您的位置:博客首页 >> Web服务器 >> nginx SSL及证书公司

nginx SSL及证书公司

日志编号:207 发表时间: 2018-04-05 23:00:00 关注次数:549
发布时间:2015-12-14
更新时间:2018-04-05 23:00:00

    最近https比较流行,不止google支持ssh收录,而且百度也支持了。普通网站最大的好处不是数据传输加密,而是防止劫持……比如电信给你网站插个广告。现在基本所有证书都支持各种流行浏览器啦。

    https速度比http慢,所以google弄出了spdy(nginx对应为ngx_http_spdy_module),现在HTTP/2(对应为http_v2_module)代替了spdy(可以理解为spdy淘汰了,事实是HTTP/2是基于spdy),这就是为什么编译时要加入俩模块而不仅仅是http_v2_module的原因,HTTP/2是对ssl的增强。而TLSv1.3则极大提高了速度。但因为还在讨论当中,因此包括openssl版本(很多系统如centos 7默认的openssl版本还不支持TLSv1.3)、浏览器(chrome 65都默认未开启)都不支持。


查看:chrome://net-internals/#http2

SSL证书认证等级

从证书认证的等级来分,ssl证书可以分为DV, OV和EV三种:

1、DV是Domain Validation 的缩写,意思就是对网站域名所有权进行验证。CA认证机构会向域名持有者的邮箱发送相应的邮件,以确认证书和域名的所有权关系。其特点是简单快捷,价格便宜,缺点是无法保证网站经营者的身份,因此一般仅用来提供数据加密的功能,属于Class 1验证的证书。

2、OV是Organization Validation 的缩写(也有叫BV的,Business Validation),这种证书在颁发的时候会对网站所有单位的身份和域名的所有权进行真实性验证,所以一般电子商务类的网站往往会做OV的认证。价格当然也会比较昂贵,证书颁发周期也会比较久,属于Class 2或者Class 3 验证的证书。

3、EV是Extended Validation 的缩写,也是最严格的身份验证,此证书审核证书申请人对域名的所有权,以及详细的企业/组织相关信息审核,当用户在访问通过EV认证的网站时候,浏览器的显示为绿色,当然价格也是相当的昂贵,属于Class 4 验证的证书。

以上域名证书一般都支持一个或多个域名,还有一种SSL证书支持泛域名(Multiple Subdomains),就是通配符SSL证书(Wildcard SSL Certificates)。
普通网站访问用户很难区分各种DV和OV、BV的区别,所以我认为,要么买EV,要么直接最便宜的DV即可。



国内免费SSL证书提供商

(1)、【WoSign.com】 沃通公司提供免费基础安全级 (Class 1) DV SSL证书,有效期最长2年,证书到期后可以免费续期。不推荐,可以从网络中找到文章:Google 安全博客发布消息称将对 WoSign 采取惩罚性措施、google再也不信任沃通和 StartCom证书、谷歌和火狐宣布停止信任沃通和StartCom。勿用。

国外免费SSL证书提供商

(1)、【StartSSL.com】 StartCom公司提供免费StartSSL(Class 1)证书,有效期1年,证书到期后可以免费续期,它的根证书很久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。不推荐,免费版被墙过。勿用。腾讯也有免费的。

(2)、【CloudFlare.com】 提供免费的SSL 证书,支持大部分浏览器。

(3)、【LetsEncrypt.org】 Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大学研究人员联合宣布了 Let’s Encrypt CA 项目,为网站提供免费的基本 SSL 证书,以加速互联网从 HTTP 向 HTTPS 过渡。Let’s Encrypt CA 将由非赢利组织 Internet Security Research Group (ISRG) 运营,计划于 2015 年夏天开始向任何需要加密证书的网站自动发放免费的 SSL 证书。略显复杂,需要在服务器上下载客户端生成证书。https://letsencrypt.org/2015/12/03/entering-public-beta.html , 点击 Let’s Encrypt client下载,具体可以参考别人写的blog:https://www.xdty.org/1909、https://foofish.net/https-free-for-lets-encrypt.html

(4)、comodo也提供1年免费(实际只有3个月):https://www.gogetssl.com/comodo-ssl/comodo-free-ssl/  在下文将重点讲gogetssl这个网站。



国外收费SSL证书代理商

(1)、【SSLs.com】专门代理各大公司的SSL证书,价格比较实惠,最便宜的Comodo PositiveSSL为8.95美元/年(14.97美元/3年),GeoTrust RapidSSL为9.95美元/年(26.97美元/3年),而且还可以使用10%优惠码 MissedYou 。

(2)、【CheapSSLSecurity.com】专门代理各大公司的SSL证书,价格比较实惠,最便宜的Comodo PositiveSSL为8.95美元/年(14.97美元/3年),GeoTrust的RapidSSL为7.99美元/年(19.99美元/3年)(好像并没找到?)。

(3)、【GoGetSSL.com】专门代理各大公司的SSL证书,价格比较实惠,最便宜的Comodo PositiveSSL为8.95美元/年(13.15美元/3年)(已无3年定价,最多2年$12.75),GeoTrust的RapidSSL为8.85美元/年(22.15美元/3年,已无此规格)。适合电子商务网站用的Essential SSL也很便宜。我们上班啦浦江人才网使用的正是这个代理网站购买的Comodo证书,目前用的Comodo  Essential SSL,等到期了就换成Comodo  InstantSSL with free EV换成绿条。应该说这个代理是最便宜的价格啦。

问:PositiveSSL和Essential SSL有没区别?为什么价格不同?答:使用上(客户端表现)没有任何区别。价格不同,可能是服务器不同,或许贵的服务器好,但对我们而言,几乎没有感觉,而且证书一旦生成,跟谁家的服务器没有任何关系了,客户端也是从我们自己的服务器的nginx、apache上下载的证书。有钱任性,所以用了稍微贵了点的Essential SSL。
问:Wildcard 、Multi-Domain是什么意思?答:Wildcard是泛域名,Multi-Domain则是多域名,如果你的网站需要a.a.com都使用https,那就得购买wildcard版。

(4)、【https://www.namecheap.com/】,貌似这个域名国内用的人才比较多。



国外收费SSL证书提供商

(1)、【GoDaddy.com】的Standard SSL价格为69.99美元/年(购买三年优惠价167.97美元/3年)。

(2)、【GeoTrust.com】 GeoTrust是全球第二大数字证书颁发机构(CA),也是身份认证和信任认证领域的领导者,该公司各种先进的技术使得任何大小的机构和公司都能安全地低成本地部署SSL数字证书和实现各种身份认证。最便宜的QuickSSL Premium为149美元/年。

(3)、【RapidSSL.com】 RapidSSL.com是GeoTrust旗下的SSL证书颁发机构。RapidSSL拥有自己的根证书,是名符其实的SSL数字证书发放单位(Certificate Authority)提供全球最具成本效益的单根 (Single Root)且稳定的128/256位数字证书。最便宜的RapidSSL为49美元/年。

(4)、【PositiveSSL.com】 COMODO 通过了基于WebTrust标准的严格审查,并且每一次均合格通过,是您值得信赖的SSL证书提供商。只有通过WebTrust国际安全审计认证,根证书才能预装到主流的浏览器而成为一个全球可信的认证机构。最便宜的Comodo PositiveSSL为49美元/年。

(5)、【GlobalSign.com】 GlobalSign 是一个具有高可信度并且发展良好的证书管理机构和 SSL 提供商。 作为公众信任服务行业的领头羊,GlobalSign 自 1996 年起开始颁发可信赖的数字证书,服务范围从一些已经广泛普及的公众根中提供公众信任。这些可信任的根能够为所有的操作系统、主要网站浏览器、服务器、e-mail 客户端以及互联网应用程序等进行真实性识别,而且还包括了一些特别的移动设备装置,如智能电话(Smartphone )以及主要的 PDA 和移动电话。最便宜的域名型 SSL 证书(DVSSL)为1980元/年。

(6)、【AlphaSSL.com】 全球著名SSL证书颁发机构GlobalSign旗下的信息安全产品,是专业的SSL证书提供商,提供超低价格的SSL证书。AlphaSSL在SSL证书行业拥有多年服务经验,并以低廉的价格和优质的服务向全球SSL证书用户提供服务,满足SSL低端用户市场的需求,同时它也是高可信、支持256位加密的SSL证书。最便宜的AlphaSSL为49美元/年。淘宝有很便宜的,限定域名(非通配符),比较划算。群里有人50元买了个用着不错,没被骗。然而并没EV好像?

(7)、【Symantec.com】 赛门铁克 SSL 前身为 VeriSign。最便宜的Secure Site证书为399美元/年。

(8)、【Thawte.com】 Thawte公司为VeriSign的全资子公司。最便宜的SSL123 Certificates为149美元/年。

(9)、【NetworkSolutions.com】 NetworkSolutions不仅提供主机空间和域名注册服务,还拥有企业专属的SSL证书品牌。公司一直致力于为全球客户提供高品质、高性能的服务,业务范围覆盖面广,品牌质量值得信奈。其SSL证书功能齐全,支持多种浏览器。最便宜的Xpress证书为54.99美元/年。

(10)、【DigiCert.com】 DigiCert公司是来自美国的证书颁发机构,总部位于犹他州的林顿,在过去十多年来一直在为客户提供SSL证书和管理工具。不同于其他的提供十多款甚至上百款与SSL加密不相关产品的证书权威机构,DigiCert公司专门致力于开发顶级的证书。这焦点使得DigiCert公司可以专注为客户提供最好的产品和无与伦比的支持服务。最便宜的Single-Name SSL Certificates证书为175美元/年。很多大公司用它的证书,比如facebook、github、paypal、yahoo等,看来确实很专业,据说说明书也写得比其他公司专业。适合高端网站。



附:GoGetSSL证书安装方法
付款后,你的证书列表上会出现一个incomplete的证书,不要一直等待,直接去生成证书吧。填写资料时其中有一项为Email,系统会先发送一封包含key和CSR的邮件。
将CSR内容复制粘贴到生成页面,接着会收到证书的邮件,保存附件。然后:
先处理证书:cat /home/www/www_a_com.crt /home/www/www_a_com.ca-bundle > /home/www/www_a_com2.crt
再保存证书:mv /home/www/www_a_com2.crt /usr/local/www_a_com.crt
保存key:mv /home/www/www_a.com.key /usr/local/www_a.com.key(需要把第一封邮件里key的内容写到文本文件并保存为key文件。)

然后上传到服务器中。并编辑nginx.cnf:

server {
    listen 443 ssl http2;
    ssl_certificate /usr/local/www_a_com.crt;
    ssl_certificate_key /usr/local/www_a.com.key;

    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
    ssl_session_cache shared:SSL:50m;
    ssl_prefer_server_ciphers on;
    #add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"; 
……
}
server {
    listen 80;
    server_name a.com;
    rewrite ^(.*)$ https://www.a.com/$1 permanent;
}

其中#add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";为HSTS的配置方法,使得用户访问网站时,会强制使用https访问,而不需要先通过80,请了解HSTS优缺点后再启用。

重启apache\nginx即可。

经过实践,现在的nginx对于同一ip(比如我这种小站长,同一服务器或VPS上放两个网站)的不同网站设置不同证书,现在直接配置就可以了,不需要像http://nginx.org/en/docs/http/configuring_https_servers.html里提到的增加不同局域网IP如192.168.1.1:443这种。新版本nginx功能很完善嘛。

有一个Chrome扩展可以查看ssl情况:https://chrome.google.com/webstore/detail/gmkdfchigicneikpcdakcoglhiecneak

点击新开窗口查看图片
点击新开窗口查看图片
本站不提供讨论功能。
本站所有非新闻类文章均为原创,且禁止转载。
本站为了获得更多流量赚取广告费,难免会有以次充好的文章,望见谅,勿鄙视。