摘要:及時發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。保證數(shù)據(jù)到達(dá)用戶期望的目的地�����。對計算能力的消耗很嚴(yán)重���,完全握手時����,的處理能力會降低至的甚至以下�����。這個階段的性能消耗占整個握手性能消耗的�。
HTTPS就等于HTTP加上TLS(SSL),HTTPS協(xié)議的目標(biāo)主要有三個:
數(shù)據(jù)保密性���。保證內(nèi)容在傳輸過程中不會被第三方查看到����。就像快遞員傳遞包裹時都進(jìn)行了封裝�,別人無法知道里面裝了什么東西。
數(shù)據(jù)完整性��。及時發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。就像快遞員雖然不知道包裹里裝了什么東西�,但他有可能中途掉包,數(shù)據(jù)完整性就是指如果被掉包����,我們能輕松發(fā)現(xiàn)并拒收。
身份校驗����。保證數(shù)據(jù)到達(dá)用戶期望的目的地。就像我們郵寄包裹時�,雖然是一個封裝好的未掉包的包裹,但必須確定這個包裹不會送錯地方���。
關(guān)于申請SSL及在站點部署請看下面兩篇博文:
StartSSL免費SSL證書申請和賬戶注冊完整過程
新StartSSL免費SSL證書申請使用:Apache和Ngnix安裝配置SSL證書
Nginx下配置網(wǎng)站ssl實現(xiàn)https訪問
HTTPS介紹
Nginx配置SSL證書
申請的過程可以看上邊的第一篇博文���,申請后最終會需要兩個文件,一個擴(kuò)展名為.crt,一個擴(kuò)展名為.key文件����,然后通過命令將其傳入nginx服務(wù)器的目錄下:
1.將本地文件上傳到服務(wù)器的/home/目錄下先
? ~ pwd
/Users/corwien
// 將本地文件上傳到服務(wù)器的/home/目錄下先
scp /Users/corwien/ssl/ssl.domain—name.cn.crt [email protected]:/home/
scp /Users/corwien/ssl/ssl.domain-name.cn.key [email protected]:/home/
2.打開站點的配置文件
vim /etc/nginx/sites-available/default
下面是我添加SSL后的配置文件,需要的可以參考:
server {
listen 80 default_server;
listen [::]:80 default_server ipv6only=on;
root /var/www/your-project/public;
index index.php index.html index.htm;
# Make site accessible from http://localhost/
server_name your-domain.cn;
# SSL重寫指向下面的HTTPS的443端口-20160924
rewrite ^/(.*) https://your-domain.cn/$1 permanent;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
try_files $uri $uri/ /index.php?$query_string;
# Uncomment to enable naxsi on this location
}
location ~ .php$ {
try_files $uri /index.php =404;
fastcgi_split_path_info ^(.+.php)(/.+)$;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
# HTTPS server
#
server {
listen 443;
server_name your-domain.cn;
#
root /var/www/your-domain/public;
index index.php index.html index.htm;
# SSL 配置
ssl on;
ssl_certificate /home/ssl.your-domain.cn.crt;
ssl_certificate_key /home/ssl.your-domain.cn.key;
#
ssl_session_timeout 5m;
#
# ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
# ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";
# ssl_prefer_server_ciphers on;
#
location / {
try_files $uri $uri/ /index.php?$query_string;
}
location ~ .php$ {
try_files $uri /index.php =404;
fastcgi_split_path_info ^(.+.php)(/.+)$;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
3.保存���,重啟nginx
service nginx restart
這時會出現(xiàn)這樣的提示���,讓你輸入你的SSL證書的密碼(就是你生成cer那一步的密碼,可別忘記了)
* Restarting nginx nginx
Enter PEM pass phrase: your_ssl_password(輸入你的密碼)
Enter PEM pass phrase: your_ssl_password(輸入你的密碼)
[ OK ]
在瀏覽器輸入你的網(wǎng)站域名:
https://your-domian.cn
OK ,如果不出意外�,你的SSL配置成功了!
修改站點中非https的資源鏈接
HTTPS的優(yōu)缺點
既然HTTPS非常安全�����,數(shù)字證書費用也不高�,那為什么互聯(lián)網(wǎng)公司不全部使用HTTPS呢?原因主要有兩點:
HTTPS對速度的影響非常明顯�����。每個HTTPS連接一般會增加1-3個RTT��,加上加解密對性能的消耗���,延時還有可能再增加幾十毫秒�。
HTTPS對CPU計算能力的消耗很嚴(yán)重���,完全握手時���,web server的處理能力會降低至HTTP的10%甚至以下�。
HTTPS為什么會嚴(yán)重降低性能��?主要是握手階段時的大數(shù)運算�。其中最消耗性能的又是密鑰交換時的私鑰解密階段(函數(shù)是rsa_private_decryption)。這個階段的性能消耗占整個SSL握手性能消耗的95%��。
然而隨著各大網(wǎng)站的相繼跟進(jìn)與硬件的摩爾定律下�����,為了安全而做這點性能犧牲還是值得的���。
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/39336.html
