日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
全站HTTPS沒(méi)你想象的那么簡(jiǎn)單

對(duì)自己無(wú)知這件事本身的無(wú)知真的挺可怕

創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)公司,提供網(wǎng)站建設(shè)、網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);可快速的進(jìn)行網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,是專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

認(rèn)知偏差現(xiàn)象一直存在于我們每個(gè)人身上,誰(shuí)也避免不掉,不過(guò)是有的人了解這件事兒,有的人不怎么知道而已,這就產(chǎn)生了「無(wú)知而不自知」的認(rèn)知偏差。當(dāng)然,這時(shí)候你自己忽悠自己倒沒(méi)什么,頂多讓自己每天感覺(jué)自己挺厲害的,沉浸于虛幻的優(yōu)越感中,以為自己比大多數(shù)人都優(yōu)秀,這倒不是一件什么壞事情,但是,如果你和別人溝通交流中展現(xiàn)出來(lái),那挺可怕的,況且有時(shí)候你自己并不知道,達(dá)克效應(yīng)(Dunning-Kruger Effect)描述的就是這種現(xiàn)象。

避免這種現(xiàn)象在自己身上的存在,沒(méi)什么特殊方法,多學(xué)習(xí)那些本身就極其優(yōu)秀的人是怎么思考和生存的,表現(xiàn)出謙遜算其中一種,還有就是多讀書(shū)。就這樣...

全站 HTTPS 必要準(zhǔn)備工作

做任何一件事情最好的情況就是你剛好做過(guò),這倒沒(méi)什么可說(shuō)的,因?yàn)榈诙慰偸且鹊谝淮魏?。如果你沒(méi)做過(guò)這件事怎么辦?沒(méi)事,去看看別人怎么做的。

升級(jí)全站 HTTPS 工作在兩年前左右應(yīng)該是討論最火的了,在2014年底,Google Chromium 安全團(tuán)隊(duì)提議將所有的 HTTP 協(xié)議網(wǎng)站標(biāo)注為不安全,市場(chǎng)占有率較高的 Chrome 瀏覽器也是這么做的,所以在接下來(lái)一段時(shí)間內(nèi),各個(gè)大廠、大公司都逐步升級(jí)了 HTTPS 協(xié)議,當(dāng)然,去年 Apple 也宣布所有應(yīng)用開(kāi)發(fā)者必須在 2017 年 1 月 1 日之前實(shí)現(xiàn)所有的 App 接入安全地服務(wù)器,即網(wǎng)絡(luò)傳輸協(xié)議使用 HTTPS。所以呢,我們就簡(jiǎn)單的看一下國(guó)內(nèi)這些頂尖互聯(lián)網(wǎng)企業(yè)如何實(shí)現(xiàn)全站 HTTPS 的:

  • 淘寶

啟用全站HTTPS后不僅更安全而且更快 看淘寶是如何做到的

  • 百度

大型網(wǎng)站的HTTPS實(shí)踐一:HTTPS協(xié)議和原理

HTTPS對(duì)網(wǎng)站性能SEO有哪些影響?

大型網(wǎng)站HTTPS實(shí)踐三:基于協(xié)議和配置的優(yōu)化

大型網(wǎng)站的HTTPS實(shí)踐四:協(xié)議層以外的實(shí)踐

看完這些文章后,估計(jì)你就可以知道要買(mǎi) SSL 證書(shū)了,也可以去買(mǎi) SSL 證書(shū)了,具體是使用各個(gè)云服務(wù)商家的免費(fèi)單域名證書(shū),還是業(yè)務(wù)需要更強(qiáng)大的泛域名證書(shū)、OV 證書(shū)等等,你就需要看看我寫(xiě)的這兩篇文章了(好不要臉吖..):

  • 讓你的網(wǎng)站免費(fèi)支持 HTTPS 及 Nginx 平滑升級(jí)
  • 一篇文章讓你搞懂 SSL 證書(shū)

分析整個(gè)系統(tǒng)制定計(jì)劃

有計(jì)劃才能沒(méi)變化。其實(shí)也沒(méi)什么要做的,只有一件事,你接下來(lái)要做的唯一一件事就是了解整個(gè)系統(tǒng)。統(tǒng)計(jì)出所有已用到的域名,需要購(gòu)買(mǎi)什么類(lèi)型域名證書(shū),是二級(jí)域名、三級(jí)域名還是各種亂七八糟的域名,自己分析;再然后,了解每個(gè)域名背后的服務(wù)是如何運(yùn)作的,這里邊會(huì)涉及到前端頁(yè)面、一些資源文件的固定協(xié)議引用,后端代碼中關(guān)于協(xié)議獲取是寫(xiě)死的還是動(dòng)態(tài)的,數(shù)據(jù)庫(kù)中存儲(chǔ)的網(wǎng)址鏈接等等,這些統(tǒng)統(tǒng)要考慮到。

分析完系統(tǒng)后,其中肯定會(huì)存在混合協(xié)議訪問(wèn)請(qǐng)求,HTTPS 下瀏覽器會(huì)攔截掉所有 HTTP 請(qǐng)求的,不同頁(yè)面間跳轉(zhuǎn)、不同服務(wù)域名間跳轉(zhuǎn)如果是以固定的 HTTP 協(xié)議寫(xiě)死的,要支持全站 HTTPS 協(xié)議,首要解決的是以當(dāng)前協(xié)議來(lái)靈活的區(qū)分不同域名服務(wù)間的跳轉(zhuǎn)。其次,HTTPS 協(xié)議首次請(qǐng)求存在多次握手,因此網(wǎng)絡(luò)耗時(shí)變長(zhǎng)問(wèn)題,可能會(huì)影響系統(tǒng)訪問(wèn)速度。所以,我是建議計(jì)劃分為兩個(gè)階段來(lái)進(jìn)行全站 HTTPS 升級(jí):

一階段:將目前所有域名配置為支持 HTTP 和 HTTPS 兩種協(xié)議,不做 HTTP 請(qǐng)求強(qiáng)制 HTTPS 跳轉(zhuǎn)。在驗(yàn)證及測(cè)試完成 HTTPS 下,系統(tǒng)所有服務(wù)以及訪問(wèn)速度均無(wú)問(wèn)題后,進(jìn)行實(shí)施二階段計(jì)劃。

二階段:在上階段不強(qiáng)制 HTTPS 訪問(wèn)驗(yàn)證通過(guò)后,域名做強(qiáng)制 HTTPS 協(xié)議。即當(dāng)用戶以 HTTP 協(xié)議訪問(wèn)系統(tǒng)時(shí), 如用 Nginx 做強(qiáng)制 301 跳轉(zhuǎn)到 HTTPS 協(xié)議,做到全站 HTTPS 安全訪問(wèn)協(xié)議。

不出意外,按照這兩步計(jì)劃,應(yīng)該可以穩(wěn)妥是進(jìn)行全站 HTTPS 升級(jí)工作,當(dāng)然,期間不可避免的會(huì)踩一些坑,因?yàn)槊總€(gè)公司業(yè)務(wù)不同、系統(tǒng)環(huán)境不同等原因,都會(huì)遇到不可預(yù)估的問(wèn)題,一個(gè)個(gè)解決就行了。我下面會(huì)寫(xiě)一下升級(jí)期間共性的、也就是每個(gè)人都必須要踩的坑和如何解決這些問(wèn)題。

十條注意事項(xiàng)

1、瀏覽器攔截混合訪問(wèn)請(qǐng)求

由于瀏覽器安全規(guī)則,在 HTTPS 請(qǐng)求下通過(guò) JavaScript 請(qǐng)求 HTTP 請(qǐng)求或引入 HTTP 協(xié)議資源文件,會(huì)報(bào)“Mixed Content”錯(cuò)誤,導(dǎo)致請(qǐng)求無(wú)法繼續(xù)。

Mixed Content: The page at 'https://domain.com/' was loaded over HTTPS, but requested an insecure script 'http://domain.com/'. This request has been blocked; the content must be served over HTTPS.

2、前端 HTML、JS 資源引用存在 HTTP

前端頁(yè)面及 js 文件中,寫(xiě)死的 http:// 協(xié)議資源及跳轉(zhuǎn)改為根據(jù)當(dāng)前協(xié)議切換(//)。

使用相對(duì)協(xié)議,如:

 
 
 
 
    
  
  
  
  
  1. 
  
  
  
  
  2. 
  
  
  
  
    4.

或者代碼自行判斷都可以。如果一個(gè)頁(yè)面內(nèi)包含多個(gè)域名請(qǐng)求,需所有域名均支持https,否則部分瀏覽器會(huì)有警告提醒或打不開(kāi)。

3、移動(dòng)端適配 HTTPS

如果你們存在移動(dòng)客戶端(APP)也需要適配 HTTPS,所以必須做調(diào)用接口的相應(yīng)修改,當(dāng)然,要注意運(yùn)營(yíng)商 DNS 劫持(尤其是移動(dòng))也會(huì)對(duì) HTTPS 請(qǐng)求成功率造成很大影響,其實(shí)可以做好 HTTP/HTTPS 兩種協(xié)議都支持,做好出問(wèn)題隨時(shí)動(dòng)態(tài)降級(jí)切換準(zhǔn)備。

4、項(xiàng)目中存在的配置問(wèn)題

項(xiàng)目中用到的配置文件中存在 HTTP 鏈接,要充分了解其用途。如果不是可以統(tǒng)一動(dòng)態(tài)更新的配置文件,都要考慮更改后做服務(wù)的發(fā)布,這時(shí)候要來(lái)考慮對(duì)生成環(huán)境業(yè)務(wù)的影響以及測(cè)試、開(kāi)發(fā)環(huán)境的影響等問(wèn)題。如頁(yè)面間跳轉(zhuǎn)、權(quán)限、登錄驗(yàn)證、第三方服務(wù)(支付、推送)回調(diào)這些配置等。

5、關(guān)于 request.getScheme() 這個(gè)坑

如果你的架構(gòu)上使用了 Nginx + Tomcat 集群, 且 Nginx 下配置了 SSL ,Tomcat 沒(méi)有配置 SSL ,這時(shí)候其實(shí)客戶端已經(jīng)是使用 HTTPS 協(xié)議了,但你的 Tomcat 中用 request.getScheme()、request.getRequestURL() 會(huì)獲取到的是 HTTP,并不是 HTTPS 。當(dāng)然可以代碼中避免,或者通過(guò)配置 Nginx 和 Tomcat 解決,看這篇文章:http://www.cnblogs.com/interdrp/p/4881785.html

6、SSL 證書(shū)類(lèi)型

在之前說(shuō)選購(gòu) SSL 證書(shū)的時(shí)候,你就要充分考慮業(yè)務(wù)上域名需要的證書(shū)類(lèi)型,避免需要泛域名證書(shū)而你買(mǎi)了單域名證書(shū),當(dāng)然泛域名證書(shū)還是分為支持級(jí)別的,如購(gòu)買(mǎi) *.cdxwcx.com 證書(shū),那么該證書(shū)支持 a.cdxwcx.com, a1.cdxwcx.com, a2.cdxwcx.com 以此類(lèi)推域名,但是不支持 b.a.cdxwcx.com(另一級(jí)), b1.a.cdxwcx.com 類(lèi)域名,如需支持,需另外再購(gòu)買(mǎi)一張 *.a.cdxwcx.com 證書(shū)。

7、Nginx 配置同一個(gè) server 段不支持配置多個(gè)證書(shū)

8、Nginx 配置 HTTP 強(qiáng)制跳轉(zhuǎn) HTTPS

通過(guò)配置 Nginx 域名 HTTP 請(qǐng)求 302 跳轉(zhuǎn)實(shí)現(xiàn)全站 HTTPS。千萬(wàn)不能有 POST 請(qǐng)求,這時(shí)候?yàn)g覽器會(huì)先做 302 跳轉(zhuǎn),在以 Get 方法請(qǐng)求會(huì)導(dǎo)致 Post Body 丟失。

具體配置如下:

 
 
 
 
    
  
  
  
  
  1. server {   
    2. 
  
  
  
  
  2.     listen 80;   
    3. 
  
  
  
  
  3.     listen 443 ssl;   
    4. 
  
  
  
  
  4.     server_name  www.domain.com;   
    5. 
  
  
  
  
  5. 
  
  
  
  
  6.     ssl on;   
    7. 
  
  
  
  
  7.     ssl_certificate 1_www.domain.com_bundle.crt;   
    8. 
  
  
  
  
  8.     ssl_certificate_key 2_www.domain.com.key;   
    9. 
  
  
  
  
  9.     ssl_session_timeout  5m;   
    10. 
  
  
  
  
  10.     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;   
    11. 
  
  
  
  
  11.     ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;   
    12. 
  
  
  
  
  12.     ssl_prefer_server_ciphers  on;   
    13. 
  
  
  
  
  13. 
  
  
  
  
  14.     if ($scheme != 'https') {   
    15. 
  
  
  
  
  15.     rewrite ^(.*)$  https://$server_name$1 permanent;   
    16. 
  
  
  
  
  16.     }   
    17. 
  
  
  
  
  17. 
  
  
  
  
  18.     location / {   
    19. 
  
  
  
  
  19.         root   html;   
    20. 
  
  
  
  
  20.         index  index.html index.htm;   
    21. 
  
  
  
  
  21.     }   
    22. 
  
  
  
  
  22. }
    23.

9、所有環(huán)境均要進(jìn)行升級(jí)

不僅僅要考慮生成環(huán)境進(jìn)行全站 HTTPS 升級(jí)問(wèn)題,包括開(kāi)發(fā)、測(cè)試、預(yù)發(fā)布等多種不同環(huán)境均要進(jìn)行升級(jí),來(lái)保持與生產(chǎn)環(huán)境的一致性,減小不可預(yù)估因素的發(fā)生。如果你沒(méi)有完善的運(yùn)維系統(tǒng),一個(gè)個(gè)配置文件改的可是真的很痛苦,你試試想想看上百個(gè)配置,淚...

10、打死你都想不到的地方

太多了,自由發(fā)揮吧。做到兵來(lái)將擋水來(lái)土掩,佛來(lái)斬佛,魔來(lái)斬魔就行了。

注意事項(xiàng)寫(xiě)完了,現(xiàn)在插播一條硬廣,我們團(tuán)隊(duì)目前正需要對(duì)技術(shù)有追求的小伙伴一起來(lái)共同學(xué)習(xí)進(jìn)步,看到這篇文章有想換個(gè)工作環(huán)境的,當(dāng)然你要基本了解使用過(guò)分布式架構(gòu),快快聯(lián)系我。

總結(jié)一下

不知道這一篇算不算所謂的「干貨」了,現(xiàn)在好多人都喊著要所謂的干貨,其實(shí)哪有那么多干貨阿。這一篇主要寫(xiě)了一下在全站升級(jí) HTTPS 的過(guò)程與注意點(diǎn),幾乎都是在實(shí)際工作中步驟的重現(xiàn)了,當(dāng)然,升級(jí)完成我們還是需要對(duì)整個(gè)系統(tǒng)進(jìn)行性能、速度的測(cè)試,以及如何更好的利用 HTTPS ,比如上 HTTP 2.0 ,據(jù)說(shuō)提升很大的。

希望對(duì)你有所幫助。


標(biāo)題名稱:全站HTTPS沒(méi)你想象的那么簡(jiǎn)單
URL分享:http://www.5511xx.com/article/dhggshe.html