为博客添加 Let's Encrypt 免费证书

前段时间闹得沸沸扬扬的沃通丑闻事件最终以 Google,Firefox 相继宣布停止信任沃通和 StartCom 的证书宣告结束。按照沃通 CA 以及 StartCom 的证书在国内外的使用广泛程度,估计得有一大批网站需要更换 SSL 证书。本博客在建立之初就使用了 Let’s Encrypt 的免费证书,这个被沃通说成是「非常危险」的 CA,恰恰是一个不错的选择。

在之前的文章中提到,Let’s Encrypt 是一家旨在消除当前手动创建和安装证书的复杂过程的自动化流程,为安全网站提供免费的 SSL/TLS 证书的数字证书认证机构。在 2015 年 9 月 7 日推出之后后不到半年的时间里就签发了一百万张证书,而现在每天都要签发 5.5 万张证书。可以说 Let’s Encrypt 对 HTTPS 的普及起到了至关重要的作用。

关于 HTTPS

大概从去年开始,我偶尔会发现之前收藏的网站变成了未收藏状态,仔细一看才发现原来是这些网站的地址都变成了 https 开头。

越来越多的网站开始采用 HTTPS 加密,同时 Mozilla、Google 等公司也在促进 HTTPS 的普及。可以看到,全面启用 HTTPS 已经是大势所趋。

2016年10月13日 Firefox 用户加载的半数网页启用了 HTTPS
2016年11月04日 Chrome 用户访问的网页 HTTPS 超过一半

什么是 HTTPS

简单地来说,HTTPS 是建立在非对称加密方式上的保证通信双方信息传输安全性的一种超文本传输安全协议,能够防止信息在传送过程中被监听和篡改。

为什么要采用 HTTPS

可能你会觉得,只有那些银行或者购物网站等涉及到财产安全的网站才需要采用 HTTPS 加密,或者只有登录的时候需要 HTTPS,一般的个人网站根本没有必要。但我想你肯定不会希望自己网站的图片都被替换成小广告吧(滑稽?

另外,Mozilla 和 Google 等主流浏览器公司也在逐步淘汰 HTTP,终极目标是彻底使用 HTTPS 取代 HTTP。为此 Google 还于 2014 年 8 月 6 日宣布提高 HTTPS 网站的排名。

2015 年 4 月 30 日 Mozilla 宣布淘汰 HTTP
2016 年 9 月 08 日 谷歌 Chrome56 正式将 HTTP 页面标记「不安全」

不加密的 HTTP 连接是不安全的,你和目标服务器之间的任何中间人能读取和操纵传输的数据,最简单的例子就是运营商劫持的页面跳转和小广告,你很可能根本不知道你看到的广告是否是网站发布的。而且中间人能够注入的代码不仅仅是看起来无害的广告,他们还可能注入具有恶意目的的代码。

为网站启用 HTTPS

申请 Let’s Encrypt 证书

Let’s Encrypt 官方提供了方便快捷的部署工具 Certbot,可以实现自动部署甚至自动续签。

安装 Certbot

在 Ubuntu 上只需要简单的一行命令:

1
$ sudo apt-get install letsencrypt

其他的发行版可以在这里选择。

使用 webroot 自动生成证书

Certbot 支持多种不同的「插件」来获取证书,这里选择使用 webroot 插件,它可以在不停止 Web 服务器的前提下自动生成证书,使用 --webroot 参数指定网站的根目录。

1
$ letsencrypt certonly --webroot -w /var/www/hexo -d blog.yizhilee.com

这样,在 /var/www/hexo 目录下创建临时文件 .well-known/acme-challenge ,通过这个文件来证明对域名 blog.yizhilee.com 的控制权,然后 Let’s Encrypt 验证服务器发出 HTTP 请求,验证每个请求的域的 DNS 解析,验证成功即颁发证书。

生成的 pem 和 key 在 /etc/letsencrypt/live/ 目录下

cert.pem 用户证书
chain.pem 中间证书
fullchain.pem 证书链, chain.pem + cert.pem
privkey.pem 证书私钥

配置 Nginx

修改 Nginx 配置文件中关于证书的配置,配置文件可以通过 Mozilla SSL Configuration Generator 生成。

1
2
ssl_certificate     /etc/letsencrypt/live/blog.yizhilee.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/blog.yizhilee.com/privkey.pem;

然后重启 Nginx ,应该就可以看到小绿标了。

1
$ sudo systemctl restart nginx

自动续期

Let’s Encrypt 的证书有效期为 90 天,不过我们可以通过 crontab 定时运行命令更新证书。

先运行以下命令来测试证书的自动更新:

1
letsencrypt renew --dry-run --agree-tos

如果一切正常,就可以编辑 crontab 定期运行以下命令:

1
letsencrypt renew 

执行频率只要小于 30 天一次即可,因为证书默认从有效期内第 60 天开始被视为即将过期。

HTTPS 评分

完成配置之后可以使用以下两个工具对博客 HTTPS 配置的安全性进行评分。


2018 年 03 月 15 日更新

昨天 Let’s Encrypt 终于宣布支持泛域名证书,第一时间给博客签署了新的证书。

参考链接

  1. Certbot#ubuntuxenial-nginx
  2. User Guide — Certbot documentation #Webroot
  3. Let’s Encrypt,免费好用的 HTTPS 证书
  4. Let’s Encrypt 给网站加 HTTPS 完全指南