zoukankan      html  css  js  c++  java

  • Java Web学习总结(31)——全站HTTPS化SSL免费证书使用

    1 背景

    谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站;苹果从 2017 年 iOS App 将强制使用 HTTPS;在国内热火朝天的小程序也要求必须使用 HTTPS 请求。


    2 SSL证书类型

    通常来说,SSL 证书分为三大类,他们的安全性是递增的,当然价格和安全系数成正比。

    1. DV (Domain Validation Certificate)   DV 证书适合个人网站使用,申请证书时,CA 只验证域名信息。几分钟之内就能签发。
    2. OV ( Organization Validation Certificate)  OV 证书需要认证公司的信息。1-2天签发。
    3. EV ( Extended Validation Certificate)   EV 证书的认证最为严格,一般会要求提供纸质材料。签发时间也较久。

    备注:

    • 个人博客、网站,选择 DV 证书即可; 
    • 企业网站,但还不想付费,可以选择 DV 证书; 
    • 综合性的企业门户网站,可以选择 OV 证书; 
    • 金融、电商企业网站,选择 EV 证书。


    3 SSL证书供应商简单对比

    a. Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。

    b. StartSSL 是 StartCom 公司旗下的 SSL 证书,应该算是免费 SSL 证书中的鼻祖,最早提供完全免费的 SSL 证书并且被各大浏览器所支持的恐怕就只有 StartSSL 证书了。首次申请 StartSSL 免费SSL证书是免费一年,但是你可以在第二年继续续期。

    c. 七牛免费SSL 七牛最近和亚洲诚信合作推了赛门铁克 Symantec 签发的 DV 证书。

    对比结果:

    • 申请便利性:StartSSL和七牛的申请起来都相对便利,Let's Encrypt对环境要求比较多。
    • 有效期:StartSSL和七牛都是一年,Let's Encrypt 90天。
    • 证书兼容性:StartSSL 的一年免费 DV SSL 已经被 Chrome、Mozilla 封杀。要慎重选择。Let's Encrypt总体来说兼容性还不错,不过肯定是赛门铁克的兼容性最好。
    • 售后:免费证书其实基本都没啥售后可言,Let's Encrypt 基本上只能求助于社区,StartSSL和七牛都有官方客服可以咨询,七牛对中文服务的支持更好。

    4 常见问题

    1.七牛目前提供的是哪种证书?

    七牛云目前提供的是 DV 单域名证书。

    • 证书品牌:亚洲诚信(赛门铁克Symantec签发)

    • 证书类型:DV SSL单域名证书  

    • 证书价格:七牛云用户免费(原价1900元/年)


    2.DV SSL证书申请需要多久?

    DV SSL证书无需验证所有者资质资料,审核流程相对简单,因此可快速签发。但部分域名信息可能会触发不同等级的安全审查机制,必要时需要人工介入进行审查签发,因此,SSL证书签发时间可能会从10几分钟到24小时不等。如果您的证书仍在审核中,请耐心等待。 


    3.申请了主域名SSL证书,是否还需要申请www域名的?(关心最多的单域名、多域名、泛域名问题)

    申请主域名如 qiniu.com 的SSL证书,默认会在证书域名中添加www域名如 www.qiniu.com,因此无需重复申请;

    同样,如果您申请www的二级域名,将同时为您添加主域名使用权限。但如果您是申请的三级域名,如 www.abc.qiniu.com,则只能支持该域名,不会支持 abc.qiniu.com。


    4.为什么会出现安全审核失败?

    用户域名中包含非法关键字可能导致安全审核失败,非法关键字由CA定义,例如cctv,icbc等。安全审核失败后,请更换域名或更换用户信息重新提交。
    提交证书申请时,申请信息不要包含中文,否则可能出现“安全审查失败”。中文信息建议用拼音代替。


    5.常见的证书申请状态有哪些?
    在申请证书过程中,可能出现以下状态:

    • 域名循环验证中:已提交证书申购,等待用户DNS验证域名所有权。
    • 已完成:证书验证成功并已签发证书,可以使用。
    • DNS验证超时:超过一定时间没有去DNS验证。
    • 订单被拒绝/安全审核失败:用户短时间多次提交或重复信息提交订单;域名中包含非法关键字导致安全审核失败。
    • 提交订单审核不通过:由CA机构判定,域名涉及敏感字段或钓鱼域名,无法提交订单,无法人工处理。

    5 申请流程

    1.在个人面板-》证书管理申请证书。


    2.申请完证书后跳转到 证书列表 而不是 订单列表,具体设置要在订单列表中完成。


    3.DNS 验证

    a. 记录类型选择 CNAME

    b. 主机记录填写 cnamekey,点击复制 Key 是复制全部字段(注:万网和DNSpod平台cnamekey不需要主域名部分),见图

    c. 记录值填写cnamevalue,复制全部字段,见图

    d. 其他选项默认即可,见图


    e. CName Key 的 DNS 解析指向 CName Value 操作完成后,系统会循环自动检测验证,最长不超过24小时,您可以用 dig 命令来自我检测下DNS解析是否配置成功,见图
  • 相关阅读:
    Oracle 常用的单行函数
    mysql练习02
    mysql练习
    Linux命令
    JSS
    CSS
    Html标签
    需求文档
    Oracle 常用的单行函数
    RHEL7最小化安装之后(桥接模式),查看本机IP,
  • 原文地址:https://www.cnblogs.com/zhanghaiyang/p/7212713.html
Copyright © 2011-2022 走看看