2019-08-03感谢老师的这篇文章!今天我成功将个人博客网站迁移到 HTTPS 了,高兴。
我之前一直没有把网站迁移到 HTTPS ,主要是因为需要学很多东西,比如如何配置 nginx,https 的相关知识,证书的申请等等(做开发的都知道,配置这种东西真的很麻烦)。此外误解申请证书是要花很多钱的(看了这章才知道有这么方便简单的免费证书),另外又觉得我这个只是个个人技术博客网站,http 其实也可以,就一直放在那里不做了。
不过学了这章和前面的内容,就明白的 HTTPS 大概的过程,也学会了迁移 HTTPS 需要注意的一些细节。今天也是成功将自己的个人博客迁移到 HTTPS 了,期间也是各种问题不断,也是一一解决,折腾了很久。不过看到自己的网站上在也没有“不安全”的标签,也是觉得非常有成就感。展开作者回复: 一起分享你的喜悦!
13
2019-08-02上文提到的虚拟主机,跟正向代理,反向代理,有什么区别。作者回复: 虚拟主机与代理没有关系,是http服务器里的概念,在一个ip地址上存在多个域名(即主机),所以叫“虚拟主机”。
因为不能用ip地址区分,所以就要用host字段,区分不同的主机(域名、网站)。 1 3
2019-10-29安全篇学习完了,大部分都没记住,看样子,起码得刷3遍以上🐮作者回复: https要比http复杂得多,因为涉及到安全,所以“万事小心”。
可以结合抓包、Chrome工具,多做实验。 2
2019-08-02个人博客网站很早就用上了https,但老师说的那些Nginx优化参数没有用上,我这就去加上。作者回复: 很好的实践机会。
2- 2019-08-02老师你好,刚才搞了半天编译好了Nginx新版本With OpenSSL才开启TLSv1.3,不知道老师是怎么安装这些软件的,有什么好的建议吗?
nginx version: nginx/1.16.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC)
built with OpenSSL 1.1.1 11 Sep 2018作者回复: 支持tls1.3主要就是OpenSSL要升级到1.11,Nginx的版本用较新的就好。
因为Nginx的ssl功能依赖于底层的OpenSSL,所以支持tls1.3比较简单,只要重新编译就好。
这方面好像没什么简单的方法,不过也不是很麻烦。 1 
2020-02-09请教下老师,启用了session ticket,但注意到new session ticket有效期只有300秒,这个参数能改长吗?我们用的是阿里云的SLB作者回复: 可以改,在Nginx里有配置,ssl_session_timeout默认就是300秒,但阿里云该如何配置就不太清楚了。
我猜用的是tengine,也是Nginx,应该是一样的,可以去Nginx官网看文档。
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_tickets
2019-08-26请问如果网站HTTPS证书过期会怎么样?作者回复: 那么证书就失效了,浏览器会认为不安全,当然还是可以强制访问的。
2019-08-051. 结合你的实际工作,分析一下迁移 HTTPS 的难点有哪些,应该如何克服?
(说下我经历的)
a. 梳理所有外部连接是否为https。因为切换https后,有的浏览器会有安全机制限制发起http请求。
b. 开启http强制跳转https后,如果httpclient(代码)没有处理302状态,那么接口会调不通。要通知外部接口调用变更https。
先在测试环境开启强制跳转https强制跳转。生产环境有一个共存过度期,最后再强制跳转。作者回复: 欢迎实战经验分享!
2019-08-03Mac 电脑查看 openssl 的版本,发现是这个:LibreSSL 2.6.5
LibreSSL 怎么和 openSSL 版本对应的?作者回复: LibreSSL是OpenBSD的分支,和OpenSSL的差异较大,可以看它的官网http://www.libressl.org,了解具体的情况。
- 2019-08-022、TLS1.3的pre-shared-key,实现0-RTT;OCSP Stapling;
作者回复: 对,相应的Nginx指令是:
ssl_early_data on;
ssl_stapling on;