機器上圖示下面,你需要選擇一下你用的 Web 接入軟體 和你的 作業系統。比如,我選的,nginx 和 Ubuntu 14.04
3)然後就會跳轉到一個安裝教程網頁。你就照著做一遍就好了。
以Coolshell.cn為例 – Nginx + Ubuntu
首先先安裝相應的環境:
$ sudo apt-get update $ sudo apt-get install software-properties-common $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update $ sudo apt-get install python-certbot-nginx
然後,執行如下命令:
$ sudo certbot --nginx
certbot 會自動檢查到你的 nginx.conf 下的配置,把你所有的虛擬站點都列出來,然後讓你選擇需要開啟 https 的站點。你就簡單的輸入列表編號(用空格分開),然後,certbot 就幫你下載證書並更新 nginx.conf 了。
你開啟你的 nginx.conf 檔案 ,你可以發現你的檔案中的 server 配置中可能被做了如下的修改:
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell.cn/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell.cn/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
和
# Redirect non-https traffic to https
if ($scheme != "https") {
return 301 https://$host$request_uri;
} # managed by Certbot
這裡建議配置 http2,這要求 Nginx 版本要大於 1.9.5。HTTP2 具有更快的 HTTPS 傳輸效能,非常值得開啟(關於效能你可以看一下這篇文章)。需要開啟HTTP/2其實很簡單,只需要在 nginx.conf 的 listen 443 ssl; 後面加上 http2 就好了。如下所示:
listen 443 ssl http2; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell.cn/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell.cn/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
然後,就 nginx -s reload 就好了。
但是,Let’s Encrypt 的證書90天就過期了,所以,你還要設定上自動化的更新指令碼,最容易的莫過於使用 crontab 了。使用 crontab -e 命令加入如下的定時作業(每個月都強制更新一下):
0 0 1 * * /usr/bin/certbot renew --force-renewal
5 0 1 * * /usr/sbin/service nginx restart
當然,你也可以每天凌晨1點檢查一下:
0 1 * * * certbot renew
注:crontab 中有六個欄位,其含義如下:
第1個欄位:分鐘 (0-59)
第2個欄位:小時 (0-23)
第3個欄位:日期 (1-31)
第4個欄位:月份 (1-12 [12 代表 December])
第5個欄位:一週當中的某天 (0-7 [7 或 0 代表星期天])
/path/to/command – 計劃執行的指令碼或命令的名稱
這麼方便的同時,我不禁要問,如果是一些惡意的釣魚網站也讓自己的站點變成https的,這個對於一般用來說就有點難以防範了。哎……
當然,在nginx或apache上啟用HTTPS後,還沒有結束。因為你可能還需要修改一下你的網站,不然你的網站在瀏覽時會出現各種問題。
啟用HTTPS後,你的網頁中的所有的使用 http:// 的方式的地方都要改成 https:// 不然你的圖片,js, css等非https的連線都會導致瀏覽器抱怨不安全而被block掉。所以,你還需要修改你的網頁中那些 hard code http:// 的地方。
對於我這個使用wordpress的部落格系統來說,有這麼幾個部分需要做修改。
1)首先是 wordpress的 常規設定中的 “WordPress 地址” 和 “站點地址” 需要變更為 https 的方式。
2)然後是文章內的圖片等資源的連結需要變更為 https 的方式。對此,你可以使用一個叫 “Search Regex” 外掛來批量更新你歷史文章裡的圖片或別的資源的連結。比如:把 http://coolshell.cn 替換成了 https://coolshell.cn
3)如果你像我一樣啟用了文章快取(我用的是WP-SuperCache外掛),你還要去設定一下 “CDN” 頁面中的 “Site URL” 和 “off-site URL” 確保生成出來的靜態網頁內是用https做資源連結的。
基本上就是這些事。希望大家都來把自己的網站更新成 https 的。
嗯,12306,你什麼時候按照這個教程做一下你的證書?