提醒：本文最後更新於 1875 天前，文中所描述的資訊可能已發生改變，請謹慎使用。

就在今天，我的部落格正式切換到 HTTPS。如果你通過瀏覽器來到這裡，一定注意到了位址列那把漂亮的綠色小鎖呢。本文簡單介紹三小時折騰後我部落格的變化，不討論 HTTP 與 HTTPS 的區別以及優缺點。

啟用 HTTPS

要啟用 HTTPS 先要有瀏覽器信任機構頒發的證書，再在 Web Sever 中啟用 SSL、配置證書即可。前不久這篇「Switch to HTTPS Now, For Free（翻譯）」，詳細介紹了整個過程，可以作為參考。考慮到免費的 StartSSL 證書在國內使用有各種神奇的問題，我買了 Thawte 的 SSL123 證書，這是一個 DV（Domain Validation）型證書，只驗證域名。我這樣個人部落格完全夠用。

在給 Nginx 指定證書時，需要選擇合適的證書鏈。因為瀏覽器在驗證證書信任鏈時，會從站點證書開始，遞迴驗證父證書，直至信任的根證書。這裡涉及到兩個問題：1）伺服器證書是在握手期間傳送的，由於 TCP 初始擁塞視窗的存在，如果證書太長很可能會產生額外的往返開銷；2）如果服務端證書沒包含中間證書，大部分瀏覽器可以正常工作，但會暫停驗證並根據子證書指定的父證書 URL 自己獲取中間證書。這個過程會產生額外的 DNS 解析、建立 TCP 連線等開銷。

所以，服務端證書鏈的最佳實踐是包含 站點證書 和 中間證書 兩級。根證書已經內置於各大瀏覽器內，完全沒必要再包含。下圖是本部落格的證書鏈，服務端證書包含了「www.imququ.com」站點證書和「Thawte DV SSL CA」中間證書。另外我測過：如果不包含中間證書，Firefox 之外的主流瀏覽器都能正常完成驗證，Firefox 似乎不會自己去獲取中間證書。

啟用 HSTS

在我之前寫的「一些安全相關的HTTP響應頭」這篇文章裡，詳細的介紹了 HSTS（HTTP Strict Transport Security）。這次啟用 HTTPS 後，沒理由不使用它，只要在 Nginx 站點配置中加上這麼一行就好了：

add_header      Strict-Transport-Security max-age=31536000;

由於我的證書只能用於 www 域，所以不能加「includeSubDomains」標識。

這樣只要使用支援 HSTS 的瀏覽器，通過 HTTPS 訪問本部落格後，一年內無論是手動輸入還是點連結，請求都會以 HTTPS 傳送。這個替換是在瀏覽器本地完成，不需要與服務端互動。當然，對於不支援 HSTS 的瀏覽器，服務端重定向規則也會實現類似功能。

（支援 HSTS 的瀏覽器會在傳送請求前，把 HTTP 轉成 HTTPS）

啟用 SPDY

實際上「啟用 SPDY」，才是我這次折騰 HTTPS 的終極目的。SPDY 協議最新版是 Draft 3.1，新版 Nginx 支援的是 Draft 2，通過編譯時指定「--with-http_spdy_module」引數啟用，同時還需要指定「--with-http_ssl_module」來啟用 ssl。

（Chrome 中通過 chrome://net-internals/#spdy 檢視到的 SPDY 資訊）

對於 Ubuntu 這樣流行的 Linux 發行版，如果已經從源裡安裝了 Nginx，還有一種偷懶的方法讓 Nginx 支援 SPDY：直接下載別人提供的 Nginx 二進位制檔案替換已有的版本。只是這樣以後每次 apt-get upgrade 都要特別小心，以免被覆蓋。詳情請參考這裡。

--EOF--

發表於 2013-11-22 17:14:17 ，並被新增「 HTTPS 、 Nginx 、 SPDY 」標籤 。檢視本文 Markdown 版本 »

提醒：本文最後更新於 1875 天前，文中所描述的資訊可能已發生改變，請謹慎使用。