从云虚拟主机到ECS云服务器,只是为了Https的安全性

这个问题已经困扰了我好多天的时间,上个星期的某一天,用手机QQ自带的浏览器打开五福吧,意外发现页面提示证书不安全,于是再次使用手机opera打开发现无异常,换成手机自带浏览器打开页面,发现同样的问题:

华为手机自带浏览器提示:网站证书不可信

注意看截图右上角的时间哦,那可是后半夜了~

然后在PC段测试发现Chrome、360并无异常,反倒是火狐和IE遇到同样的问题,提示证书不安全。

感谢万能的百度,我开始了寻求解决办法的漫漫之路…

首先使用MySSL工具进行检测

通过myssl.com检测发现安全级别竟然被无情的降级到了F,默默无语两行泪啊~

究其原因,主要是下面的两点:

1. 证书链不完整,降级为B,具体详情可参考《缺少证书链的问题和解决办法》。
2. 服务器易受到CVE-2016-2107漏洞攻击,降级为F

证书链不完整,降级为B

分析解决办法

1.补全证书链以解决证书链不完整的问题;

2.升级 OpenSSL  版本解决CVE-2016-2107漏洞问题;

现实情况分析

由于使用的是阿里云的虚拟主机,本身就没有可配置服务器的权限,所以对于解决服务器漏洞这种问题没有任何的可行性;而在尝试了使用虚拟主机管理界面的免费证书替换到云盾证书后(后者可以提供证书的下载),同样没在证书链上发现任何的缺失;本着折腾不止的原则,在FreeSSL.org申请了一款同品牌的Lets Encrypt证书和一款不同品牌的TrustAsia证书,测试发现同样无法解决问题。

接下来怎么办?

照这种情况,上述两个问题基本上是没有办法解决了,虽说对于一个小博客来说并不致命,但对于完美主义的我来说难以忍受。为了https的小锁我从网站一开通就设置了http直接重定向到https,目前为止友情链接都是使用的加密链接,当别人用某些特定的无法自动下载中间证书的设备、终端、浏览器(比如说火狐、手机QQ内置、微信内置等)访问时出现这样一个提示页面,肯定是很不解的,势必严重影响用户体验。

于是,我主要列出了三种解决办法:

1.使用又拍云cdn

2.使用阿里云cdn

3.更换为阿里云ECS服务器

上面的两种方式主要是在百度的过程中发现的,源于又拍云官网上的一款工具(又拍云-HTTPS 安全检测),大体意思是通过又拍云的https加密结合cdn加速来提升https安全等级,原理大概就是用户在访问时访问到的内容被cdn分布到了又拍云的服务器节点,自然就解决了服务器漏洞和证书链问题。而关于价格来说又拍云是按使用量付费的产品,价格不固定,阿里云最基础的cdn100g流量宝只要20元,但是https请求需要单独付费,最基础的1000w请求包要60元,因为之前并没有使用这类产品的相关经验,所以对于具体需求量的价格并不清楚,但是我想最基础的就完全可以满足一个小站了吧。

后一种方法简单粗暴,换成ecs后想怎么配置都可以,但是截至这时我还不能确定是不是网上所提供的免费证书服务是不是都并不提供完整的CA中间证书链,存在隐性顾虑。

开始操作

在连续几页没合眼的情况下我开始安耐不住了,必须要有所行动。因为使用cdn并不能彻底解决服务器漏洞,而ecs能对后续的使用有更好的支持,于是我还是在纠结过后选择了后者,将阿里云虚拟主机更换为ECS云服务器。

选择了入门级的一款配置,t51核1G,付款、开通、配置、搬家一气呵成,于是就有了现在的效果:

又拍云检测评级上升至A

题外话

这里要感谢阿里云的服务支持。在问题不能解决的时候,我在后半夜给阿里云提交了工单,希望能够协助解决(虽说没能帮上什么实际的忙),都很快得到了回复。同时阿里云的客服代表也通过电话跟我联系,看我半夜提交工单,对我的作息不当表示关切,尴尬⊙﹏⊙‖∣

因为云虚拟主机也只是购买了一段时间,已经超过了阿里云规定的五天无理由退款协议,但客服表示可以特殊申请处理。

目前已经在工单系统申请了虚拟主机的退款,客服表示已经移交财务处理,但是要十一国庆假期以后才行了。

未经允许不得转载:五福吧 » 从云虚拟主机到ECS云服务器,只是为了Https的安全性

赞 (0) 打赏

评论 7

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. 闹小根我的网站也是,不过没有强制开启回复
  2. 郭小康博客有钱真好...回复
    • 五福吧完美主义作祟,不能忍受任何一点缺陷,即便是没钱...回复
      • 郭小康博客一样...不过我用的是小作坊的VPS而且因为TM七牛CDN的原因并没有上HTTPS...hhh回复
        • 五福吧七牛云不是支持https下的加速吗?为什么不上回复

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏