Let’s Encrypt 免費 SSL 使用 IIS 安裝憑證

Let's Encrypt 是一個於2015年三季度推出的數位憑證認證機構,將通過旨在消除當前手動建立和安裝憑證的複雜過程的自動化流程,為安全網站提供免費的SSL/TLS憑證。Let's Encrypt 憑證簽發為每三個月一次,所以 90 天必須更新一次,可以設定排成自動更新,所以不必擔心。

申請 Let's Encrypt 憑證必須驗證網站是否正常,所以網站需要能正常存取,不可離線申請憑證。

首先必須下載憑證軟體:https://github.com/Lone-Coder/letsencrypt-win-simple/releases

修改網站 web.config,因為 Let's Encrypt 會產生驗證檔案到網站目錄內,但檔案開頭為 . 所以需要修改 web.config 才能存取檔案。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <staticContent>
            <mimeMap fileExtension="." mimeType="text/plain" />
        </staticContent>
    </system.webServer>
</configuration>

將憑證軟體解壓縮,執行

letsencrypt.exe --accepttos --manualhost 網域名稱 --webroot 網站資料夾路徑

//例如
letsencrypt.exe --accepttos --manualhost www.ez2o.com --webroot D:\WebRoot


  2016-11-07      ez      IIS 、   好用軟體 、   安裝教學
平價 Web SSL 憑證 購買 選擇 分析 使用 IIS 作為範例

GOOGLE 對於 https 的網站會提高評分,所以掛上 SSL(Secure Sockets Layer) 會有助於搜尋效果,也會提高網站安全度。

 

https 加密經過了好幾代的演化,有 SSL1.0、SSL2.0、SSL3.0、TLS1.0、TLS1.1、TLS1.2、TLS1.3。

目前已知 SSL1.0、SSL2.0、SSL3.0 都有含有弱密碼,所以伺服器都會將 SSL 關閉,只保留 TLS 協定。

 

傳輸層安全協議(英語:Transport Layer Security,縮寫:TLS),及其前身安全通訊協定(Secure Sockets Layer,縮寫:SSL)是一種安全協定,目的是為網際網路通訊,提供安全及資料完整性保障。網景公司(Netscape)在1994年推出首版網頁瀏覽器,網景領航員時,推出HTTPS協定,以SSL進行加密,這是SSL的起源。IETF將SSL進行標準化,1999年公布了第一版TLS標準檔案。隨後又公布了 RFC 5246 (2008年8月)與 RFC 6176 (2011年3月)。在瀏覽器、電子郵件、即時通訊、VoIP、網路傳真等應用程式中,廣泛支援這個協定。主要的網站,如Google、Facebook等也以這個協定來建立安全連線,傳送資料。目前已成為網際網路上保密通訊的工業標準。
SSL包含記錄層(Record Layer)和傳輸層,記錄層協定確定了傳輸層資料的封裝格式。傳輸層安全協議使用X.509認證,之後利用非對稱加密演算來對通訊方做身分認證,之後交換對稱金鑰作為會談金鑰(Session key)。這個會談金鑰是用來將通訊兩方交換的資料做加密,保證兩個應用間通訊的保密性和可靠性,使客戶與伺服器應用之間的通訊不被攻擊者竊聽。

詳細可以參考:https://zh.wikipedia.org/wiki/SSL

 

買憑證的第一考慮因該都會是安全度,憑證分為 DV、OV、EV 三種。

DV:只需要驗證網址所有權

OV:驗證網址所有權 及 公司登記資料

EV:驗證網址所有權 及 公司登記資料,網址列會呈現綠色,並且包含公司名稱

 

第二個考慮為價格

Q1: 為什麼台灣賣的相同憑證比國外貴,是否有安全度不相同?

A1: 安全度相同,就是賣個服務......


  2016-10-27      ez      IIS
IIS7 deflate 設定內容壓縮 (IIS7 GZIP 造成 IIS6 異常處理)

如果 IIS7 開啟 GZIP 功能,有可能造成 IE6 當掉,所以利用以下辦法解決! IE6 支援 gzip 及 deflate 兩種壓縮方式,但到 IE7 後僅支援 gzip,所以解決辦法是讓 IIS7 支援兩種壓縮格式。

第一步:進入 CMD 將目錄移到 C:\Windows\System32\inetsrv,輸入以下:

appcmd set config /section:httpCompression /+[name='deflate',dll='%Windir%\system32\inetsrv\gzip.dll']

第二步:修改 C:\Windows\System32\inetsrv\config\applicationHost.config 設定檔 先找尋 <httpCompression ... 找到

<scheme name="gzip" dll="%Windir%\system32\inetsrv\gzip.dll" />

在下方新增一行

<scheme name="deflate" dll="%Windir%\system32\inetsrv\gzip.dll" />

即可完成設定!


  2012-03-05      ez      IIS
上傳檔案請勿只檢查副檔名

有些網站需要提供上傳檔案功能,為了安全考量會限制某些檔案才允許上傳,例如:jpg,gif,png,通常不會允許具有程式的檔案exe,bat,com,php,asp,aspx...。

以下分別測試IIS6及IIS7,看看安全性如何!  

1. 首先建立一個asp檔案,內容為下:

<%=Request.ServerVariables (REMOTE_ADDR)%>

2. 將檔名命名為 b.asp;.jpg,如下圖:


  2011-12-05      ez      IIS
修復 ASP.NET 的 IIS 對應

如果要修復 ASP.NET 的 IIS 對應,請執行 Aspnet_regiis.exe 公用程式:

1.按一下 [開始],然後按一下 [執行]。

2.在 [開啟] 文字方塊中,輸入 cmd,然後按下 ENTER。

3.在命令提示字元中輸入下列命令,然後按下 ENTER:
"%windir%\Microsoft.NET\Framework\version\aspnet_regiis.exe" -i


  2014-10-02      ez      IIS 、   .NET