坦白说,我是不愿意给博客启用HTTPS(SSL)访问的。至少,现在不愿意。
为什么这样讲?
博客于2016年11月份正式上线,到今天(2018-01-22)已差不多满15个月了。
在这15个月里,本博客仅仅更新了一篇文章,记录了我当初是如何一步一步在VPS上安装WordPress建站的。
承蒙诸位看得起,时常有留言交流。针对其他博主建站时出现的问题,凡力所能及的我都尽力回答,并筛选后贴在文章内作为补充和更新。
自认为文章还算靠谱,慢慢地从Google和Baidu上来了流量。按 Google Analytics 一月内的统计,流量平均约100IP/天。
是的。每天仅仅只有100个左右的访客。
太少了。不是吗?
也许等博客有了10篇、50篇、100篇甚至更多文章,流量到了1000IP/天、5000IP/天、10000IP/天甚至更多的时候,自己才可以名正言顺地自称为“博主”。
对我来说,当务之急是如何拓展更多的内容、获取更多的流量,其他诸多锦上添花甚至可有可无的事情(比如启用HTTPS)都是微不足道的。
Google不会因为你安装个SSL证书(甚至免费的)、启用个HTTPS就让你的网站出类拔萃,尽管HTTPS也是几百种(博主猜测)影响SEO排名因素的一种。
Content Is King ..
所以,不以生产优质内容为目的的SEO都是耍流氓。
更何况,就本站这么个小博客,有什么高价值的数据需要加密访问呢?银行吗?网店吗?
因此,个人博客启用HTTPS访问的确有用,但至少现阶段不是必需品。
但是,我最终还是给博客启用了HTTPS。
原因主要有以下三点:
我喜欢折腾
对于新兴的事物特别感兴趣,喜欢尝试和体验,并一直乐此不疲。这也是这篇文章产生的主要原因。
HTTPS是趋势
Google明确表示HTTPS对网站排名有帮助,且SSL证书的安装越来越方便。既然以后也要开启,为何不趁着现在流量少时折腾好呢,同时还可以观察并验证开启HTTPS对博客有哪些具体的影响。
他人的建议
多位网友留言交流关于SSL证书安装的问题,并建议博主折腾一下出个教程。
实际上,我非常庆幸自己这几天的折腾,的确收获颇丰。其中最重要的一点就是直观的验证了SSL/HTTPS对关键词排名的提升效果(见下图)。
(每次折腾前,我习惯先做好VPS快照备份,然后截图,留作和折腾后对比。我觉得这是个不错的习惯,也建议你这样做。)
2018-01-16上午09:12时,某关键词排在第三位(启用HTTPS访问前):
2018-01-16中午12:16时,该关键词排在第二位(启用HTTPS访问后):
从图中可以看出,启用SSL之后,仅仅三个小时内Google关键词排名就发生了变化:
从第三升至第二位!
诚然,这也可能属于关键词排名的正常波动,但在我看来,至少印证了一点:
Google倾向于给予HTTPS网址更多的权重。
事实上,Google在很早之前的一份官方博文中也提到过这一点:
For now it’s only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.<span class="su-quote-cite"><a href="https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html" target="_blank">Google Webmasters</a></span>
所以,如果你打算长期的、正规的建站/写博客的话,我的建议是:请尽量安装SSL证书,以开启HTTPS访问。
接下来,博主就分享一下我是如何在LAMP环境中(LNMP1.3/1.4一键安装)一步步安装Let’s Encrypt免费SSL证书的。
再次提醒:建议在进行以下操作前做好快照备份(SnapShot),以防不测。同时,由于安装Let’s Encrypt免费SSL证书需要验证域名,故务必确保域名解析成功。
#1 LNMP1.3如何升级到LNMP1.4
#2 安装免费的SSL证书(Let’s Encrypt)
Let’s Encrypt 是由 ISRG(Internet Security Research Group,互联网安全研究小组)提供的免费数字证书认证机构,旨在提供免费的SSL/TLS证书。
其参与者目前主要包括电子前哨基金会、Mozilla基金会、Akamai、思科以及Linux基金会等,这些大牌组织的加入保证了这个项目的可信度和可持续性。
所以,如果我们需要免费的SSL证书,Let’s Encrypt则无疑是最佳之选。
#3 防火墙开启443端口
#4 HTTPS替换掉HTTP链接
细心的你可能发现了:网址前面的小锁为啥不是期待中的绿色呢?
这是因为,页面上存在该域名下的非 https 链接。也就是说,文章内有些图片、CSS和JS等文件仍然是以 http 链接样式存在的。
因此,我们要将其全部改成 https 样式。
进入 phpMyAdmin 管理后台,选择目标数据库,在 SQL 里跑一下如下语句(别忘了把 seoimo.com 换成你自己的域名):
UPDATE wp_options SET option_value = replace( option_value, 'http://www.seoimo.com', 'https://www.seoimo.com' );
UPDATE wp_posts SET post_content = replace( post_content, 'http://www.seoimo.com/wp-content', 'https://www.seoimo.com/wp-content' );
如果安装了静态缓存(如 WP-Super-Cache )和 Memcached 插件(比如 MemcacheD Is Your Friend ),建议再清空下缓存。
连接 Memcached :
# telnet 127.0.0.1 11211
清空所有缓存数据:
flush_all
显示 OK 之后,输入 quit 退出即可。
Connected to 127.0.0.1.
Escape character is '^]'.
flush_all
OK
quit
Connection closed by foreign host.
注意:如提示 -bash:telnet:command not found ,需要安装下 telnet 命令:
# yum -y install telnet
最后,建议再重启下 Memcached 扩展:
# /etc/init.d/memcached restart
接下来,刷新网页,期待中的小绿锁终于出现了。
至此,HTTPS才算是真正启用了。
但是,革命仍尚未成功,接下来还有几点重要设置,建议一并修改。
#5 添加 SSLCertificateChainFile 并开启 HSTS
走完了上面的步骤,当我们使用某些网站(如SSLLabs - SSLTest)检测博客 https 网址健康情况时,你可能会发现存在 “Chain issues”,而整体得分往往只有B。
什么意思?
简单点说,就是你的证书有问题,某些浏览器下会提示错误/证书有风险,网站不安全。
所以,LAMP/Apache环境下,还需要添加中间证书/完善证书链,并开启强制HTTPS访问。(LNMP最新版本已修正证书链)
编辑网站的 Apache 配置文件,仍以本站(seoimo.com)为例:
# vi /usr/local/apache/conf/vhost/seoimo.com.conf
在 VirtualHost *:443 内添加 SSLCertificateChainFile 指向以及 HSTS (HTTP Strict Transport Security)命令:
SSLCertificateFile /usr/local/apache/conf/ssl/seoimo.com/seoimo.com.cer
SSLCertificateKeyFile /usr/local/apache/conf/ssl/seoimo.com/seoimo.com.key
SSLCertificateChainFile /usr/local/apache/conf/ssl/seoimo.com/ca.cer
Protocols h2 h2c http/1.1
Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"
保存之后,重启Apache:
# lnmp httpd restart
这时,再去检测HTTPS健康状况,一般就可以得到A或者A+了。
温馨提示:
① 禁用 TLS 1.0 和 TLS 1.1
倘若提示 “This server supports TLS 1.0 and TLS 1.1. Grade will be capped to B from January 2020.”,则可选禁用 TLS 1.0 和 TLS 1.1 即可:
找到 SSLProtocol all -SSLv2 -SSLv3 该行,行末添加 -TLSv1 -TLSv1.1,即 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 ,然后,重启一下lnnp:
② 配置 HSTS (HTTP Strict Transport Security)(可选)
上文提到的配置 HSTS 部分,考虑到虚拟主机可能没有修改 .conf 的权限,可选择将 Header always set .. 该行添加到网站根目录下的 .htaccess 文件内:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
#6 关闭 SNI(Server Name Indication)(可选)
Server Name Indication(服务器名称指示)是用来改善 SSL(Secure Socket Layer)和 TLS(Transport Layer Security)的一项特性,它允许客户端在服务器端向其发送证书之前请求服务器的域名。
在以前,只有独立 IP 的虚拟主机或 VPS 才能开启 SSL/TLS 连接服务。也就是说,一个 IP 只能对应一个 HTTPS 访问。因此,同一个 IP 下搭建多个 HTTPS 网站是不行的。
但现在可以了。
使用 LNMP 最新版安装包编译的 Apache 2.2 已自带 SNI 拓展,默认是打开的。同 IP 下搭建多个网站时,只要按操作绑定域名并启用 HTTPS 就可以,不需要额外设置。
然而,在启用之后,你可能遇到下面这种情况:没有权限,访问禁止!
这是因为,某些奇葩的浏览器不支持 SNI 技术,比如上图所示的 IE 8 以及在 WinXP 系统下所有的 IE 浏览器。
尽管 XP 系统已经退出历史舞台了,但在国内还是有一定的市场。
倘若你选择无视之,下面这步可以略过了;但如果你不打算失去这部分访客,还是得照顾一下他们。
方法比较简单:关闭 SSLStrictSNIVHostCheck
:
# vi /usr/local/apache/conf/extra/httpd-ssl.conf
将默认的 SSLStrictSNIVHostCheck on
改成 off
,如下所示:
SSLStrictSNIVHostCheck off
保存,退出。然后重启 Apache
即可:
# lnmp httpd restart
再次访问就不会出现上图中的问题了。
但是,如果你是同一个 IP 下搭建了多个网站,即便关闭了 SSLStrictSNIVHostCheck
,XP 系统下访问HTTPS可能还会出问题。比如:
出现这种情况有两个解决办法:①换用除 IE 以外的浏览器,比如谷歌Chrome和360极速浏览器;②换个系统吧兄弟,XP 真的太古老了。
#7 定时更新SSL证书
使用 LNMP 安装 Let's Encrypt - SSL
证书,会自动添加定时更新证书的指令。
查看指令:
# crontab -l
正常情况下,显示如下信息(LNMP1.6):
或者(LNMP1.5):
通常,保持默认即可。
但是,免费证书有效期90天,每天都检测升级一次,博主感觉有点太频繁。可以改为15天甚至一个月检测一次:
# crontab -e
更改为以下设置:
保存,重启 crond :
# service crond restart
然后,设置开机启动:
# chkconfig crond on
这样,每15天的凌晨,程序会自动检测证书是否需要更新;如果不需要,则直接跳过。
当然,你也可以随时强制性手动更新(注意:限制每周5次)。
强制更新Let's Encrypt证书:
# "/usr/local/acme.sh"/acme.sh --force --cron --home "/usr/local/acme.sh" > /dev/null
出现 Congratulations, all renewals succeeded. 字样时,表示证书更新完成。
#8 HTTP全部301重定向到HTTPS
编辑网站根目录下的 .htaccess 文件,在顶部添加如下代码:
# BEGIN Rewrite
RewriteEngine On
RewriteCond %{HTTP_HOST} ^seoimo.com [NC]
RewriteRule ^(.*)$ https://www.seoimo.com/$1 [R=301,L]
# END Rewrite
保存之后,上传覆盖即可。
倘若访问提示“重定向次数过多”,也可设置仅跳转端口试试:
# BEGIN Rewrite
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.seoimo.com/$1 [R=301,L]
# END Rewrite
#9 HTTPS对网站打开速度的影响
通常认为,启用HTTPS访问会额外增加网页打开时间,同时也会占用VPS资源。
但是,具体影响有多大呢?
经过博主测试(Pingdom & PageSpeed Insights),启用HTTPS访问对网页打开时间的影响几乎可以忽略不记(详见下图)。
(测试地点选择洛杉矶,尽量靠近博客主机所在机房,以减少线路问题造成的干扰。)
开启HTTPS访问前后,Google PageSpeed Insights 测试结果:
开启HTTPS访问前后,Pingdom 测试结果(整体数据):
开启HTTPS访问前后,Pingdom 测试结果(请求耗时):
从上图可以看出,本站启用HTTPS访问后,SSL耗时只有几十毫秒。页面打开耗时虽有所增加,但增加的非常有限,甚至可以忽略不计。
当然,本次测试仅仅只是验证SSL对本站访问速度造成的影响,并不意味着你开启HTTPS访问后网站打开速度和上图一样。
网站打开速度更多是由VPS性能(比如 CPU 、带宽和 I/O读写)、线路、域名DNS解析、站内优化以及本地网速等多种原因造成的,有些因素可以通过优化调整改善,有些我们却很难左右。
博主的建议是:在做好站内优化的同时,尽可能选择性能更好的VPS/服务器/虚拟主机。比如本站目前用的 Hostwinds(月付$4.99,1GB内存,美西机房)。
建议安装LNMP1.5版本吧,至少不会出现如下Python依赖的问题!
在一个手痒痒的下午,折腾了一番VPS之后,博主决定把 Let's Encrypt
证书更新一下,尽管离到期还有一个多月时间。
于是,手动更新之:
# /bin/certbot renew --renew-by-default --disable-hook-validation --renew-hook "/etc/init.d/httpd restart"
结果,却出现如下错误:
yum is /usr/bin/yum
To use Certbot, packages from the EPEL repository need to be installed.
Enabling the EPEL repository in 1 second....
Loaded plugins: fastestmirror
Setting up Install Process
Loading mirror speeds from cached hostfile
* base: centos.s.uw.edu
* elrepo-kernel: repos.lax-noc.com
* extras: mirror.hmc.edu
* updates: mirror.chpc.utah.edu
Package epel-release-6-8.noarch already installed and latest version
Nothing to do
No supported Python package available to install. Aborting bootstrap!
看样子是需要升级到 Python3
。
但是,我在VULTR的CentOS7系统下(Python2.7
)是可以正常更新的,所以,或许没必要一定升级到 Python3
, Python2.7
也是可以的。
那就试试看吧!(稳妥点,建议先做好 SnapShot
备份。)
更新系统并安装相关依赖:
# yum -y update
# yum -y install epel-release
# yum -y install openssl openssl-devel zlib-devel gcc sqlite-devel
完成后,开始安装 Python2.7
:(博主选择是 Python2.7.12
版本)
# cd ~
# wget https://www.python.org/ftp/python/2.7.12/Python-2.7.12.tgz
# tar -zxf Python-2.7.12.tgz && cd Python-2.7.12
# ./configure
# make && make install
之后备份当前的 Python2.6
,并设置 Python2.7
软链接:
# mv -f /usr/bin/python /usr/bin/python2.6
# ln -s /usr/local/bin/python2.7 /usr/bin/python
安装 pip
,并设置 Python2.7
为默认启动版本:
# wget https://bootstrap.pypa.io/get-pip.py
# python get-pip.py
# ln -s /usr/local/bin/pip2.7 /usr/bin/pip
如提示 ln: creating symbolic link `/usr/bin/pip': File exists
,则需要删除原 pip
,或者做成备份:
# mv -f /usr/bin/pip /usr/bin/pip.old
之后,查看 Python
版本信息:
# python --version
显示 Python 2.7.12
,表示安装成功。
接下来,还需要做如下修改,以确保 yum
功能正常使用:
# vi /usr/bin/yum
将第一行的 #!/usr/bin/python
修改成 #!/usr/bin/python2.6
即可。
之后,可以删除之前下载的 Python-2.7.12
压缩包,以节省空间:
# cd ~ && rm -rf Python-2.7.12.tgz
至此,在搬瓦工CentOS6.9系统上安装 Python2.7.12
算是成功了。
接下来,继续手动更新证书:
# /bin/certbot renew --renew-by-default --disable-hook-validation --renew-hook "/etc/init.d/httpd restart"
悲催,又显示错误:
Traceback (most recent call last):
File "/usr/bin/virtualenv", line 7, in *module*
from virtualenv import main
ImportError: No module named virtualenv
继续安装 virtualenv
:
# pip install virtualenv
再次更新证书:
# /bin/certbot renew --renew-by-default --disable-hook-validation --renew-hook "/etc/init.d/httpd restart"
终于成功了:
/etc/letsencrypt/live/seoimo.com/fullchain.pem (success)
博主想问问你是用什么魔法上网的?(balabala..省略一万字)
①站梯分离;②远离机场;③低调安分。
和你现在用的应该是一样的,正常的学习研究使用,无需担心。
哇,许久不来,发现博主竟然更新第二篇文章了,虽然现在用bt的更傻瓜的方法来建环境了,这篇那篇文章给我的帮助很大,虽然记得第一次lnmp建站用了尽10遍才算成功
说来惭愧,更新比较慢。关于wordpress和seo的文章草稿有了七八篇,但写的都不太满意,一直没放出来。
宝塔也不错,只是我习惯了无面板操作,有轻度洁癖。
博主在CentOS7上
#5添加 SSLCertificateChainFile 并开启 HSTS这一步
不知为何会导致IP的网站打不开 浏览器显示 【拒绝了我们的连接请求】
做完全部除#5的话 就正常 可能系统太新?
我在CentOS6和7上都试过,域名访问没法问题。
本站禁用了IP访问,所以,如果你指的是单独使用IP访问出现该错误,暂时未知。
哦 好吧 感谢你的回复 其实不单独是IP访问 域名访问也是 对了 我是同个IP多个域名
一个IP下多个网站同时启用HTTPS也没问题,检查下是不是路径或者别的地方出错了。
或者换个支持SNI(Server Name Indication)的浏览器试试。
感谢博主详尽的教程造福我这样的技术小白。
完美避开了博主的坑:)或许因为我是CentOS7?
在设置301重定向时并没有找到网站根目录下有 .htaccess 文件,自己保存一个上传发现没有用,最后发现wordpress的Really Simple SSL插件自带这一功能就没再折腾。
遇到一个问题,运行# crontab -l后显示no crontab for root,没再进行安装crontab,在完成教程步骤后运行# crontab -l和博主的正常图片一致。不知是否能够正常更新证书?
CentOS6坑比较多,因为自带的Python2.6已经过时了,需要升级。而CentOS7自带Python2.7,所以坑少。
Apache下开启重定向后,自建个
.htaccess
一般就可以了。出现提示
no crontab for root
是因为系统之前没有设定过任何定时任务。安装后SSL定时更新自动添加了。不放心的话,可以手动强制性更新下试试。
看了博主的内容,觉得自己的站好水,就像单纯的学习日记,捂脸,,,,
博主有哪些靠谱月付5刀内的建站小鸡可推荐吗?
vultr哪里我的日本小鸡被ban了,然后重开了7台,仅一台可以ping通,还20%丢包,然后放弃了
搞个eno家的,结果绕路全球450ms,想哭
月付5刀的选择比较多了,如果想稳定不折腾,找个国人不扎堆的冷门线路可能比较省心。不过,目前没有好的推荐,因为这些线路我也在找。。
Vultr试试纽约吧,除了搬瓦工,我一直用,尤其是需要测试和学习的时候。很稳定,就是ping有点高,建站没太大影响。缺点也很明显,就是可能需要多刷几个IP。
ENOCTUS第一批上的车,实测除了ping和速度(有时也一样卡)好看点外,性能感觉还不如Vultr纽约(亲测了负载)。建站小站的话,也足够了,毕竟才20刀。不过这家这么低价格,被人搞是早晚的事。已经下车。
再便宜的,搬瓦工了。本站用的这款,年付20刀(实际19刀不到),老实讲,我非常满意(尽管很少时候也会慢一点),文中有测评。
刚在次测试,感觉只要启用任何一个插件,都会出现后台变化,只要停止插件,又恢复正常。
如果知道问题在哪里,烦请帮忙。
这个问题我还真没遇到过,所以没法给你可行的解决方法。
建议试试先禁用HTTPS,看看是否正常;正常的话,就是开启HTTPS导致的,再从这方面入手找原因。
另外,方便的话你也可以把显示的错误截图(url)发来,这样会比较直观些。
推荐图床:https://imgur.com/
博主你好,有个问题,我今天装了wordpress
结果我一安装启用 force https插件 wordpress后台就变格式,只剩下字符,没有那种图文交货的感觉,全屏幕都是蓝色的字。
我按文字往下 把这个插件停用,一切就都恢复了。
请问为什么添加了SSLCertificateChainFile信息后手机端还是显示证书链不可信呢?
打开下面的链接,检查下中间证书是否正常。
如显示断开,说明没添加正确;如果显示正常,问题则出在手机浏览器那,换个浏览器试试。
SSL Checker:https://www.sslshopper.com/ssl-checker.html
博主我的在测试nginx文件的时候怎么报错了呀 附报错代码
nginx: [emerg] BIO_new_file("/usr/local/ssl") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/usr/local/ssl','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed
Reload Nginx......
nginx: [emerg] BIO_new_file("/usr/local/ssl") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/usr/local/ssl','r') error:2006D080:BIO routines:BIO_new_file:no such file)
从报错来看,应该是没有找到 /usr/local/ssl 目录。抱歉没法给你具体答案,我一直用的都是Apache,没用Nginx,建议问问Google。
头像不错,so cute..
请问博主,我是按照你的第一篇文章搭建的wordpress,服务器使用的是搬瓦工的洛杉矶直连中国的机房系统centos,域名是阿里云买的经过身份认证和备案的。
前天搭好网站后,昨天打开网站就进不去了,不止这样,我还发现ssh连不上了,最后登录cpanel发现原来是我服务器的ip被//其一昂//了,域名应该没被。现在只有通过搬瓦工的cpanel才能管理vps,而且我的服务器搭好wordpress后文章内并没有河蟹或者侵权内容,请问我这个是什么情况?望博主解答
这是个众所周知的问题,这里不多做讨论,原因你懂的。
提供一些解决方法供参考:
①先去后台,试试能不能切换到别的机房(前提是你订的套餐支持多机房切换);
②如无法切换,就提交工单,和客服协商更换IP(可能要支付几美元的手续费);
③不要在你正跑网站的VPS上搭建那个东西,给它单独找个窝;
④网站上不要有任何直接或者过于相关的河蟹内容,当然侵权的更不要有;
⑤建议额外备份一个VPS,一旦网站出现这种情况,可及时解析过去(试试VULTR);
⑥如果你觉得确实冤,就看开点。在搬瓦工这样廉价的母鸡上,鬼知道你的邻居都在搞什么飞机。误杀是无法避免的;
⑦如果多金,找个冷门的、性能不错的VPS,会相对安全的多。
粗略翻完,发现自己的小站还有能继续改进的地方,也就是你之前提到的HSTS。纠正一个小错误:“博客自2017年11月正式上线以来,到今天已差不多满15个月了。”我想应该是2016年11月:)
已更改,感谢指正。初稿比较仓促,以后会慢慢更新完善。