首頁 繪圖設計 工作閒聊 比賽活動 美術討論 標籤 圖片
便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理
便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理




Type(Type) 2017/2/24 13:45 (Since 2017/2/24 12:44)

便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理!




1. 從 2017 年二月初起, Google Chrome 會把「有 user/password 的 http:// 明文頁面」,標記為「不安全」

2. So, 你身為網站管理者,當然就想要去買 + 安裝 ... 結果,遇到一堆問題!

3. 我之前預過下列問題,
把這些 TLS/SSL 相關問題整理如下 Q & A 模式,請參考。



(3.1) 哪裡買便宜的 SSL/TLS 憑證/證書,你買哪一家?



Answer-3.1:

我買 SSLs.com 的 Comodo 基本款,
五年 $24.99 USD,應該是最便宜的之一。



(3.2) 有無國內的廠商可以買?



Answer-3.2:

台灣我相信賣 Domain / VPS 的廠商應該都有!
e.g. Hinet / Seednet / APOL / ...


(3.3) 原來的 http NON-SSL 怎麼辦?



Answer-(3.3):

原來的 http (80 port) 請把他留著! 然後使用 301 Redirect/rewrite from http(80) 到 https (443)

Apache2 httpd 舉例如下:
代碼:

# In your apache Non-SSL-Site.conf,
# with Redirect / Rewrite enabled

RedirectMatch 301   ^/(.*)$           https://example.com/$1






(3.4) 我發現網站轉成 http ,
數以百萬的 Facebook like button count 都會歸零(zero)!!! 慌的不得了。




Answer-(3.4):

不止 facebook like-button-count,
facebook guest-book 一樣受影響!

你有兩招
(a) 等 Facebook 強化 http / https 的統計數字;這裡用「強化」,而不是「修正」,因為廣義來說這不是 bug,
如果你是 Facebook 廣告客戶,可寫信給他們動之以情(抱)、說之以理(怨)!

(b) 嘗試「接受這個事實!」

(我嘗試過 OG:URL,截至 2017/Feb 似乎沒用!)


(3.5) 承上,除了 facebook 發現大部分的 webmaster tool,也是把 http or https 分開?!



Answer-(3.5):

對,80 / 443 理論上是都是分開的,可以想向 Search Engine Data Indexing URL as key 就多了一個 "s"
所以前面才會提到 http 要 rewrite 301 到 https
讓搜尋引擎「漸漸的」把你的網站 80 當成 443。


(3.6) 我聽說 2014 ~ 2016 有不少 SSL/TLS issues (e.g. Heartbleed),要怎麼驗證我的 TLS/SSL 安裝?



Answer-3.5:

嚴格來說,現在安全的 protocol 應該都是 TLS 1.0+ 以上
還在用 SSL protocol 反而是不安全的。

你可參考看下列這幾個連結

強力推薦,SSLLabs => SSLTEST 可看到很細節的 SSL/TLS 測試
=> https://vovo2000.com/phpbb2/viewtopic-369068.html

單測 Heartbleed 測試
=> https://vovo2000.com/phpbb2/viewtopic-364597.html



(3.7) 什麼是強制 https browser HSTS preload? 我要怎麼申請?



Answer-3.7:
請參考這一篇,原理就是讓瀏覽器預先準備好「白名單」,
Chrome/IE/Edge/Firefox/Safari 看到你的網站在名單內,一律走 https,

細節請看 HSTS Preload 工作原理介紹
=> https://vovo2000.com/phpbb2/viewtopic-377050.html

但是建議先完整測過,初期上線先把 expiry time 設小,避免慘劇。


(3.8) 有無協助安裝 TLS/SSL 憑證的外包服務?



Answer-3.8:

應該有。
或許你在 Answer-(3.1) hinet/seednet/APOL 或 VPS 廠商買了之後,
可以問問他們,他們可能本身就有提供諮詢服務,
或,他們可介紹認識的外包廠商給你們...。

不過安裝 TLS/SSL certificate 需要 root 權限或 sudo/sudoers,
「要注意外包授權安全」,
免得補了東牆,開了西牆。


(3.9) 請問裝了 TLS/SSL 憑證,我的 server 突然變得很慢?



Answer-3.9:

我猜 https 上線後 lag/slow 會有 3 個原因:

(原因一)
httpd/nginx + OpenSSL 的確有一些 RSA/AES 的 Overhead,
如果你的 CPU 本來就很吃緊,那的確有影響;


(原因二)
如 (3.5) 答案所說,Search Engine 把 https 當成「新網站」,
GoogleBot / BingBot / BaiduSpider 要重新 crawling fetch + indexing;所以初期 https 會有非常可觀的 Search engine bot visits 流量發生。 這也是上面有提到,要你務必要 http(80) -> rewrite-301 --> https(443) 的原因,否則就是雙倍流量。


(原因三)
你的 301 rewrite (80 --> 443) 可能寫錯出包了!
(或者攻擊你的人的僵屍大軍出包了! e.g. 僵屍大軍處理不來 TLS handshake)



(3.10) 有更多參考連結嗎?



Answer-3.10:

有的,往下看,會整理一些外部 VPS 廠商的連結...。


Type(Type) 2017/2/24 13:21


為何你看到這一篇? Google Security Team 好心逼你升級



故事源頭!強制 Google Chrome 說你「不安全」
=> https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
=> https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure

[影片] Google 妹子跟你說 https 多麼重要!


Unix/Linux 如何安裝 SSL (偏理論)
=> https://developers.google.com/web/fundamentals/security/encrypt-in-transit/enable-https?hl=zh-tw

更多 Google 參考文件:
=> https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html
=> https://www.google.com/transparencyreport/https/


Apache實做:如何安裝 TLS 憑證 @ Apache2 + OpenSSL https


https://www.linode.com/docs/security/ssl/obtaining-a-commercial-ssl-certificate
https://www.digitalocean.com/community/tutorials/how-to-install-an-ssl-certificate-from-a-commercial-certificate-authority
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html





Nginx實做:如何安裝 TLS 憑證 @ Nginx + OpenSSL https


https://www.linode.com/docs/security/ssl/provide-encrypted-resource-access-using-ssl-certificates-on-nginx
https://www.digitalocean.com/community/tutorials/how-to-install-an-ssl-certificate-from-a-commercial-certificate-authority
https://blog.nikitaog.me/2016/02/12/how-to-setup-ssl-on-amazon-web-services-with-nginx/



SSL/TLS 網站測試工具



強力推薦:
=> https://www.ssllabs.com/ssltest/


哪裡買 SSL/TLS?哪裡申請 TLS 憑證?



其實你 goolge 一下前幾個廣告就是了...

這波商機全球估計帶動每年 3 ~ 90+ 億台幣規模。
(算法 USD $10 ~ $300 * 100 萬個網站新部署申請)

https://publicca.hinet.net/SSL-03.htm
(國內老大哥,貴到要你命! 但會講中文,會開發票,有 support!)

https://www.ssls.com/
(便宜好用、要自己來!)


(2,229 views)
[更多討論] 討論區 Windows, Linux, Perl, PHP, C/C++, Driver, Web 理論、應用、硬體、軟體




"便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理" 傳統頁面(電腦版)

首頁 繪圖設計 工作閒聊 比賽活動 美術討論 標籤 圖片
傳統桌面版 [ 登入/註冊 ]
© Vovo2000.com Mobile Version 小哈手機版 2018