HTTPS 排名

谷歌不是说提升 HTTPS 的排名吗?网站应该开始用这货了。我自己是在 NameCheap 买证书的啦,自己找到算最便宜的了。当然,也有免费的 STARTSSL。最基本的 SSL 证书价格跟一个正常的  .com 域名的价钱差不多。

NGINX 虽然支持 Server Name Indication,但是游览器的支持率不高,也就是说 NGINX 不支持一台服务器安装 N 个 SSL 证书的,每个 HTTPS 的网站需要一个独立 IP。(wildcard  或者 Subject Alternative Names (SAN) 证书可以忽略这段话)

NGINX 的 HTTPS 配置详见:mozilla

完全向前保密

事先申明:这篇文章不是给 PFS 翻译,只是我个人的见解。欲知 PFS 是神马,请自己阅读这里(英文)和这里(英文)。

完全向前保密(Perfect Forward Secrecy,PFS)使用“会话密钥(Session Key)”在会话结束后就过期。“会话密钥”是一个长期密钥(Long-Term Key)的衍生出来的密钥,不会透露额外的密钥。所以,简单来说,黑客今天截取一些通讯资料,明天或者有更好更快的机器帮助他解密,就算破解到这个“会话密钥”,他也只能看到这个会话的内容,其他的通讯是不能用这个已破解的密钥来解密。如果你没有使用 PFS,一旦解密密钥被破解,网站的加密也统统给破解掉了。

软件需求:

  • nginx 1.1.13+
  • nginx 的 ngx_http_ssl_module 模块
  • 一个有效的 SSL 证书
  • OpenSSL 1.0.1+

Forward Secrecy

因为 PFS 使用了『迪菲-赫尔曼加密法』,所以需要一些额外的配置。 Continue reading 完全向前保密