为什么要使用https协议?
-
提高网站访问安全性,网络连接都是加密的 (PS:虽然
SSL
并不是无懈可击的,但是我们应该尽可能提高窃听成本)。 -
目前越来越多的浏览器会判断当前站点支不支持https协议,提高用户信任度,体验好.
例如:据外媒报道,从2017年1月份正式发布的Chrome 56开始,Google将把某些包含敏感内容的HTTP页面标记为
“不安全”
,比如含有密码或支付表单信息。Google最终目标是将所有打破了https连接的HTTP页面,用特定的红色图标
给标记出来… 此举旨在唤起用户有关HTTP连接不安全、容易受到中间人攻击等危险的意识。通过HTTP连接发送的数据(比如密码和支付细节),会被通网络下别有用心的人轻易拦截。 -
Mozilla也在做着同样的事情——其中就有通过提供免费的TSL证书,以便其为网站服务部署https连接的
Let's Encrypt项目
。根据Chrome的遥测数据,在该浏览器每天加载的网页中,有近一半是通过https连接的。 -
福利:使用了https之后,如果网站的访客是从其他已经使用了https的网站上跳转过来,你就能在
Google Analytics
中获取更完整的来源信息。(说到这,不得不吐槽一下”墙”,它导致Google Analytics
的信息延迟长达一天以上,最后我不得不再将Baidu Analytics
纳入我的选择。) -
使用https之后,谷歌、百度等搜索排名权值(PR等)也会有相对提升。
默认情况下使用GitHub Pages的给定域名则支持http和https两种协议,但是如果使用自定义域名的话,则只能通过http://
访问,也就是说我们在Github上搭建 Hexo 或Jekyll 主题博客
后,通过CNAME
绑定个人域名后,我们只能通过http://
域名来访问。如果访问https://XXX.github.io/
(即原来的GitHub Pages域名)将会被重定向到我们的自定义域名
。但若直接访问https://我们的自定义域名
,浏览器会报SSL_DOMAIN_NOT_MATCHED
警告。
附:
在Github上搭建 Hexo 或Jekyll 主题博客
,这个网上教程很多,提供一篇我之前有写过的一篇教程Jekyll 搭建个人博客。
那么怎么给自己的域名加上https
呢?这个时候就需要使用第三方网站的证书了。而GitHub Pages并不支持上传SSL证书。
我在Google、Baidu上找相关解决办法时,又看到这样一个帖子:GitHub Pages 自定义域名启用 SSL,各位有什么建议?
从网上提供的信息来看,目前方案主要有两种:
-
自己购买证书,部署到一台机器,机器部署
nginx
,stunnel
等代理软件,反向代理到GitHub pages站点,域名指向代理机器IP(收费的SSL服务肯定是比免费的更加周到,一般收费的SSL都会提供端到端的加密,但是价格不菲,不推荐,不过这里还是分享一篇相关教程一步步教你把HTTP网站免费转成HTTPS网站); -
使用CloudFlare提供方案1类似的设置(推荐)
借用CloudFlare 给自己的域名加个 s
CloudFlare 是一家CDN提供商,它提供了免费的https服务
(但不是应用SSL证书)。实现模式就是,用户到CDN服务器的连接为https
,而CDN服务器到GithubPage服务器的连接为http
,就是在CDN服务器那里加上反向代理。
在网上还找到这样一种解释 Cloudflare 提供一种被他们称之为
Universal SSL
的服务,可以让任意HTTP
站点支持HTTPS
。它的原理是当访客使用HTTPS
访问站点的时候,从访客到 Cloudflare 这段是加密的,然后从 Cloudflare 到站点这段是明文的。虽然不是全程加密,但是也能很大程度上解决中间人,如果从 Cloudflare 到站点的信道相对可靠的话
- 注册并登录CloudFlare,并将自己域名下的
name server
修改为CloudFlare的name server
。 - 在CloudFlare的DNS设置域名匹配到自己的GithubPage(启用动态DNS加速)。
- 在CloudFlare的
Crypto
设置SSL为Flexible
(等待一定时间实现建立连接后,就可以通过https
来访问自己的 GithubPage )。 - 在CloudFlare的
Page Rules
中设置路由规则。一般情况下,利用Always use https
设置两条规则,规则链接分别为http://域名/*
与http://域名/
(开启https强制跳转)。
还有其他的一些,例如Cloudflare还提供免费的CDN
和缓存技术
,让浏览者有更好的体验。
补充[转载]
为什么Github Pages不支持为自定义域名添加SSL证书呢?
当我们访问自定义域名,DNS指向的地址(Github Pages
的IP
)会在我们的仓库中寻找cname
文件,判断目标文件和请求来源地址的域名一致后,Github Pages
会将errorlife.github.io
的内容返回给用户。
-
Ok,这是一个比较完整的过程,但是在解析的途中,看上面两张图(tracert一下这个”裸奔”站好了 :P),你会发现请求的地址是“美国Fastly公司CDN网络节点”,很明显这是Github的CDN,而且它只支持80端口,不支持443端口,免费的CDN一般不支持,而https默认就是使用443端口。
-
所以我们就知道Github Pages在解析域名和原生地址所分配的是不同的CDN,前者是不支持https的,而后者恰恰相反。
思考我们牺牲了什么
天下没有免费的午餐,不劳而获始终都是泡沫。所以在这个过程中我们究竟牺牲了什么?
- 我们必须
修改域名的DNS服务器
为Cloudflare提供的地址才能使用这项服务; - 无法进行
coding+github双线部署
,除非你使用Cloudflare的收费服务
,或者反向代理
,更多思路详见v2ex
提问的一个帖子。
检查是否引用外部资源
这个问题在我这儿并没有出现过,可是从网上教程来看,因为以往(一两年前)引用的某些外部资源还是http
的,会出现一些问题,比如:
生效后我发现我的网站是不太安全的状态,而且当我点击加载脚本之后,从不太安全的状态变成了不安全的状态。
v友的解决办法:
按下
F12
,尴尬的事情发生了,原来是配置文件和palceholder
在作怪,由于多说
的头像用的还是http
,巧的是,没多久,多说就下线关门了。
这就要求我们对https协议理解通透,之后google了一下,发现https并不支持这种第三方引入资源。