本教程将向您展示如何在Ubuntu 16.04/Ubuntu 17.10上使用Let’s Encrypt在Nginx上正确启用HTTPS。谷歌浏览器和Firefox已经开始提示未加密的网页是不安全的。最终所有的HTTP网页将被标记为不安全。 HTTPS将成为任何网站的默认设置。如果你想利用新的HTTP/2协议来加速你的网站,这也是一个要求。
Let’s Encrypt加密是免费的\自动的\开放的认证机构。官方文档介绍了使用Let’s Encrypt启用HTTPS的简单步骤,但除此之外还有更多。如果你按照官方文档,你会得到一个关于SSL实验室的测试。如果你按照我的步骤,你会得到一个A+。如果您之前已经部署了Let’s Encrypt证书,则仍然可以按照本教程进行更新并替换您的现有证书。
本教程分为2个部分。
第一部分是关于CAA记录,安全头(Security Headers)和OCSP装订。 这些东西可以帮助你获得A +。
第二部分是将www域重定向到非www域,反之亦然。
为您的域名创建CAA记录
证书颁发机构授权(Certificate Authority Authorization,CAA)是一种DNS资源记录,用于指定哪些证书颁发机构(CA)被允许为特定域名颁发证书。 从2017年9月开始,所有CA都必须在颁发特定域名证书之前检查CAA记录。 如果没有为域名找到CAA记录,则任何CA都可以为该域名颁发证书。 如果您的CAA记录中没有列出CA,则该CA无法为您的域名颁发证书。
要创建允许让我们加密的CAA记录为您的域名颁发证书,请在DNS服务器或DNS管理器中添加以下条目。
example.com. IN CAA 0 issue "letsencrypt.org"
你也可以使用
iodef使CA向您的电子邮件地址报告恶意证书问题请求。
example.com. IN CAA 0 iodef "mailto:your-email-address"
上述记录的格式是区域文件。 以下是您的一些提示。
您可以使用SSLMate CAA Record Helper为您的域名生成CCA记录。
如果您使用的是GoDaddy DNS,请按照这个帖子添加CAA记录。
您可以使用下面的dig命令来检查您的CAA记录。
dig example.com CAA
请注意,Web浏览器不检查CAA记录。
安全头(Security Headers)
安全性标头与HTTPS协议一样重要,但只有一小部分支持HTTPS的网站会注意这些标头。虽然关于安全性头文件的完整讨论超出了本教程的范围,但我想谈谈升级不安全请求和HSTS头文件,因为您可以使用Let’s Encrypt轻松启用它们来提高网站的安全性。
升级不安全的请求
有时候一个网站启用了HTTPS,但是一些CSS,图片或JavaScript仍然通过HTTP提供。在这种情况下,浏览器地址栏开头的绿色挂锁将消失。在Google Chrome中,它被一个信息图标取代;在Firefox中,它被灰色的黄色三角形挂锁所取代。您将希望尽可能频繁地向站点访问者显示绿色的挂锁,解决此问题的简单方法是启用升级不安全请求标头,这将强制Web浏览器使用https://对于每个http://资源。
要启用这个头文件,只需在发出certbot命令时添加–uir标志。请注意,此标头适用于托管在您自己的域上的资源以及支持HTTPS的第三方域上的资源。如果您的网页包含通过HTTPS无法访问的第三方服务器上的资源,那么这些资源将被Web浏览器阻止,但使用此标头可确保您的网页始终获得绿色的挂锁。
HSTS(HTTP严格传输安全)
HSTS头部告诉网络浏览器所有通信应该通过HTTPS完成。它防范SSL Striping,这是一种从HTTPS降级到HTTP的攻击。要启用这个头文件,只需在发出certbot命令时添加–hsts标志。
OCSP装订
当Web浏览器连接到HTTPS网站时,它会向证书颁发机构(CA)发送OCSP(在线证书状态协议)请求,以便查询网站SSL证书的撤销状态。根据Firefox的遥测数据,这可以延迟页面加载1-3秒。为了提高性能,网站所有者可以启用OCSP装订,在这种情况下,Web服务器本身会定期获取由CA签署的OCSP响应,并将其发送到网络浏览器,从而无需Web浏览器联系OCSP服务器。
要启用OCSP装订,只需在发出certbot命令时添加–staple-ocsp标志。
OCSP必须装订
如果一个黑客做了一个假的,重复的网站,关闭OCSP staple并且阻止网络浏览器访问OCSP服务器,那么网络浏览器将认为它是正常的并且进入恶意网站。为了解决这个问题,你可以在你的网站上启用OCSP,这个功能告诉浏览器在HTTPS连接期间,你的网站必须显示OCSP订书响应。因此,当浏览器连接到一个没有OCSP装订的假网站时,它将停止连接。
为了使OCSP必须装订,在发行certbot命令时添加 – 必须主标记。
安装我们在Ubuntu 16.04 / 17.10上加密客户端
启动Ubuntu 16.04,让我们加密客户端包含在Ubuntu存储库。我的建议是,你从官方的Certbot PPA安装它,以获得最新版本。运行以下命令。如果要从PPA安装软件包,则需要使用software-properties-common。在默认的Ubuntu服务器Install上经常会丢失。 python-certbot-nginx是Certbot的Nginx插件。
sudo apt install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt update
sudo apt install certbot python-certbot-nginx
要检查版本号,请运行:
certbot --version
示例输出:
certbot 0.19.0
使用Certbot Nginx插件启用HTTPS
如果您的网站没有使用CDN服务,那么建议使用Nginx插件在Nginx Web服务器上启用HTTPS,因为它可以自动获取SSL / TLS证书并为您进行配置。 在你的Ubuntu服务器上运行以下命令。
sudo certbot --nginx --agree-tos --redirect --uir --hsts --staple-ocsp --must-staple -d www.example.com,example.com --email your-email-address
说明:
-nginx:使用Nginx验证器和安装程序
-agree-tos:同意让我们加密服务条款
重定向:添加301重定向。
-uir:将“Content-Security-Policy:upgrade-insecure-requests”标题添加到每个HTTP响应。
-hsts:将Strict-Transport-Security头添加到每个HTTP响应。
-staple-ocsp:启用OCSP装订。
-must-staple:将OCSP必备装订扩展添加到证书。
-d标志后面跟着一个由逗号分隔的域名列表。 您最多可以添加100个域名。
– 电子邮件:用于注册和恢复联系人的电子邮件。
您将被问到是否要收到EFF(电子前沿基金会)的电子邮件。 选择Y或N后,您的SSL证书将自动获得并为您进行配置,如下面的消息所示。
现在,如果您访问您的网站,您可以看到HTTP被自动重定向到HTTPS连接。 事实证明,Nginx插件目前不支持-hsts和–uir标志。 要手动添加HSTS和升级不安全请求标头,请编辑您的Nginx服务器块。
sudo nano /etc/nginx/conf.d/example.com.conf
在服务器块中添加以下两行。
add_header Strict-Transport-Security “max-age=15768000; preload” always;
add_header Content-Security-Policy upgrade-insecure-requests;
保存并关闭文件。 然后重新加载Nginx以使更改生效。
sudo systemctl reload nginx
测试您的SSL证书
转到ssllabs.com来测试您的SSL证书和配置。 正如我所承诺的那样,你得到了A +。 您还可以检查您的域名是否启用了CAA记录,您的服务器是否启用了HSTS,OCSP装订和OCSP必须装订。
将WWW重定向到非WWW(或副本)
我们已经启用了将HTTP重定向到HTTPS,剩下的事情就是将www重定向到非www,反之亦然。 如果你使用WordPress,那么这很容易。 只需进入WordPress仪表板>设置>常规,并在WordPress地址和站点地址中设置您的首选版本(www或非www)。
如果你走这条路线,你将会得到所谓的双重301重定向。 首先,Nginx服务器将HTTP重定向到HTTPS,然后WordPress重定向到www或非www域。 有些人可能会认为,双301重定向可以伤害您的网站的搜索引擎优化。 如果你担心这一点,那么你可以使用下面的方法,使所有域版本直接到最终目的地。
编辑你的Nginx服务器块。
sudo nano /etc/nginx/conf.d/example.com.conf
CertBot客户端将以下行添加到文件以将HTTP重定向到HTTPS。
if ($scheme != “https”) {
return 301 https://$host$request_uri;
} # managed by Certbot
您可以删除这3行并编辑您的服务器块配置,如下面的屏幕截图,将非www重定向到www域。
第一个服务器块侦听端口80.它包含301重定向,将HTTP重定向到HTTPS。
第二个服务器块侦听端口443.它包含301重定向,将非www重定向到www域。
如果您想将www重定向到非www域,请更改
return 301 https://www.example.com$request_uri;
为:
return 301 https://example.com$request_uri;
并更改SSL服务器块中的server_name指令。
保存并关闭文件。 测试Nginx配置。
sudo nginx -t
如果测试成功,请重新加载Nginx以使更改生效。
sudo systemctl reload nginx
如果您使用WordPress,请确保在编辑Nginx服务器块配置文件之前,将您的首选域版本设置为WoredPress地址和站点地址。 如果WordPress的设置与Nginx配置相矛盾,您的网站将会处于重定向循环。
证书自动更新
要自动更新让我们加密证书,只需编辑root用户的crontab文件即可。
sudo crontab -e
然后在底部添加以下行。
@daily certbot renew –quiet && systemctl reload nginx
–quiet 标志将压制标准输出。 如果您想要收到标准错误,请在crontab文件的开头添加以下行。
MAILTO=your-email-address
为了向客户提供新的证书,需要重新加载Nginx。