很多站长应该收到 Google 发来的 email 了。从 Chrome 56 开始,任何网页,如果有输入密码或者信用卡资料的,却没有使用 HTTPS,将被 Chrome 浏览器标识为不安全。
其实这只是第一步,之后,任何没有使用 HTTPS 协议的网页都会被标识为"不安全",或者 "Not Secure"。
之前 DavidYin 就建议过,要使用 HTTPS,而且过去我也认为只有在有支付等需求的网站才需要上 HTTPS,现在看来还不够,从2017年1月开始,任何网站都要考虑到上 HTTPS了,新网站从设计,从买域名开始就要考虑到这一点。现有网站也要尽快加上 HTTPS。
过去用 HTTPS,买 SSL 证书都是一个比较大的成本。从去年的 Let's Encrypt 可以免费签发证书后,这就不再是一个费用的问题了,而且网上有不少自动签发证书以及续签的脚本,找一个用上就是了。还有一些虚拟空间的服务商,比如 Dreamhost , 也免费提供 Let's Encrypt 的自动签发服务,你都不用去找脚本了,直接在管理后台改一个设置就成了,以后每三个月自动给你续签。
如果想要用付费的域名,我推荐使用 gogetssl ,他们的 SSL 证书价格有优势,而且验证域名所有权以及签发的速度都是非常快的,一般我都是在一个小时内都可以完成了。
Gogetssl 的证书价格,就举几个最低的好了。
- Comodo Essential SSL,3年USD$25。
- Comodo PositiveSSL, 3年USD$11.25。
- GGSSL Domain SSL, 3年USD$9.65。
这三个是 DV 证书而已,我都有买过,用过。可以签发 ECC 证书。
这里 DavidYin 总结一下目前对于 HTTPS 的形势,告诉你如何做好 HTTPS 的8点。
- 所有网站都要加上 HTTPS。
- SSL 要用 ECC 证书,即使因为某种原因必须要用 RSA 证书的,那么也要用双证书,就是 ECC + RSA两个证书。
- 沃通已经信用破产,哪怕以后改个名字再来,也不要用。
- 有条件上 HSTS 的,那就加上,这无疑会更加安全。
- 只使用 TLS 协议,包括 TLSv1.0, TLSv1.1,TLSv1.2。禁止 SSL 协议。
- 在加密算法上,要去掉 RC4。
- SSL 证书的签名算法,要使用 SHA-2,不要使用已经被证明有严重缺陷的 SHA-1了。
- 前向安全性,Forward Secrecy,就是说要使用 DHE 或者ECDHE 密钥交换。