谷歌再見HTTP！

前幾天看了一篇文章，標(biāo)題為“HTTP遭谷歌拋棄起Chrome將全部標(biāo)示為不安全”，內(nèi)容大概是“據(jù)國(guó)外媒體Venturebeat報(bào)道，谷歌宣布，Chrome瀏覽器的地址欄將把所有HTTP標(biāo)示為不安全網(wǎng)站。這是谷歌瀏覽器針對(duì)HTTP網(wǎng)站開戰(zhàn)的第三步棋?！?br>

其實(shí)不只是Google，蘋果在發(fā)布iOS 9的同時(shí)也向開發(fā)者傳遞了一個(gè)消息，那就是App Store中所有應(yīng)用都必須啟用 App Transport Security應(yīng)用程序安全傳輸協(xié)議，從而提升應(yīng)用和系統(tǒng)安全性。

不過(guò)后來(lái)蘋果在其開發(fā)者網(wǎng)站上表示將延長(zhǎng)該規(guī)定的截止日期，以便給開發(fā)者更多的時(shí)間做好切換工作。種種跡象表明，全面啟用HTTPS勢(shì)在必行。

我們先了解一下相關(guān)的基礎(chǔ)知識(shí)，再繼續(xù)本文的主題。大?？陕赃^(guò)。

HTTP和HTTPS

我們現(xiàn)在的生活已經(jīng)離不開互聯(lián)網(wǎng)了，當(dāng)我們?yōu)g覽網(wǎng)頁(yè)，網(wǎng)上shopping的時(shí)候數(shù)據(jù)都是基于http協(xié)議進(jìn)行傳輸?shù)?。http已經(jīng)升級(jí)到了2.x版本，想要了解2.x版本。

HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文，就可以直接讀懂其中的信息，因此HTTP協(xié)議不適合傳輸一些敏感信息，比如信用卡號(hào)、密碼等。

因?yàn)?http 是明文傳輸?shù)?，通過(guò) http 協(xié)議傳輸?shù)膬?nèi)容很容易被偷看和篡改，為了安全（你肯定不想被人偷看或者篡改網(wǎng)頁(yè)內(nèi)容吧，比如網(wǎng)站銀行密碼什么的。）就為 http 協(xié)議再加上了一層 SSL/TLS 安全協(xié)議，所以就有了 https 。

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP的基礎(chǔ)上加入SSL協(xié)議，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。?用于安全的HTTP數(shù)據(jù)傳輸。SSL依靠證書來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

HTTPS主要作用可以分為兩種：一種是建立一個(gè)信息安全通道，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?；另一種就是確認(rèn)網(wǎng)站的真實(shí)性，凡是使用了 https 的網(wǎng)站，都可以通過(guò)點(diǎn)擊瀏覽器地址欄的鎖頭標(biāo)志來(lái)查看網(wǎng)站認(rèn)證之后的真實(shí)信息，也可以通過(guò) CA 機(jī)構(gòu)頒發(fā)的安全簽章來(lái)查詢。

CA認(rèn)證

采用https的服務(wù)器必須從CA （Certificate Authority）申請(qǐng)一個(gè)用于證明服務(wù)器用途類型的證書。該證書只有用于對(duì)應(yīng)的服務(wù)器的時(shí)候，客戶端才信任此主機(jī)。

CA是證書的簽發(fā)機(jī)構(gòu),它是PKI的核心。CA是負(fù)責(zé)簽發(fā)證書、認(rèn)證證書、管理已頒發(fā)證書的機(jī)關(guān)。它要制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶身份，并對(duì)用戶證書進(jìn)行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。

如果用戶想得到一份屬于自己的證書，他應(yīng)先向 CA 提出申請(qǐng)。在 CA 判明申請(qǐng)者的身份后，便為他分配一個(gè)公鑰，并且 CA 將該公鑰與申請(qǐng)者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請(qǐng)者。

但是申請(qǐng)證書是收費(fèi)的（按年），少則一兩千，多則七八千。（網(wǎng)上有人說(shuō)還有幾十的，實(shí)際還沒看到過(guò)）但有些公司就是不愿意花錢，還有一些個(gè)人網(wǎng)站更不愿意花錢了。

OK，簡(jiǎn)單介紹下基礎(chǔ)知識(shí)，下面開始本文的重點(diǎn)，教你如何生成可靠的并且免費(fèi)的證書。

Let’s Encrypt

Let’s Encrypt 是 一個(gè)叫 ISRG （ Internet Security Research Group ，互聯(lián)網(wǎng)安全研究小組）的組織推出的免費(fèi)安全證書計(jì)劃。參與這個(gè)計(jì)劃的組織和公司可以說(shuō)是互聯(lián)網(wǎng)頂頂重要的先驅(qū)，除了前文提到的三個(gè)牛氣哄哄的發(fā)起單位外，后來(lái)又有思科（全球網(wǎng)絡(luò)設(shè)備制造商執(zhí)牛耳者）、 Akamai 加入，甚至連 Linux 基金會(huì)也加入了合作，這些大牌組織的加入保證了這個(gè)項(xiàng)目的可信度和可持續(xù)性。

盡管項(xiàng)目本身以及有該項(xiàng)目簽發(fā)的證書很可信，但一開始 Let’s Encrypt 的安全證書配置起來(lái)比較麻煩，需要手動(dòng)獲取及部署。存在一定的門檻，沒有一些技術(shù)底子可能比較難搞定。官網(wǎng)地址：https://letsencrypt.org/

Certbot

后來(lái) ISRG 的發(fā)起者 EFF （電子前哨基金會(huì)）為 Let’s Encrypt 項(xiàng)目發(fā)布了一個(gè)官方的客戶端 Certbot ，利用它可以完全自動(dòng)化的獲取、部署和更新安全證書。這真是非常容易、方便呀，所以我們就可以直接使用官方客戶端。

官網(wǎng)地址：https://certbot.eff.org/，我們打開這個(gè)網(wǎng)站，顯示出上頁(yè)面的兩個(gè)選擇框，I'm using和on。根據(jù)你實(shí)際使用的軟件，和操作系統(tǒng)進(jìn)行選擇，不同的系統(tǒng)，有不同的安裝方式，我用的是CentOS7和Nginx，選擇如下圖：

選擇后，下面會(huì)出現(xiàn)安裝步驟，按照步驟操作就可以了，安裝cerbot后，可以生成證書讓cerbot自動(dòng)幫你配置nginx，也可以只生成證書，自己手動(dòng)修改nginx配置。

?sudo yum install certbot-nginx

提示安裝完成后，執(zhí)行第二步生成證書

sudo certbot --nginx

如果你運(yùn)氣好的話，會(huì)很順利生成證書，如果不順利的話，會(huì)出現(xiàn)錯(cuò)誤，這些錯(cuò)誤都是你服務(wù)器缺少包導(dǎo)致。咱們先說(shuō)順利的情況：

輸入你的郵箱地址，這樣當(dāng)證書過(guò)期的時(shí)候，它會(huì)給你發(fā)郵件提醒你。輸入郵箱后，回車，下一步：

輸入A同意：它會(huì)在letsencrypt這個(gè)網(wǎng)站上幫你注冊(cè)賬號(hào)。然后下一步：

然后會(huì)列出來(lái)你nginx里配置的域名，填入你需要生成哪個(gè)域名的證書，輸入對(duì)應(yīng)的數(shù)字序號(hào)，回車

有兩個(gè)選項(xiàng)，1 是不需要重定向，2 重定向。意思就是說(shuō)，當(dāng)客戶端訪問http的時(shí)候是否重定向到https。如果你的系統(tǒng)只允許訪問https接口，選2即可。輸入2回車。

OK，大功告成，這時(shí)候certbot已經(jīng)幫你重啟了nginx，你只需調(diào)用https接口測(cè)試即可，我寫的比較詳細(xì)，顯得步驟很多，其實(shí)熟練的話，一分鐘就搞定了。

我們打開nginx的配置文件看看：

這是certbot生成的證書，按照這個(gè)路徑可以找到對(duì)應(yīng)的證書文件。

另外 letsencrypt證書的有效期是90天，所以90天需要更新一下證書，更新證書也是可以自動(dòng)更新的，輸入命令：

sudo certbot renew --dry-run

Certbot 會(huì)幫你啟動(dòng)一個(gè)定時(shí)任務(wù)，在證書過(guò)期時(shí)自動(dòng)更新。

還有，如果你只想生成證書怎么辦？Nginx 配置中并沒有此域名。同樣一行代碼搞定：

certbot certonly --cert-name example.com

Certbot 會(huì)啟動(dòng)一個(gè)臨時(shí)服務(wù)器來(lái)完成驗(yàn)證（會(huì)占用80端口或443端口，因此需要暫時(shí)關(guān)閉 Web 服務(wù)器），然后 Certbot 會(huì)把證書以文件的形式保存，包括完整的證書鏈文件和私鑰文件。

不同的系統(tǒng)，不同的軟件，安裝命令也不盡相同，直接參照官方文檔操作就行了，大概過(guò)程都差不多，如果大家在安裝的過(guò)程中遇到問題，可以在公眾號(hào)里給我留言，我會(huì)抽時(shí)間一一答復(fù)。