全站HTTPS一点都不简单

  • 时间:2018-06-20 22:31 作者:王者的农场 来源:王者的农场 阅读:92
  • 扫一扫,手机访问
摘要:认知误差现象一向存在于我们每个人身上,谁也防止不掉,不过是有的人理解这件事儿,有的人不怎么知道罢了,这就产生了「无知而不自知」的认知误差。当然,这时候你自己忽悠自己倒没什么,顶多让自己每天感觉自己挺凶猛的,沉迷于虚幻的优越感中,认为自己比大多数人都优异,这倒不是一件什么坏作业,可是,假如你和他人沟通

认知误差现象一向存在于我们每个人身上,谁也防止不掉,不过是有的人理解这件事儿,有的人不怎么知道罢了,这就产生了「无知而不自知」的认知误差。当然,这时候你自己忽悠自己倒没什么,顶多让自己每天感觉自己挺凶猛的,沉迷于虚幻的优越感中,认为自己比大多数人都优异,这倒不是一件什么坏作业,可是,假如你和他人沟通交流中展现出来,那挺可怕的,何况有时候你自己并不知道,达克效应(Dunning-Kruger Effect)描绘的就是这种现象。

全站HTTPS一点都不简单

防止这种现象在自己身上的存在,没什么特别办法,多学习那些自身就极端优异的人是怎么考虑和生计的,体现出谦逊算其间一种,还有就是多读书。就这样...

全站 HTTPS 必要准备作业

做任何一件作业最好的状况就是你恰好做过,这倒没什么可说的,由于第2次总是要比第一次好。假如你没做过这件事怎么办?没事,去看看他人怎么做的。

晋级全站 HTTPS 作业在两年前左右应该是评论最火的了,在2014年末,Google Chromium 安全团队提议将一切的 HTTP 协议网站标示为不安全,市场占有率较高的 Chrome 浏览器也是这么做的,所以在接下来一段时间内,各个大厂、大公司都逐步晋级了 HTTPS 协议,当然,上一年 Apple 也宣告一切运使用开发者必需在 2017 年 1 月 1 日之前完结一切的 App 接入安全地效力器,即网络传输协议运使用 HTTPS。所以呢,我们就简略的看一下国内这些顶尖互联网企业怎样完结全站 HTTPS 的:

淘宝

启使用全站HTTPS后不只更安全并且更快 看淘宝是怎样做到的

百度

大型网站的HTTPS实践一:HTTPS协议和原理

HTTPS对网站功可以SEO有哪些影响?

大型网站HTTPS实践三:根据协议和装备的优化

大型网站的HTTPS实践四:协议层以外的实践

看完这些文章后,估量你就可以够知道要买 SSL 证书了,也可以够去买 SSL 证书了,详细是运使用各个云效力商家的免费单域名证书,仍是事务需求更强壮的泛域名证书、OV 证书等等,你就需求看看我写的这两篇文章了(好不要脸吖..):

让你的网站免费支撑 HTTPS 及 Nginx 滑润晋级

一篇文章让你搞懂 SSL 证书

剖析整个体系拟定方案

有方案才干没改变。其实也没什么要做的,只需一件事,你接下来要做的仅有一件事就是理解整个体系。计算出一切已使用到的域名,需求购买什么类型域名证书,是二级域名、三级域名仍是各种杂乱无章的域名,自己剖析;再而后,理解每个域名背面的效力是怎样运作的,这里边会涉及到前台页面、少量资源文件的固定协议引证,后台代码中关于协议获取是写死的仍是动态的,数据库中存储的网址链接等等,这些通通要考虑到。

剖析完体系后,其间一定会存在混合协议拜访恳求,HTTPS 下浏览器会拦截掉一切 HTTP 恳求的,不同页面间跳转、不同效力域名间跳转假如是以固定的 HTTP 协议写死的,要支撑全站 HTTPS 协议,首要解决的是以当时协议来灵敏的区别不同域名效力间的跳转。其次,HTTPS 协议首次恳求存在多次握手,因此网络耗时变长问题,可可以会影响体系拜访速度。所以,我是主张方案分为两个阶段来进行全站 HTTPS 晋级:

一阶段:将现在一切域名装备为支撑 HTTP 和 HTTPS 两种协议,不做 HTTP 恳求强制 HTTPS 跳转。在验证及测验完结 HTTPS 下,体系一切效力以及拜访速度均无问题后,进行施行二阶段方案。

二阶段:在上阶段不强制 HTTPS 拜访验证通往后,域名做强制 HTTPS 协议。即当使用户以 HTTP 协议拜访体系时, 如使用 Nginx 做强制 301 跳转到 HTTPS 协议,做到全站 HTTPS 安全拜访协议。

不出意外,依照这两步方案,应该可以够保险是进行全站 HTTPS 晋级作业,当然,期间不行防止的会踩少量坑,由于每个公司事务不同、体系环境不平等起因,都会遇到不行预估的问题,一个个解决就行了。我下面会写一下晋级期间共性的、也就是每个人都必需要踩的坑和怎样解决这些问题。

十条注意事项

1、浏览器拦截混合拜访恳求

由于浏览器安全规矩,在 HTTPS 恳求下经过 JavaScript 恳求 HTTP 恳求或者引进 HTTP 协议资源文件,会报“Mixed Content”过错,导致恳求无法持续。

Mixed Content: The page at 'https://domain.com/' was loaded over HTTPS, but requested an insecure script 'http://domain.com/'. This request has been blocked; the content must be served over HTTPS.

2、前台 HTML、JS 资源引使用存在 HTTP

前台页面及 js 文件中,写死的 http:// 协议资源及跳转改为根据当前协议切换(//)。

用相对协议,如:

最新发布的资讯信息
【系统环境|软件环境】如何成为一名大数据工程师?(2019-05-20 12:11)
【系统环境|Linux】大数据四大常识,不会你敢说自己在做大数据?(2019-05-19 11:39)
【系统环境|】需要同时掌握AVA和Linux,才可以继续大数据课程的学习(2019-05-18 10:28)
【系统环境|软件环境】学习大数据,一定要了解大数据的这些用途(2019-05-16 10:49)
【系统环境|Linux】bt宝塔控制面板mysql频繁自动停止详细解决办法(2019-05-16 08:52)
【系统环境|】大数据零基础学习路线,新人记得保存收藏哦(2019-05-15 10:54)
【系统环境|】全网最全最新的大数据系统学习路径(2019-05-14 15:38)
【系统环境|Linux】毕业设计:音乐分享系统(2019-05-14 07:48)
【系统环境|】教你零基础如何快速入门大数据技巧(2019-05-12 11:25)
【系统环境|】想学习大数据?这才是完整的大数据学习体系(2019-05-11 11:33)
手机二维码手机访问领取大礼包
返回顶部