阿里云上实现全站https最佳实践(一)

简介:


为什么我们需要实现全站https?


目前主流大厂的网站和服务都已经实现了全站https, 例如: baidu, taobao, jd等.
关于这方面的好处和优势, 互联网上太多文章在进行介绍. 例如: 为什么我们应该尽快升级到 HTTPS?
对于一般的创业型公司, 迫切需要实现全站https的理由:


苹果要求所有iOS应用在年底前默认使用HTTPS连接
微信小程序的开发, 要求必须使用https通信

HTTP2.0其实可以支持非HTTPS的,但是现在主流的浏览器chrome,firefox表示还是只支持基于TLS部署的HTTP2.0协议,所以要想升级成HTTP2.0还是先升级HTTPS为好.


升级之前的准备工作.


先领取代金券礼包:
https://promotion.aliyun.com/ntms/yunparter/invite.html?userCode=czfmwdn3
SSL的证书类型?
DV (Domain Validation): 面向个体用户,安全体系相对较弱,验证方式就是向 whois 信息中的邮箱发送邮件,按照邮件内容进行验证即可通过.
OV (Organization Validation): 面向企业用户,证书在DV证书验证的基础上,还需要公司的授权,CA通过拨打信息库中公司的电话来确认.
EV (Extended Validation): 在浏览器URL地址栏当中,展示了注册公司的信息,这会让用户产生更大的信任,这类证书的申请除了以上两个确认外,还需要公司提供金融机构的开户许可证,要求十分严格.
需要强调的是,不论是 DV、OV 还是 EV 证书,其加密效果都是一样的!


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优惠券可抵扣一部分费用。

重要的区别:


1、DV证书的审核速度较快, 由程序完成审核, 一般申请了之后马上就能够完成证书颁发; OV和EV证书审核较慢, 由人工审核, 一般需要数天的时间.
2、EV证书会在浏览器当中显示公司的信息, 通常被称为绿色地址栏, 以增加用户的信任感. 参考如下访问github时, chrome浏览器的显示方式:
1
3、EV证书不支持单个泛域名(.example.com)或者多个泛域名(.example1.com, *.example2.com), OV和DV证书则支持.
如何选择?
通常的情况下, 一个处于初创阶段的互联网公司有多少个子系统是很难在前期就界定出来的. 因此, 如果能够无法明确规划出未来有多少个子系统, 需要使用多少个二级域名, 最好购买支持单个或者多个泛域名的证书. 至于是DV还是OV, 我个人觉得不是那么重要.


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优惠券可抵扣一部分费用。

一些经验总结:
HTTPS网页中加载的HTTP资源被称之为Mixed Content, 不同的浏览器有不同的block http资源的策略, 因此最好提前整理出你的程序依赖的内部http资源, 和外部http资源(统计资源[GA, CNZZ, 百度统计], 第三方分享, 第三方地图服务等). 尤其是外部的http资源, 需要评估是否提供了https的服务.


到哪里获取https证书?
免费资源:


  • Let’s Encrypt: 目前个人站点使用的非常普遍的证书.
    特点/限制:

如果你在使用云服务提供商的CDN或者负载均衡服务(例如阿里云的CDN或者SLB), Let’s
Encrypt就不太适合了, 阿里云的CDN或者SLB要求在云平台上上传证书的公钥和私钥, 而Let’s Encrypt强制90天过期, 虽然我们可以通过自动化的方式renew证书, 但我目前还没有找到比较好的解决方案.
只支持单个域名.



点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优惠券可抵扣一部分费用。

赛门铁克-顶级证书颁发机构.
1年过期.
只支持单个域名.


  • 腾讯云GeoTrust免费DV证书:
    特点/限制:

GeoTrust-顶级证书颁发机构.
1年过期.
只支持单个域名.
强烈不推荐:


StartSSL.com: 详见官网的以下描述:
2


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优惠券可抵扣一部分费用。

Wosign(沃通):
聊聊“沃通/WoSign”的那些破事儿
3


点我领取阿里云2000元代金券,(阿里云优惠券的作用:购买阿里云产品,最后支付结算的时候,阿里云优惠券可抵扣一部分费用。

Mozilla发布的wosign-issue
新浪的报道


PS:


阿里云在之前的一段时间也能够购买wosign的证书, 目前也已经下线了.
wosign的SEO做得不错, 搜索SSL证书, google和baidu都排在了第一页, 导致很多不明真相的群众被忽悠了.
付费资源:


阿里云: 提供了赛门铁克, GeoTrust, CFCA三个颁发的证书.


PS: 其它都没有用过, 就不推荐了.


最终我选了什么?
阿里云上的GeoTrust DV SSL: 价格便宜, 支持泛域名, 颁发迅速(30 min之内), 最重要的是统一使用了阿里云进行管理.
aliyunssl

阿里云服务器:活动地址

购买可领取:阿里云代金券

目录
相关文章
|
自然语言处理 Dubbo Java
【面试问题】Dubbo 推荐用什么协议?
【1月更文挑战第27天】【面试问题】Dubbo 推荐用什么协议?
|
9月前
|
存储 关系型数据库 MySQL
什么是联合索引
【10月更文挑战第15天】什么是联合索引
570 4
|
11月前
|
传感器 NoSQL 算法
ROS Moveit 配置全网最详细教程
本文是关于ROS Moveit配置的全网最详细教程,提供了一键安装脚本,以及如何使用Moveit进行机器人运动规划的详细步骤和说明。文中还深入解析了Moveit的配置包文件、Moveit的源码,以及如何使用不同的运动规划算法(如CHOMP、LERP、STOMP)进行路径规划。
1395 1
ROS Moveit 配置全网最详细教程
|
监控 JavaScript 网络安全
|
自然语言处理 索引
技术写作最佳实践与策略指南
作为一名技术写作者,遵守既定的最佳实践有助于确保您的工作的一致性、清晰性和整体质量。一些常见的最佳实践包括: 始终考虑受众: 牢记用户视角编写内容。确保技术术语、语言和复杂程度与您的目标读者相匹配。 逻辑地组织内容: 将材料分为章节、子章节、项目符号列表和表格。使用标题帮助读者浏览内容。 必要时使用图表和图像: 视觉辅助工具通常可以提高对复杂概念或过程的理解。 写出清晰简洁的句子: 避免使用读者可能不明白的模糊信息和术语。始终追求可读性。 编辑、编辑、编辑: 校对您的工作,纠正语法和拼写错误,并确保信息准确且最新。 遵循这些最佳实践可以提高您的技术写作效率,并确保您的受众能够轻松理
1310 0
|
移动开发 前端开发 JavaScript
金九银十,带你复盘大厂常问的项目难点(一)
金九银十,带你复盘大厂常问的项目难点
411 0
关闭阿里云的短信提醒
阿里云方便是方便,但是有太多的短信骚扰,所以可以考虑关闭一些阿里云的短信提醒 找到消息中心  如何联系我:【万里虎】www.bravetiger.cn 【QQ】3396726884 (咨询问题100元起,帮助解决问题500元起) 【博客】http://www.
2729 0
|
安全 开发者
代码签名证书?
代码签名证书(Code Signing Certificates)是用来标识软件或代码的来源以及软件开发者的真实身份,同时保证软件不被恶意篡改,签名后的软件下载安装时不会弹出安全警告,用户能够有效的辨别该软件的可信度,从而建立良好的软件品牌信誉度。
607 0
代码签名证书?
|
架构师 Java 中间件
首版发布!2023年AlibabaJava中高级架构师面试手册(对标P5-P8)
2023年AlibabaJava中高级架构师面试手册(对标P5-P8) 一年一度的金九银十面试招聘季已经到来,最近好多粉丝后台私信凯撒想要我整理一份最新的Java面试手册,我去各大程序员网站搜罗了这一份2023年AlibabaJava中高级架构师面试手册(对标P5-P8)
|
关系型数据库 MySQL Java
超详解The server time zone value ‘�й���׼ʱ��‘ is unrecognized or represents more than one time zone
超详解The server time zone value ‘�й���׼ʱ��‘ is unrecognized or represents more than one time zone
1111 0