便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理 2017-02-24 12:44
/ / /
便宜的 SSL/TLS 憑證證書購買,與常見安裝、測試、驗證問題整理!
1. 從 2017 年二月初起, Google Chrome 會把「有 user/password 的 http:// 明文頁面」,標記為「不安全」
2. So, 你身為網站管理者,當然就想要去買 + 安裝 ... 結果,遇到一堆問題!
3. 我之前預過下列問題,
把這些 TLS/SSL 相關問題整理如下 Q & A 模式,請參考。
(3.1) 哪裡買便宜的 SSL/TLS 憑證/證書,你買哪一家?
Answer-3.1:
我買 SSLs.com 的 Comodo 基本款,
五年 $24.99 USD,應該是最便宜的之一。
(3.2) 有無國內的廠商可以買?
Answer-3.2:
台灣我相信賣 Domain / VPS 的廠商應該都有!
e.g. Hinet / Seednet / APOL / ...
(3.3) 原來的 http NON-SSL 怎麼辦?
Answer-(3.3):
原來的 http (80 port) 請把他留著! 然後使用 301 Redirect/rewrite from http(80) 到 https (443)
Apache2 httpd 舉例如下:
代碼:
# In your apache Non-SSL-Site.conf,
# with Redirect / Rewrite enabled
RedirectMatch 301 ^/(.*)$ https://example.com/$1
(3.4) 我發現網站轉成 http ,
數以百萬的 Facebook like button count 都會歸零(zero)!!! 慌的不得了。
Answer-(3.4):
不止 facebook like-button-count,
facebook guest-book 一樣受影響!
你有兩招
(a) 等 Facebook 強化 http / https 的統計數字;這裡用「強化」,而不是「修正」,因為廣義來說這不是 bug,
如果你是 Facebook 廣告客戶,可寫信給他們動之以情(抱)、說之以理(怨)!
(b) 嘗試「接受這個事實!」
(我嘗試過 OG:URL,截至 2017/Feb 似乎沒用!)
(3.5) 承上,除了 facebook 發現大部分的 webmaster tool,也是把 http or https 分開?!
Answer-(3.5):
對,80 / 443 理論上是都是分開的,可以想向 Search Engine Data Indexing URL as key 就多了一個 "s"
所以前面才會提到 http 要 rewrite 301 到 https
讓搜尋引擎「漸漸的」把你的網站 80 當成 443。
(3.6) 我聽說 2014 ~ 2016 有不少 SSL/TLS issues (e.g. Heartbleed),要怎麼驗證我的 TLS/SSL 安裝?
Answer-3.5:
嚴格來說,現在安全的 protocol 應該都是 TLS 1.0+ 以上
還在用 SSL protocol 反而是不安全的。
你可參考看下列這幾個連結
強力推薦,SSLLabs => SSLTEST 可看到很細節的 SSL/TLS 測試
=> https://vovo2000.com/f/viewtopic-369068.html
單測 Heartbleed 測試
=> https://vovo2000.com/f/viewtopic-364597.html
(3.7) 什麼是強制 https browser HSTS preload? 我要怎麼申請?
Answer-3.7:
請參考這一篇,原理就是讓瀏覽器預先準備好「白名單」,
Chrome/IE/Edge/Firefox/Safari 看到你的網站在名單內,一律走 https,
細節請看 HSTS Preload 工作原理介紹
=> https://vovo2000.com/f/viewtopic-377050.html
但是建議先完整測過,初期上線先把 expiry time 設小,避免慘劇。
(3.8) 有無協助安裝 TLS/SSL 憑證的外包服務?
Answer-3.8:
應該有。
或許你在 Answer-(3.1) hinet/seednet/APOL 或 VPS 廠商買了之後,
可以問問他們,他們可能本身就有提供諮詢服務,
或,他們可介紹認識的外包廠商給你們...。
不過安裝 TLS/SSL certificate 需要 root 權限或 sudo/sudoers,
「要注意外包授權安全」,
免得補了東牆,開了西牆。
(3.9) 請問裝了 TLS/SSL 憑證,我的 server 突然變得很慢?
Answer-3.9:
我猜 https 上線後 lag/slow 會有 3 個原因:
(原因一)
httpd/nginx + OpenSSL 的確有一些 RSA/AES 的 Overhead,
如果你的 CPU 本來就很吃緊,那的確有影響;
(原因二)
如 (3.5) 答案所說,Search Engine 把 https 當成「新網站」,
GoogleBot / BingBot / BaiduSpider 要重新 crawling fetch + indexing;所以初期 https 會有非常可觀的 Search engine bot visits 流量發生。 這也是上面有提到,要你務必要 http(80) -> rewrite-301 --> https(443) 的原因,否則就是雙倍流量。
(原因三)
你的 301 rewrite (80 --> 443) 可能寫錯出包了!
(或者攻擊你的人的僵屍大軍出包了! e.g. 僵屍大軍處理不來 TLS handshake)
(3.10) 有更多參考連結嗎?
Answer-3.10:
有的,往下看,會整理一些外部 VPS 廠商的連結...。
vovo2000-dot-com_A+_SSLLab.jpg
________________
美術插畫設計案子報價系統 v0.1 Beta
爪哇禾雀
