落絮飞雁的个人网站

顺流而下,把梦做完

博客启用HTTPS

支持HTTPS已经是大势所趋,(托运营商的福)工作中项目对HTTPS有要求已经是常态,谷歌、苹果等巨头也在不遗余力地推广这个,宣传加密传输的各种好处,以及将未启用HTTPS网站的各种降权处罚的措施。

听起来HTTPS都是有百利而无一害,但我觉得个人博客没有必要特意去开HTTPS。

启用HTTPS就意味着存在SSL证书的期限问题,博主需要关心证书何时到期,而如果未及时更换证书或是证书配置错误,就会出现安全警告。我遇到太多证书过期、自签证书之类的网站,一访问就是Chrome的安全警告,而且其中不少都是只能使用HTTPS访问(HTTP会跳转到HTTPS),要想访问只能跳过安全警告,体验非常差。

 

顺便吐嘈一下谷歌和苹果等公司对于HTTPS的处理方法太过激进。谷歌先是宣称搜索爬虫要优先收录启用HTTPS的站点,这自然是好的,毕竟后者有着无可比拟的安全优势;目前版本的Chrome会在用户向HTTP站点填表的时候提示“不安全”(Firefox也会),这点也能理解;但谷歌宣布的长期计划是通过把所有HTTP网站都用红色“不安全”警告的方法来淘汰HTTP,实现use HTTPS everywhere,这点我就非常不解了,这意味着大量的存档性质的网站很难被检索到,会有优质内容仅仅因为HTTPS的问题而无法被查到,何况这部分仅支持HTTP的网站目前还占据着相当一部分的比例,所以我一直觉得谷歌的计划迟早跳票(或者像苹果一样延期)。

也正因此,博客一直没有支持HTTPS访问。不过最近在折一个云平台,平台要求HTTPS调用,本来以为像微信小程序那样只要让WordPress的RESTful API挂上SSL证书就行,但仔细研究了一下发现还蛮麻烦的,索性就全站HTTPS了,真香!

开启HTTPS的方法很简单,个人博客有certbot、caddy等一众软件可以用,Let’s encrypt的证书也是免费的。我用的虚拟空间也可以用CDN开启HTTPS的方法来曲线支持HTTPS访问。

我用的万网虚拟空间为例,只需要在阿里云上申请一张免费证书,导入CDN,然后在WordPress中开启HTTPS访问就可以了,如果页面上有HTTP引用的js或图片就替换成HTTPS的。详细步骤可以参考:阿里云虚机 WordPress HTTPS(SSL) CDN-AgainFly

既然都开了HTTPS,就一块儿把HTTP/2也启用了。目前博客已经支持HTTP/2访问,欢迎体验。


原文转自:博客启用HTTPS|落絮飞雁的个人网站
授权协议:创作共用 署名-非商业性使用 2.5 中国大陆
除注明外,本站文章均为原创;转载时请保留上述链接。