快速预览
  1. 什么是https
  2. 如何让网站实现https

最近谷歌2017年1月的更新ssl被炒得沸沸扬扬,根据这篇谷歌官方文章Moving towards a more secure web我们发现:谷歌浏览器将在2017年1月推出chrome56版,将对http网站的密码以及信用卡填写页面标注不安全,未来将整个http协议的网站标注为不安全纳入日程。

什么是ssl chrome2017更新
谷歌官方对2017新版chrome更新的说明

谷歌这一举措意在告诉大家,http已经不安全了,请尽快更新至https。那么什么是http,什么是https呢?

什么是https

说到http与https的关系我来举个例子:小明与小红是异地分居的情侣,小明想寄一些特产给小红,于是选择了XX快递,不想快递到小红手上时,特产少了好多,愤怒的小明于是继续用顺丰给小红寄出去特产,这次小红终于收到了完整的快递。

看完上面的例子我们在来说一下http与https,简单的公式 https=http+ssl,http是Tim Berners Lee在1989年发明的,正是因为http协议的发明,才使得互联网的传输变成了可能,你我现在都能自由自在的通过互联网交流都是归功于TBL呢!当然http并不是万能的,因为传输数据时并没有加密,数据容易泄露,就像小明的快递半路被谁偷了一样,于是在这个基础上加入了SSL安全加密层,就是新的传输协议https。

http漏洞
http数据在传输时容易被劫持,尤其是信用卡和密码

 

我们回想一些场景,在外贸论坛经常看到同行抱怨邮箱被黑客发现改了密码,冒充自己找客户打款,也会经常观察到经常登陆的一些论坛或者网站莫名就中毒然后有广告弹窗,那么这些现象都应该是其是被人劫持了数据。

正是由于加密的重要性,不作恶的谷歌开始鼓励推广https计划,谷歌在未来预计分两个阶段走:

第一阶段:对正常的http页面仍是感叹号标注,而涉及填写密码的页面如网站注册登陆页面就会提示“不安全”。

http密码信用卡页面不安全
http密码信用卡页面不安全

第二阶段:未来将对所有http页面标注不安全(第二阶段时间未定):

http全红不安全

也就是说谷歌给了我们充足的时间去更新https

如何让网站实现https

实现https的前提是需要给网站安装ssl证书,ssl证书目前有免费和付费,免费的let's encrypt可以安装到你的博客或网站,如果使用了cloudflare的CDN可以用他家的ssl,而付费的namecheap一年仅需63元,并且支持1万美金的赔付,果然namecheap才是ssl正确的打开方式!另外bluehost的ssl实在不想提,因为已经贵出了翔。

另外很重要的一个实现https的因素是网站主机供应商是否支持,就如西部数码服务器是需要联系客服额外支付100元帮你部署ssl,而如果你选择了bluehost作为你的主机,那么要部署ssl就必须购买独立ip,bh因为有自己的ssl认证,所以对其他家的ssl不是很支持,需要你耐心磨嘴皮。下面我就挑选常用的linode vps与bluehost vh来比较一下部署ssl的优劣。

linode vps安装ssl
  • 自带独立ip
  • 免费安装三个月有效期的let's encrypt
  • 可设置定时更新
  • 可安装付费namecheap ssl
  • 可支持多域名安装
bluehost安装ssl
  • 必须购买独立ip
  • 可安装免费ssl,需与客服深入沟通
  • 可安装插件定时更新(待定)
  • 付费namecheap ssl(待定)
  • 只支持一个域名安装

如果你的网站在bluehost,我可以建议你直接购买bluehost的独立ip以及ssl,费用预计120美金/年,这样避免安装过程中不必要的麻烦。

嫌贵,可以等bh到期后搬家vps,但要赶在谷歌的第二步计划之前!



如果你的网站是在vps上,环境是lnmp的,可以参考这篇文章https://www.liaosam.com/wordpress-on-linode-vps-setup-ssl-https-guide.html