首頁 繪圖設計 工作閒聊 比賽活動 美術討論 標籤 圖片
便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理




Type(Type) 2017/2/24 13:45 (Since 2017/2/24 12:44)

便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理!

1. 從 2017 年二月初起, Google Chrome 會把「有 user/password 的 http:// 明文頁面」,標記為「不安全」2. So, 你身為網站管理者,當然就想要去買 + 安裝 ... 結果,遇到一堆問題!3. 我之前預過下列問題,把這些 TLS/SSL 相關問題整理如下 Q & A 模式,請參考。

(3.1) 哪裡買便宜的 SSL/TLS 憑證/證書,你買哪一家?

Answer-3.1:我買 SSLs.com 的 Comodo 基本款,五年 $24.99 USD,應該是最便宜的之一。

(3.2) 有無國內的廠商可以買?

Answer-3.2:台灣我相信賣 Domain / VPS 的廠商應該都有! e.g. Hinet / Seednet / APOL / ...

(3.3) 原來的 http NON-SSL 怎麼辦?

Answer-(3.3): 原來的 http (80 port) 請把他留著! 然後使用 301 Redirect/rewrite from http(80) 到 https (443)Apache2 httpd 舉例如下:代碼:
# In your apache Non-SSL-Site.conf, # with Redirect / Rewrite enabledRedirectMatch 301   ^/(.*)$           https://example.com/$1



(3.4) 我發現網站轉成 http ,數以百萬的 Facebook like button count 都會歸零(zero)!!! 慌的不得了。

Answer-(3.4): 不止 facebook like-button-count,facebook guest-book 一樣受影響!你有兩招(a) 等 Facebook 強化 http / https 的統計數字;這裡用「強化」,而不是「修正」,因為廣義來說這不是 bug,如果你是 Facebook 廣告客戶,可寫信給他們動之以情(抱)、說之以理(怨)!(b) 嘗試「接受這個事實!」(我嘗試過 OG:URL,截至 2017/Feb 似乎沒用!)

(3.5) 承上,除了 facebook 發現大部分的 webmaster tool,也是把 http or https 分開?!

Answer-(3.5): 對,80 / 443 理論上是都是分開的,可以想向 Search Engine Data Indexing URL as key 就多了一個 "s"所以前面才會提到 http 要 rewrite 301 到 https讓搜尋引擎「漸漸的」把你的網站 80 當成 443。

(3.6) 我聽說 2014 ~ 2016 有不少 SSL/TLS issues (e.g. Heartbleed),要怎麼驗證我的 TLS/SSL 安裝?

Answer-3.5: 嚴格來說,現在安全的 protocol 應該都是 TLS 1.0+ 以上還在用 SSL protocol 反而是不安全的。你可參考看下列這幾個連結強力推薦,SSLLabs => SSLTEST 可看到很細節的 SSL/TLS 測試=> https://vovo2000.com/phpbb2/viewtopic-369068.html 單測 Heartbleed 測試=> https://vovo2000.com/phpbb2/viewtopic-364597.html

(3.7) 什麼是強制 https browser HSTS preload? 我要怎麼申請?

Answer-3.7: 請參考這一篇,原理就是讓瀏覽器預先準備好「白名單」,Chrome/IE/Edge/Firefox/Safari 看到你的網站在名單內,一律走 https,細節請看 HSTS Preload 工作原理介紹 => https://vovo2000.com/phpbb2/viewtopic-377050.html 但是建議先完整測過,初期上線先把 expiry time 設小,避免慘劇。

(3.8) 有無協助安裝 TLS/SSL 憑證的外包服務?

Answer-3.8: 應該有。 或許你在 Answer-(3.1) hinet/seednet/APOL 或 VPS 廠商買了之後,可以問問他們,他們可能本身就有提供諮詢服務,或,他們可介紹認識的外包廠商給你們...。不過安裝 TLS/SSL certificate 需要 root 權限或 sudo/sudoers,「要注意外包授權安全」,免得補了東牆,開了西牆。

(3.9) 請問裝了 TLS/SSL 憑證,我的 server 突然變得很慢?

Answer-3.9:我猜 https 上線後 lag/slow 會有 3 個原因:(原因一) httpd/nginx + OpenSSL 的確有一些 RSA/AES 的 Overhead,如果你的 CPU 本來就很吃緊,那的確有影響;(原因二) 如 (3.5) 答案所說,Search Engine 把 https 當成「新網站」,GoogleBot / BingBot / BaiduSpider 要重新 crawling fetch + indexing;所以初期 https 會有非常可觀的 Search engine bot visits 流量發生。 這也是上面有提到,要你務必要 http(80) -> rewrite-301 --> https(443) 的原因,否則就是雙倍流量。(原因三)你的 301 rewrite (80 --> 443) 可能寫錯出包了!(或者攻擊你的人的僵屍大軍出包了! e.g. 僵屍大軍處理不來 TLS handshake)

(3.10) 有更多參考連結嗎?

Answer-3.10: 有的,往下看,會整理一些外部 VPS 廠商的連結...。


Type(Type) 2017/2/24 13:21

為何你看到這一篇? Google Security Team 好心逼你升級

故事源頭!強制 Google Chrome 說你「不安全」 => https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html=> https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure[影片] Google 妹子跟你說 https 多麼重要!Unix/Linux 如何安裝 SSL (偏理論)=> https://developers.google.com/web/fundamentals/security/encrypt-in-transit/enable-https?hl=zh-tw更多 Google 參考文件:=> https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html=> https://www.google.com/transparencyreport/https/

Apache實做:如何安裝 TLS 憑證 @ Apache2 + OpenSSL https

https://www.linode.com/docs/security/ssl/obtaining-a-commercial-ssl-certificatehttps://www.digitalocean.com/community/tutorials/how-to-install-an-ssl-certificate-from-a-commercial-certificate-authorityhttp://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html



Nginx實做:如何安裝 TLS 憑證 @ Nginx + OpenSSL https

https://www.linode.com/docs/security/ssl/provide-encrypted-resource-access-using-ssl-certificates-on-nginxhttps://www.digitalocean.com/community/tutorials/how-to-install-an-ssl-certificate-from-a-commercial-certificate-authorityhttps://blog.nikitaog.me/2016/02/12/how-to-setup-ssl-on-amazon-web-services-with-nginx/

SSL/TLS 網站測試工具

強力推薦:=> https://www.ssllabs.com/ssltest/

哪裡買 SSL/TLS?哪裡申請 TLS 憑證?

其實你 goolge 一下前幾個廣告就是了...這波商機全球估計帶動每年 3 ~ 90+ 億台幣規模。(算法 USD $10 ~ $300 * 100 萬個網站新部署申請)https://publicca.hinet.net/SSL-03.htm (國內老大哥,貴到要你命! 但會講中文,會開發票,有 support!)https://www.ssls.com/ (便宜好用、要自己來!)


(3,127 views)
[更多討論] 討論區 Windows, Linux, Perl, PHP, C/C++, Driver, Web 理論、應用、硬體、軟體


"便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理" 傳統頁面(電腦版)

首頁 繪圖設計 工作閒聊 比賽活動 美術討論 標籤 圖片
傳統桌面版
© Vovo2000.com Mobile Version 小哈手機版 2019