现在越来越多的网站将传输协议由http改为了https,那https到底是怎么回事呢?
简单的来说HTTP和HTTPS的区别是有没使用SSL(安全套接字层)或者其后继者TLS(传输层安全)。http+ssl=https, 端口80,443
以前https没有广泛应用主要是以下两个原因:
HTTPS 太贵
你需要从根证书颁发机构购买浏览器和客户端能够识别的 SSL 证书。SSL 证书年费从几美刀到几千不等——如果你的网站是基于多个服务器/VM的集群,那你需要买的证书还不只一个。
虽然HTTPS曾经昂贵过,但如今你已经能够从许多机构买到非常便宜的SSL证书. 而 EFF (电子前沿基金会) 已经推出了一个完全免费的 SSL 证书提供机构: https://letsencrypt.org/我的网站用的就是letsencrypt的免费证书。
HTTPS会占用CPU
因为有加密运算,https会占用一些CPU资源。前几年的报道是改为https后,网页的打开时间会增加5到10倍。
现在随着个人电脑性能的大幅提高,https已经和http没有明显的区别了。
下面是建立https连接的具体细节图。图片来自码农翻身的这篇文章,那篇文章也有关于更多https的更多细节描述。
在浏览器上面,你可以很容易的看出来使用了什么协议。使用了HTTPS协议的URL是以https开头的,使用了HTTP协议的是以http开头的。比如我的网页现在就是基于https协议的。
在Chrome里https有个锁加Secure的图标,是不是很Cool,想不想学?
将基于wordpress的个人网站的默认协议改为https是个很简单的操作。https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04 这个链接是基于ubuntu16.04/Nginx/wordpress的https具体设置说明,简单明了,我就是跟着它做的。如果你的平台和web服务器和我不同,digitalocean上也有对应的Guide。
设置完成后别忘了在https://www.ssllabs.com/ssltest/analyze.html上验证一下。
如果你和我一样得到个A+的评价,是不是感觉美滋滋。
[…] 我自己也清楚,我的网站只是我自娱自乐,日活人数<1的网站。但这并不妨碍我不断给wordpress升级,激活https,开通2FA登录认证,保持日常备份,提升网站的安全性,并不断优化性能。 […]
[…] 近年来,我吃饱了没事干,不断增强我这个日活用户就我自己一人的网站的安全性。除了在第一时间升级wordpress到最新版本外,我还将网站的默认传输协议由http改为了https,并不断演练网站的灾难恢复。 […]