前言
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本傳輸安全協議),是以安全爲目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。 它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認端口及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司(Netscape)進行,並內置於其瀏覽器Netscape Navigator中,提供了身份驗證與加密通訊方法。現在它被廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。
一、爲什麼使用HTTPS
HTTP協議以明文方式發送內容,不提供任何方式的數據加密,如果***者截取了Web瀏覽器和網站服務器之間的傳輸報文,就可以直接讀懂其中的信息,因此HTTP協議不適合傳輸一些敏感信息,比如信用卡號、密碼等。
爲了解決HTTP協議的這一缺陷,需要使用另一種協議:安全套接字層超文本傳輸協議HTTPS。爲了數據傳輸的安全,HTTPS在HTTP的基礎上加入了SSL協議,SSL依靠證書來驗證服務器的身份,併爲瀏覽器和服務器之間的通信加密。
HTTPS協議可以防止網絡數據在傳輸過程中被抓取、篡改,可以用來應對運營商劫持、廣告植入。此外,訪問支持HTTPS協議的網站時,谷歌等瀏覽器會在地址欄處顯示一個安全標識,這樣在用戶看來會顯得網站比較安全,提升客戶信任度。
部署HTTPS需要先購買SSL證書,證書的價格爲每年幾千到幾萬元不等。也有一些服務商會提供免費的SSL證書,下面介紹兩種申請免費SSL證書並部署HTTPS的方式。
二、Let's encrypt免費證書
Let's Encrypts是一個公共的免費SSL的項目,逐漸被廣大用戶傳播和使用,由Mozilla、Cisco、Akamai、IdenTrust、EFF等組織人員發起,主要的目的爲推進網站從HTTP向HTTPS過度的進程,目前已經有越來越多的用戶加入和贊助支持。
下面介紹下ubuntu下安裝Let's encrypt證書的過程。
1.安裝certbot(用於自動續約證書)
# 添加安裝源
sudo add-apt-repository ppa:certbot/certbot
# 更新apt安裝源
sudo apt-get update
# 安裝
sudo apt-get install python-certbot-apache2.安裝Lets encrypt
# 安裝 letsencrypt
sudo apt-get install letsencrypt
# 生成證書
letsencrypt certonly --agree-tos --email [email protected] -d www.domain.com運行上訴命令後會在/etc/letsencrypt文件夾下生成證書相關文件
3.配置nginx
在/etc/nginx/conf.d/文件夾下面增加一個站點配置文件website.conf,內容如下(將www.domain.com替換成你的實際域名):
server {
listen 80;
# listen [::]:80;
server_name www.domain.com;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
# listen [::]:443 ssl http2;
server_name www.domain.com;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /etc/letsencrypt/live/www.domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.domain.com/privkey.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
# ssl_dhparam /etc/ssl/certs/dhparam.pem;
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
# ssl_trusted_certificate /etc/letsencrypt/live/www.gabin.top/root_ca_cert_plus_intermediates;
# resolver 8.8.8.8 8.8.4.4 valid=300s;
# resolver_timeout 5s;
}4.重載nginx配置
運行如下命令:
nginx -s reload5.添加定時續簽任務
Lets encrypt證書默認有效期爲三個月,需要定時續簽。
編輯定時任務:
crontab -e增加定時任務:
# 每天夜裏凌晨 2 點續簽:
* 2 * * * service nginx stop & letsencrypt renew & service nginx start三、七牛雲免費證書
許多雲服務商如阿里雲、騰訊雲、七牛雲會提供免費的SSL證書,此類證書的有效期大多爲一年,到期需要手動續簽。這裏通過七牛雲舉例說明。
1.申請證書
訪問https://portal.qiniu.com/certificate/apply,選擇購買免費證書:
填寫信息並申請成功後,可以在證書列表查看相關證書:
2.下載證書
依次點擊【詳情】-【查看證書】-【下載證書】下載證書文件:
下載完成後將證書上傳到服務器。
3.修改nginx配置
此證書設置的方法與Lets encrypt類似,只需將上傳後證書文件所在路徑替換一下即可,這裏就不在贅述了。
-
有任何疑問可以關注微信公衆號“全棧社區”進行提問,還可獲取更多站長、開發者必備的前端、後端、運維技術乾貨。
- 19元美國VPS、網站空間、建站源碼:www.xumaoyun.com