給服飾內(nèi)衣網(wǎng)站設(shè)計(jì)加上HTTPS

HTTPS作用

HTTPS是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。HTTPS相當(dāng)于在HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。

HTTPS作為一種全新的安全協(xié)議，對(duì)網(wǎng)站本身以及訪問網(wǎng)站的網(wǎng)友都有著更好的安全性，防止隱私泄露。HTTPS可以避免第三方竊聽或阻斷流量，保護(hù)用戶的隱私和安全，提升口碑。比如可以防止國(guó)內(nèi)某運(yùn)營(yíng)商對(duì)網(wǎng)站做一些劫持，插入廣告彈窗啥的。此外，HTTPS 的網(wǎng)站在搜索引擎中的 rank 會(huì)更高，SEO效果會(huì)更好。

服飾內(nèi)衣網(wǎng)站HTTPS免費(fèi)證書部署

我用的是 Let’s Encrypt 這個(gè)免費(fèi)的解決方案。Let’s Encrypt 是一個(gè)于2015年推出的數(shù)字證書認(rèn)證機(jī)構(gòu)，將通過旨在消除當(dāng)前手動(dòng)創(chuàng)建和安裝證書的復(fù)雜過程的自動(dòng)化流程，為安全網(wǎng)站提供免費(fèi)的SSL/TLS證書。這是由互聯(lián)網(wǎng)安全研究小組（ISRG – Internet Security Research Group，一個(gè)公益組織）提供的服務(wù)。主要贊助商包括電子前哨基金會(huì)，Mozilla基金會(huì)，Akamai以及Cisco等公司（贊助商列表）。

2015年6月，Let’s Encrypt 得到了一個(gè)存儲(chǔ)在硬件安全模塊中的離線的 RSA 根證書。這個(gè)由 IdenTrust 證書簽發(fā)機(jī)構(gòu)交叉簽名的根證書被用于簽署兩個(gè)證書。其中一個(gè)就是用于簽發(fā)請(qǐng)求的證書，另一個(gè)則是保存在本地的證書，這個(gè)證書用于在上一個(gè)證書出問題時(shí)作備份證書之用。因?yàn)?IdenTrust 的 CA 根證書目前已被預(yù)置于主流瀏覽器中，所以 Let’s Encrypt 簽發(fā)的證書可以從項(xiàng)目開始就被識(shí)別并接受，甚至當(dāng)用戶的瀏覽器中沒有信任 ISRG 的根證書時(shí)也可以。

Consul是一個(gè)分布式高可用的系統(tǒng)。

證書部署

1）打開 https://certbot.eff.org 網(wǎng)頁。

2）在那個(gè)機(jī)器上圖標(biāo)下面，你需要選擇一下你用的 Web 接入軟件 和你的 操作系統(tǒng)。比如，我選的，nginx 和 Centos6

3）然后就會(huì)頁面下方會(huì)有一系列的安裝教程。你就照著做一遍就好了。

以 www.hyperxu.com 為例 – Nginx + Centos6

根據(jù)系統(tǒng)的不通，安裝方法也略有不同，Centos6需要通過相關(guān)安裝腳本進(jìn)行部署。

首先下載certbot的自動(dòng)安裝腳本：

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

然后，運(yùn)行如下命令：

$ sudo ./path/to/certbot --nginx

certbot 會(huì)自動(dòng)檢查到你的 nginx.conf 下的配置，把你所有的虛擬站點(diǎn)都列出來，然后讓你選擇需要開啟 https 的站點(diǎn)。你就簡(jiǎn)單的輸入列表編號(hào)（用空格分開），然后，certbot 就幫你下載證書并更新 nginx.conf 了。

打開你的 nginx.conf 文件 ，你可以發(fā)現(xiàn)你的文件中的 server 配置中可能被做了如下的修改：

listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell.cn/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell.cn/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

和

# Redirect non-https traffic to https if ($scheme != "https") { return 301 https://$host$request_uri; } # managed by Certbot

這里建議配置 http2，這要求 Nginx 版本要大于 1.9.5。HTTP2 具有更快的 HTTPS 傳輸性能，非常值得開啟（關(guān)于性能你可以看一下這篇文章）。需要開啟HTTP/2其實(shí)很簡(jiǎn)單，只需要在 nginx.conf 的 listen 443 ssl; 后面加上 http2 就好了。如下所示：

listen 443 ssl http2; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell.cn/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell.cn/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

然后，就 nginx -s reload 就好了。

證書續(xù)訂

Certbot可以配置為在其過期之前自動(dòng)續(xù)訂證書。由于讓我們加密證書持續(xù)了90天，所以建議您充分利用此功能。您可以通過運(yùn)行以下命令來測(cè)試證書的自動(dòng)續(xù)訂：

$ sudo ./path/to/certbot-auto renew --dry-run

設(shè)置上自動(dòng)化的更新腳本，最容易的莫過于使用 crontab 了。使用 crontab -e 命令加入如下的定時(shí)作業(yè)（每個(gè)月都強(qiáng)制更新一下）：

0 0 1 * * /usr/bin/certbot renew --force-renewal 5 0 1 * * /usr/sbin/service nginx restart

HTTPS站點(diǎn)調(diào)整

在nginx或apache上啟用HTTPS后，還沒有結(jié)束。你可能還需要修改一下你的網(wǎng)站，不然你的網(wǎng)站在瀏覽時(shí)會(huì)出現(xiàn)各種問題。

啟用HTTPS后，你的網(wǎng)頁中的所有的使用 http:// 的方式的地方都要改成 https:// 不然你的靜態(tài)資源文件等非https的連接都會(huì)導(dǎo)致瀏覽器抱怨不安全而被block掉。所以，你還需要修改你的網(wǎng)頁中那些 hard code http:// 的地方。

其大致思路如下：

修改站內(nèi)資源調(diào)用為相對(duì)路徑或者為HTTPS請(qǐng)求。

修改站外資源調(diào)用方式為HTTPS請(qǐng)求。