Let's Encrypt 是一個於2015年三季度推出的數位憑證認證機構,將通過旨在消除當前手動建立和安裝憑證的複雜過程的自動化流程,為安全網站提供免費的SSL/TLS憑證。Let's Encrypt 憑證簽發為每三個月一次,所以 90 天必須更新一次,可以設定排成自動更新,所以不必擔心。
申請 Let's Encrypt 憑證必須驗證網站是否正常,所以網站需要能正常存取,不可離線申請憑證。
首先必須下載憑證軟體:https://github.com/Lone-Coder/letsencrypt-win-simple/releases
修改網站 web.config,因為 Let's Encrypt 會產生驗證檔案到網站目錄內,但檔案開頭為 . 所以需要修改 web.config 才能存取檔案。
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <staticContent> <mimeMap fileExtension="." mimeType="text/plain" /> </staticContent> </system.webServer> </configuration>
將憑證軟體解壓縮,執行
letsencrypt.exe --accepttos --manualhost 網域名稱 --webroot 網站資料夾路徑 //例如 letsencrypt.exe --accepttos --manualhost www.ez2o.com --webroot D:\WebRoot
GOOGLE 對於 https 的網站會提高評分,所以掛上 SSL(Secure Sockets Layer) 會有助於搜尋效果,也會提高網站安全度。
https 加密經過了好幾代的演化,有 SSL1.0、SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2、TLS1.3。
目前已知 SSL1.0、SSL2.0、SSL3.0 都有含有弱密碼,所以伺服器都會將 SSL 關閉,只保留 TLS 協定。
傳輸層安全協議(英語:Transport Layer Security,縮寫:TLS),及其前身安全通訊協定(Secure Sockets Layer,縮寫:SSL)是一種安全協定,目的是為網際網路通訊,提供安全及資料完整性保障。網景公司(Netscape)在1994年推出首版網頁瀏覽器,網景領航員時,推出HTTPS協定,以SSL進行加密,這是SSL的起源。IETF將SSL進行標準化,1999年公布了第一版TLS標準檔案。隨後又公布了 RFC 5246 (2008年8月)與 RFC 6176 (2011年3月)。在瀏覽器、電子郵件、即時通訊、VoIP、網路傳真等應用程式中,廣泛支援這個協定。主要的網站,如Google、Facebook等也以這個協定來建立安全連線,傳送資料。目前已成為網際網路上保密通訊的工業標準。
SSL包含記錄層(Record Layer)和傳輸層,記錄層協定確定了傳輸層資料的封裝格式。傳輸層安全協議使用X.509認證,之後利用非對稱加密演算來對通訊方做身分認證,之後交換對稱金鑰作為會談金鑰(Session key)。這個會談金鑰是用來將通訊兩方交換的資料做加密,保證兩個應用間通訊的保密性和可靠性,使客戶與伺服器應用之間的通訊不被攻擊者竊聽。
詳細可以參考:https://zh.wikipedia.org/wiki/SSL
買憑證的第一考慮因該都會是安全度,憑證分為 DV、OV、EV 三種。
DV:只需要驗證網址所有權
OV:驗證網址所有權 及 公司登記資料
EV:驗證網址所有權 及 公司登記資料,網址列會呈現綠色,並且包含公司名稱
第二個考慮為價格
Q1: 為什麼台灣賣的相同憑證比國外貴,是否有安全度不相同?
A1: 安全度相同,就是賣個服務......