WordPress博客开启HTTPS安全访问

/ 0评 / 1

自从百度启用https之后,百度收录也做了一些改变。

详见2015年5月份 百度开放收录https站点公告

HTTPS对个人站到底有什么好处?答案是:并没有发现,我只是为了适应一下大环境罢了。

启用HTTPS后带来的问题

启用全站安全连接会带来一系列问题:

1.百度联盟不能继续使用,由于百度联盟暂时不支持安全连接(可能是我没找到),所以必须弃用百度联盟。
2.新浪微博评论箱,这货也没提供安全连接?
3.新浪微博关注。
4.百度分享控件(同类产品有很多支持安全连接的)
5.七牛云存储(正在申请安全连接中。。。)

开启HTTPS要做的一些事儿

如果你愿意放弃以上提出的问题,那么就可以继续开启全站HTTPS了。

申请SSL证书

既然是个人站长,所有东西都是免费优先。在这里还需要感谢两家提供免费SSL证书的公司。

1:WoSign https://www.wosign.com/

2:StartSSL http://www.startssl.com/

部署安全证书

nginx服务器配置:

server {
   listen 443;

   server_name wuzhuti.cn;

   ssl on;
   ssl_certificate /key/wuzhuti.cn.crt; #证书
   ssl_certificate_key /key/wuzhuti.cn.key; #密钥
   ssl_session_timeout 5m; #session有效期,5分钟
   ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; #ssl协议
   ssl_ciphers HIGH:!ADH:!EXPORT56:RC4+RSA:+MEDIUM; 
   ssl_prefer_server_ciphers on;
  
   ## ......省略其他配置

(更新:07/12/2016)apache服务器配置:

<VirtualHost *:443>
    SSLEngine on
    SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
    SSLCertificateFile "/key/wuzhuti.cn.crt"
    SSLCertificateKeyFile "/key/wuzhuti.cn.key"
## .....忽略其他配置  

http重定向到https

nginx:
server {
  listen      80;
  server_name    my.domain.com;
  return      301 https://$server_name$request_uri;
}

server {
  listen      443 ssl;
  server_name    my.domain.com;

  # ........省略其他配置
}

(更新:07/12/2016)apache:

#.htaccess
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R,L]

其他问题

注意
需要注意的是:开启HTTPS之后,在页面中不允许出现任何飞安全连接资源请求。

Openssl FREAK 中间人劫持漏洞
在阿里云盾发现有中危漏洞提示:Openssl FREAK 中间人劫持漏洞

参考阿里云给出的解决方案:Openssl FREAK 中间人劫持漏洞

发表评论

电子邮件地址不会被公开。 必填项已用*标注