給你的網站穿上外衣 - HTTPS 免費部署指南

NO IMAGE

前言

隨著國內各大網站紛紛開啟全站 HTTPS 時代,HTTPS 已不再是支付等敏感操作過程的專屬,開啟 HTTPS 對於個人網站或者小型網站也不再遙不可及。 今天博主就以自己的網站 www.rapospectre.com 為例敘述一下為自己網站點亮 HTTPS 小綠鎖的過程。

HTTP 和 HTTPS

HTTPS( Hypertext Transfer Protocol over Secure Socket Layer ),是以安全為目標的 HTTP 通道,簡單講是 HTTP 的安全版。即 HTTP 下加入 SSL 層,HTTPS 的安全基礎是 SSL ,因此加密的詳細內容就需要 SSL 。 它是一個 URI scheme( 抽象識別符號體系 ),句法類同 http :體系。用於安全的 HTTP 資料傳輸。 https:URL 表明它使用了 HTTP,但 HTTPS 存在不同於 HTTP 的預設埠及一個加密/身份驗證層(在 HTTP 與 TCP 之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付方面。

HTTP 超文字傳輸協議 ( HTTP-Hypertext transfer protocol ) 是一種詳細規定了瀏覽器和全球資訊網伺服器之間互相通訊的規則,通過因特網傳送全球資訊網文件的資料傳送協議。

從概念裡可以看到,要開啟 HTTPS 至關重要的一點就是 ssl 層的身份驗證,而身份驗證需要用到 ssl 證書,以前少有免費 ssl 證書,所以小站基本不會選擇 https ,而現在網上提供個人免費 ssl 證書的機構越來越多,這使得免費升級站點為 https 成為可能。

1. 申請 SSL 證書

網上已經有不少機構提供個人免費 ssl 證書,有效期幾個月到幾年不等,博主使用的是 StartSSL, 申請成功後有效期 3 年,到期後可免費續租。 具體申請過程不復雜,註冊後根據提示驗證網站 生成證書即可,如果不清楚可以 Google 一下

要注意 StartSSL 驗證網站擁有者時是給域名所有者的郵箱發驗證郵件,如果域名開啟了隱私保護請暫時關閉。

然後在自己伺服器中生成 SSL 證書的 csr ,記住生成輸入的祕密,之後要用到:

openssl req -new -sha256 -key rapospectre.com_secure.key -out rapospectre.com.csr

假設以上檔案生成在 /var/tmp

在之前的 80 埠進行重定向配置:

server {
listen 80;
server_name rapospectre.com www.rapospectre.com;
return 301 https://www.rapospectre.com$request_uri;
}

3. HTTP 替換

將網站所有以 http 方式獲取的資源全部改為 https 方式或自動方式獲取, eg:

<script src="http://xx.cdn.com/jquery.js"></script>
改為
<script src="https://xx.cdn.com/jquery.js"></script>
或
<script src="//xx.cdn.com/jquery.js"></script>

重啟伺服器,提示輸入之前生成 csr 的密碼,輸入密碼,重啟成功,訪問 https://www.rapospectre.com 可以看到 HTTPS 已經正常工作!

順手來一發 SSLLABS測試,wtf 只有 F?

看圖發現因為

This server is vulnerable to the OpenSSL Padding Oracle vulunerability ( CVE-2016-2107 )

原來是 OpenSSL 漏洞的鍋,升級 OpenSSL 到 1.0.2h 版 ( 後續版本應該也可以,博主一開始升級到了最新的 1.1.0a 結果伺服器掛了 ) 即可修復漏洞:

Fix OpenSSL Padding Oracle vulnerability (CVE-2016-2107) – Ubuntu 14.04

# Based on http://fearby.com/article/update-openssl-on-a-digital-ocean-vm/
$ apt-get update
$ apt-get dist-upgrade
$ wget ftp://ftp.openssl.org/source/old/1.0.2/openssl-1.0.2h.tar.gz
$ tar -xvzf openssl-1.0.2h.tar.gz
$ cd openssl-1.0.2h
$ ./config --prefix=/usr/
$ make depend
$ sudo make install
$ openssl version
# OpenSSL 1.0.2h  3 May 2016
# now restart your nginx or other server
$ nginx -s reload

4. HTTP2

開啟 http2 ,nginx 在 1.9.5 以後的版本才開始支援 http2 ,之前一直使用的是 spdy 而 ubuntu 自帶的 nginx 是 1.4.6 的古董, 所以需要重新編譯安裝新版的 nginx ,博主選擇了安裝最新的 nginx 1.11.4:

1. 下載 nginx 到 /var/tmp/nginx

2. 解壓nginx-1.11.4.tar.gz檔案

tar zxvf nginx-1.11.4.tar.gz

3. 進入ngixn-1.11.4資料夾

cd nginx-1.2.5

4. 檢視nginx原來的配置

nginx -V

上面的命令將輸出類似如下資訊:

--with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_sub_module --with-http_xslt_module --with-mail --with-mail_ssl_module

我們在後面加上 http2 模組與 上一步中 openssl 原始碼( 是原始碼路徑不是安裝 )路徑:

--with-http_v2_module --with-openssl=/var/tmp/ssl/openssl-1.0.2h

注意,如果以上資訊內包含 --with-spdy_module

configure時可能遇到的幾個錯誤:

–with-http_xslt_module 時提示 the HTTP XSLT module requires the libxml2/libxslt libraries

apt-get install libxml2 libxml2-dev libxslt-dev

–with-http_image_filter_module 時提示 the HTTP image filter module requires the GD library.

apt-get install libgd2-xpm-dev

–with-http_geoip_module 時提示 the GeoIP module requires the GeoIP library.

apt-get install geoip-database libgeoip-dev

./configure: error: the HTTP rewrite module requires the PCRE library.

apt-get install libpcre3 libpcre3-dev

再次執行 configure 命令, 然後make && make install

執行/usr/sbin/nginx -t 命令檢查配置檔案返回下面的資訊:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

表示 nginx 升級成功,修改 nginx 配置,加入 http2 支援:

listen       443 ssl http2 fastopen=3 reuseport;

重啟 nginx 訪問正常後再測一發:

搞定,個人網站加入 HTTPS 並且 SSLABS 評分 A 。 快來試試吧~

( 博主網站圖片上傳到七牛,而七牛免費似乎賬戶不支援 https 連結,所以有些文章比如說這篇會提示網頁內有不安全的內容 )

原文地址:https://www.rapospectre.com/b…

作者:rapospectre