為什麼我們需要實作全站https?
目前主流大廠的網站和服務都已經實作了全站https, 例如: baidu, taobao, jd等.
關于這方面的好處和優勢, 網際網路上太多文章在進行介紹. 例如: 為什麼我們應該盡快更新到 HTTPS?
對于一般的創業型公司, 迫切需要實作全站https的理由:
蘋果要求所有iOS應用在年底前預設使用HTTPS連接配接 微信小程式的開發, 要求必須使用https通信HTTP2.0其實可以支援非HTTPS的,但是現在主流的浏覽器chrome,firefox表示還是隻支援基于TLS部署的HTTP2.0協定,是以要想更新成HTTP2.0還是先更新HTTPS為好.
更新之前的準備工作.
先領取代金券禮包:
https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=ahxhg8ocSSL的證書類型?
DV (Domain Validation): 面向個體使用者,安全體系相對較弱,驗證方式就是向 whois 資訊中的郵箱發送郵件,按照郵件内容進行驗證即可通過.
OV (Organization Validation): 面向企業使用者,證書在DV證書驗證的基礎上,還需要公司的授權,CA通過撥打資訊庫中公司的電話來确認.
EV (Extended Validation): 在浏覽器URL位址欄當中,展示了注冊公司的資訊,這會讓使用者産生更大的信任,這類證書的申請除了以上兩個确認外,還需要公司提供金融機構的開戶許可證,要求十分嚴格.
需要強調的是,不論是 DV、OV 還是 EV 證書,其加密效果都是一樣的!
重要的差別:
1、DV證書的稽核速度較快, 由程式完成稽核, 一般申請了之後馬上就能夠完成證書頒發; OV和EV證書稽核較慢, 由人工稽核, 一般需要數天的時間.
2、EV證書會在浏覽器當中顯示公司的資訊, 通常被稱為綠色位址欄, 以增加使用者的信任感. 參考如下通路github時, chrome浏覽器的顯示方式:
3、EV證書不支援單個泛域名(.example.com)或者多個泛域名(.example1.com, *.example2.com), OV和DV證書則支援.
如何選擇?
通常的情況下, 一個處于初創階段的網際網路公司有多少個子系統是很難在前期就界定出來的. 是以, 如果能夠無法明确規劃出未來有多少個子系統, 需要使用多少個二級域名, 最好購買支援單個或者多個泛域名的證書. 至于是DV還是OV, 我個人覺得不是那麼重要.
一些經驗總結:
HTTPS網頁中加載的HTTP資源被稱之為Mixed Content, 不同的浏覽器有不同的block http資源的政策, 是以最好提前整理出你的程式依賴的内部http資源, 和外部http資源(統計資源[GA, CNZZ, 百度統計], 第三方分享, 第三方地圖服務等). 尤其是外部的http資源, 需要評估是否提供了https的服務.
到哪裡擷取https證書?
免費資源:
-
Let’s Encrypt: 目前個人站點使用的非常普遍的證書.
特點/限制:
如果你在使用雲服務提供商的CDN或者負載均衡服務(例如阿裡雲的CDN或者SLB), Let’s
Encrypt就不太适合了, 阿裡雲的CDN或者SLB要求在雲平台上上傳證書的公鑰和私鑰, 而Let’s Encrypt強制90天過期, 雖然我們可以通過自動化的方式renew證書, 但我目前還沒有找到比較好的解決方案.
隻支援單個域名.
賽門鐵克-頂級證書頒發機構.
1年過期.
- 騰訊雲GeoTrust免費DV證書:
GeoTrust-頂級證書頒發機構.
強烈不推薦:
StartSSL.com: 詳見官網的以下描述:
Wosign(沃通):
聊聊“沃通/WoSign”的那些破事兒
Mozilla釋出的wosign-issue
新浪的報道
PS:
阿裡雲在之前的一段時間也能夠購買wosign的證書, 目前也已經下線了.
wosign的SEO做得不錯, 搜尋SSL證書, google和baidu都排在了第一頁, 導緻很多不明真相的群衆被忽悠了.
付費資源:
阿裡雲: 提供了賽門鐵克, GeoTrust, CFCA三個頒發的證書.
PS: 其它都沒有用過, 就不推薦了.
最終我選了什麼?
阿裡雲上的GeoTrust DV SSL: 價格便宜, 支援泛域名, 頒發迅速(30 min之内), 最重要的是統一使用了阿裡雲進行管理.
aliyunssl
後續内容, 請繼續參考
下一篇文章