V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wilddog
V2EX  ›  SSL

扒一扒 HTTPS 网站的内幕

  •  4
     
  •   wilddog · 2015-09-28 21:50:45 +08:00 · 11329 次点击
    这是一个创建于 3371 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今年 6 月,维基媒体基金会发布公告,旗下所有网站将默认开启 HTTPS ,这些网站中最为人所知的当然是全球最大的在线百科-维基百科。而更早时候的 3 月,百度已经发布公告,百度全站默认开启 HTTPS 。淘宝也默默做了全站 HTTPS 。

    网站实现 HTTPS ,在国外已经非常普及,也是必然的趋势。 Google 、 Facebook 、 Twitter 等巨头公司早已经实现全站 HTTPS ,而且为鼓励全球网站的 HTTPS 实现, Google 甚至调整了搜索引擎算法,让采用 HTTPS 的网站在搜索中排名更靠前。但是在国内, HTTPS 网站进展并不好,大部分的电商网站也仅仅是对账户登录和交易做 HTTPS ,比如京东;很多网站甚至连登录页面也没有实现 HTTPS …这里面有很多的原因,比如现有架构改动的代价过大、 CDN 实现困难、对用户隐私和安全的不重视等。

    还有个重要原因是担心网站实现 HTTPS 后,网站的用户体验和性能下降明显。事实上,通过合理部署和优化, HTTPS 网站的访问速度和性能基本不会受到影响。

    一、什么是 HTTPS 网站?

    在介绍 HTTPS 网站前,首先简单介绍什么是 HTTPS 。

    HTTPS 可以理解为 HTTP+TLS , HTTP 是互联网中使用最为广泛的协议,目前不部分的 WEB 应用和网站都是使用 HTTP 协议传输。主流版本是 HTTP1.1 , HTTP2.0 还未正式普及, 2.0 由 Google 的 SPDY 协议演化而来,在性能上有明显的提升。

    TLS 是传输层加密协议,是 HTTPS 安全的核心,其前身是 SSL ,主流版本有 SSL3.0 、 TLS1.0 、 TLS1.1 、 TLS1.2 。 SSL3.0 和 TLS1.0 由于存在安全漏洞,已经很少被使用到。

    那网站为什么要实现 HTTPS ?

    一言概之,为保护用户隐私和网络安全。通过数据加密、校验数据完整性和身份认证三种机制来保障安全。

    由于本文的重点是 HTTPS 网站的性能加速,对于 HTTPS 通信过程和加解密算法就不展开介绍了。

    感兴趣的同学可以 Google 之,基础都是一样的。

    二、 HTTPS 网站的直观了解

    推荐一个在线版全球知名的 HTTPS 网站检测工具-SSL Labs 。 Qualys SSL Labs 同时也是很具有影响力的 SSL 安全和性能研究机构。在线检测地址为: https://www.ssllabs.com/ssltest/。

    SSL Labs 会对 HTTPS 网站的证书链、安全性、性能、协议细节进行全面检测,检测完毕后会进行打分,同时给出一份详细的检测报告和改进建议。

    三、提高 HTTPS 网站性能和访问速度

    如果你认为网站加上 TLS 证书,就是 HTTPS 网站了,那你就跟 12306 犯了同样的错误……

    首先,网站在加上 TLS 证书时,为什么会变慢?这主要又两方面造成:

    1. HTTPS 比 HTTP 在通信时会产生更多的通信过程,随之 RTT 时间就会增加;

    2. HTTPS 通信过程的非对称和对称加解密计算会产生更多的服务器性能和时间上的消耗。

    但是,每个 HTTPS 网站其实都有着巨大的优化空间。下面我们结合 WildDog 网站,来看看 QPS 值从 30000 到 80000 ,加载时延从 800ms 到 300ms ,这中间的每个优化点是怎样的。

    HSTS
    HTTPS 网站通常的做法是对 HTTP 的访问在服务器端做 302 跳转,跳转到 HTTPS 。但这个 302 跳转存在两个问题:

    1. 使用不安全的 HTTP 协议进行通信;

    2. 增加一个 Round-Trip Time 。

    而 HSTS 是 HTTP Strict Transport Security 的缩写,服务器端配置支持 HSTS 后,会在给浏览器返回的 HTTP Header 中携带 HSTS 字段,浏览器在获取到该信息后,在接下来的一段时间内,对该网站的所有 HTTP 访问,浏览器都将请求在内部做 307 跳转到 HTTPS ,而无需任何网络过程。

    Session Resume
    Session Resume 即会话复用,这提升 HTTPS 网站性能最基础也是最有效的方法。

    在 HTTPS 握手阶段,对服务器性能消耗最为严重的是非对称密钥交换计算,而 Session Resume 通过对已经建立 TLS 会话的合理复用,节省非对称密钥交换计算次数,可大幅提高服务器的 TLS 性能。

    TLS 协议提供两种实现机制 Session Resume ,分别是 Session cache 和 Session ticket 。

    Session Cache

    Session Cache 的原理是使用 Session ID 查询服务器上的 session cache ,如果命中,则直接使用缓存信息。但 Session Cache 有个明显的缺点,它不支持分布式缓存,只支持单机进程间的共享缓存。这对于多个接入节点的架构很难适用。

    Session ticket

    Session ticket 的原理是服务器降 session 信息加密成 ticket 发送给浏览器,浏览器后续进行 TLS 握手时,会发送 ticket ,如果服务器能够解密和处理该 ticket ,则可以复用 session 。

    Session ticket 可以很好的解决分布式问题,但 Session ticket 的支持率还不是很高,而且需要考虑服务器上 key 的安全性方案。

    OCSP Stapling
    在 HTTPS 通信过程时,浏览器会去验证服务器端下发的证书链是否已经被撤销。验证的方法有两种: CRL 和 OCSP 。

    CRL 是证书撤销列表, CA 机构会维护并定期更新 CRL 列表,但这个机制存在不足:

    1.CRL 列表只会越来越大;

    2.如果浏览器更新不及时,会造成误判。

    OCSP 是实时证书在线验证协议,是对 CRL 机制的弥补,通过 OCSP 浏览器可以实时的向 CA 机构验证证书。但 OCSP 同样存在不足:

    1. 对 CA 机构要求过高,要求实时全球高可用;

    2. 客户端的访问隐私会在 CA 机构被泄露;

    3. 增加浏览器的握手时延。

    而 OCSP Stapling 是对 OCSP 缺陷的弥补,服务器可事先模拟浏览器对证书链进行验证,并将带有 CA 机构签名的 OCSP 响应保存到本地,然后在握手阶段,将 OCSP 响应和证书链一起下发给浏览器,省去浏览器的在线验证过程。

    SPDY 和 HTTP2.0
    SPDY 是 Google 推出的优化 HTTP 传输效率的协议,采用多路复用方式,能将多个 HTTP 请求在同一个连接上一起发出去,对 HTTP 通信效率提升明显。 HTTP2.0 是 IETF 2015 年 2 月份通过的 HTTP 下一代协议,它以 SPDY 为原型。 SPDY 和 HTTP2 目前的实现默认使用 HTTPS 协议。

    Nginx stable 版本当前只能支持到 SPDY3.1 ,但最新发布的 1.9.5 版本通过打 patch 的方式,可以支持 HTTP2.0 ,这绝对是不一样的奇妙体验。不过不建议直接在线上环境部署,等到 2015 年年底吧, Nginx 会发布 Stable 版本支持 HTTP2.0.

    TCP 优化
    因为 TCP 是 HTTPS 的承载, TCP 的性能提升,上层业务都可以受益。

    慢启动是 TCP 规范中很重要的算法,其目的是为避免网络拥塞。通过客户端和服务器之间的数据交换,从一个很保守的初始拥塞窗口值,收敛到双方都认可的可用带宽。当客户端和服务器收敛到一定带宽时,如果一段时间内,双方没有收发数据包,服务器端的拥塞窗口会被重置为初始拥塞窗口值。这对于连接中的突发数据传输性能影响是很严重的。

    在没有充足的理由时,服务器端需要禁用空闲后的慢启动机制。

    另外,当前浏览器和服务器之间的可用带宽已经相对较大,所以我们还应该将初始的拥塞窗口值扩大,新的 RFC 中的建议是 10 , Google 是 16 。

    TLS Record Size
    服务器在建立 TLS 连接时,会为每个连接分配 Buffer ,这个 Buffer 叫 TLS Record Size 。这个 Size 是可调。

    Size 值如果过小,头部负载比重就会过大,最高可达 6%。

    Size 值如果过大,那单个 Record 在 TCP 层会被分成多个包发送。浏览器必须等待这些全部达到后,才能解密,一旦出现丢包、拥塞、重传、甚至重新建立的情况,时延就会被相应增加。

    那 TLS Record Size 值如何选择呢?有两个参数可参考。

    首先, TLS Record Size 要大于证书链和 OCSP Stapling 响应大小,证书链不会分成多个 record ;

    其次,要小于初始拥塞窗口值,保证服务器在通信之初可以发送足够数据而不需要等待浏览器确认

    一般来说,从根 CA 机构申请的证书为 2-3KB 左右,级数越多,证书链越大, ocsp 响应为 2KB 左右,所以 TLS Record Size 是需要根据你的实际情况设置, Google 的值 5KB 。 WildDog 当前的值是 6KB 。

    证书链完整且不冗余
    浏览器在验证服务器下发的证书链时,不仅仅验证网站证书。如果是多级证书,网站证书和根证书之间所有的中间证书都需要被验证。一旦出现证书链出现不完整,浏览器就会暂停握手过程,自行到因特网进行验证,这个时间基本是不可估算的。

    至于怎么查看,通过 openssl 命令查看,也可以通过 SSL Labs 帮你在线检测。

    移动设备上的 ChaCha20-Poly1305
    去年的时候,谷歌已经在 Android 的 Chrome 浏览器上增加支持一个新的 TLS 加密套件,这个加密套件就是 ChaCha20-Poly1305 。它的设计者是伊利诺伊大学的教授和研究员 Dan BernsteinChaCha20 被用来加密, Poly1305 被用来消息认证,两个操作都需要运行于 TLS 上。

    当前流行的加密套件 AES-GCM 在 TLS 1.2 支持,它是不安全 RC4 和 AES-CBC 加密套件的替代品。但是,在不支持硬件 AES 的设备上会引起性能问题,如大部分的智能手机、平板电脑、可穿戴设备。

    ChaCha20-Poly1305 正式为解决这个问题而生。以下是 Google 的相关测试数据,在使用 Snapdragon S4 Pro 处理器的 Nexus 4 或其他手机中, AES-GSM 的加密吞吐量是 41.5MB/s ,而 ChaCha20-Poly1305 是 130.9MB/s 。在使用 OMAP 4460 的老的 Galaxy Nexus 手机上, AES-GSM 的吞吐量是 24.1MB/s ,而 ChaCha20-Poly1305 是 75.3MB/s 。

    当前, OpenSSL 1.0.2 的分支上已经开始支持 ChaCha20-Poly1305 ,而对 ChaCha20-Poly1305 支持最好的当属 BoringSSL 。通过重新对 Nginx 的 SSL 库编译,可以支持到 ChaCha20-Poly1305 ,不过对于线上环境,建议看明白源码再使用。

    除此之外,还有不少优化的细节,如硬件加速、 False Start 、禁用 TLS 压缩等等,这里就不扒了。

    如果觉得这篇文章有帮助,就请收藏或者分享一下,希望可以帮到更多人。

    82 条回复    2015-10-04 11:47:25 +08:00
    wilddog
        1
    wilddog  
    OP
       2015-09-28 22:01:54 +08:00
    作者:王继波
    野狗科技运维总监,曾在 360 、 TP-Link 从事网络运维相关工作,在网站性能优化、网络协议研究上经验丰富。
    公众账号: yeyegou
    lenran
        2
    lenran  
       2015-09-28 22:02:40 +08:00
    baidu.com 也是全站 https ?
    是我火星了?
    wilddog
        3
    wilddog  
    OP
       2015-09-28 22:03:34 +08:00
    @lenran 嗯哼
    aalska
        4
    aalska  
       2015-09-28 22:06:03 +08:00
    @lenran 你火星了

    基本上国内网站率先全局 https 都是 isp 推动的......
    lenran
        5
    lenran  
       2015-09-28 22:06:53 +08:00
    Strikeactor
        6
    Strikeactor  
       2015-09-28 22:07:14 +08:00
    在 HTTPS 握手阶段,对服务器性能消耗最为严重的是非对称密钥交换计算
    这点会被用在攻击上面吗?比如大量握手请求耗尽服务器资源
    Showfom
        7
    Showfom  
       2015-09-28 22:10:43 +08:00 via iPhone
    @lenran 搜索都是 https 了
    Showfom
        8
    Showfom  
       2015-09-28 22:10:53 +08:00 via iPhone   ❤️ 1
    @Strikeactor 会的
    lenran
        9
    lenran  
       2015-09-28 22:12:03 +08:00
    @Showfom 那也仅限于搜索,不能说整个百度都全站 https 了。
    xiaoz
        10
    xiaoz  
       2015-09-28 22:12:22 +08:00
    分析得很全面啊,可惜在国内 https 目前不重视,也不流行。试试刚刚启用 https 的小博: https://www.xiaoz.me
    pmpio
        11
    pmpio  
       2015-09-28 22:12:49 +08:00
    我有点困惑, sf.net 的 https 咋没了呢?究竟是 sf.net 自己关闭了 https 还是我的 ISP 强制跳转到普通 http 以方便监控?

    我觉得国内网站,比如微博,不搞 https ,可能与各地方政府的舆情监控有关,别以为只有功夫网,我估计各地方政府在当地电信机构(当然,至少是地市一级)还有自己的监控,如果都搞 https ,还怎么掌控。。。
    pmpio
        12
    pmpio  
       2015-09-28 22:14:23 +08:00
    @aalska isp 会推动这个?他们脑子又没坏, http 劫持插广告不是他们的一大收入来源么?断自己财路?
    lenran
        13
    lenran  
       2015-09-28 22:14:45 +08:00
    @pmpio 听说国内的监控属于“金盾工程”的管辖范畴。
    kn007
        14
    kn007  
       2015-09-28 22:16:19 +08:00
    个人博客使用 https 的意义在哪里?
    canesten
        15
    canesten  
       2015-09-28 22:16:53 +08:00
    乍一看题目以为心脏又流血了
    aalska
        16
    aalska  
       2015-09-28 22:19:45 +08:00
    @pmpio 因为劫持 所以“推动”...

    淘宝全站 https 就是这么来的
    pmpio
        17
    pmpio  
       2015-09-28 22:21:39 +08:00
    @aalska 唉,我脑子反应还是慢了点。。。。。
    lenran
        18
    lenran  
       2015-09-28 22:21:56 +08:00
    @aalska 你的意思是 ISP 靠劫持来“推动”?
    好匪夷所思的逻辑啊。。。
    oott123
        19
    oott123  
       2015-09-28 22:25:17 +08:00
    @lenran 网站做大了,有反 ISP 劫持的需求了,所以倒着“推动”了大站做 https 。
    gongpeione
        20
    gongpeione  
       2015-09-28 22:26:10 +08:00
    @lenran 因为劫持多了所以很多就上 https 防劫持了。。。
    wenketel
        21
    wenketel  
       2015-09-28 22:26:24 +08:00
    说起京东的 https://jd.com/ 打不开
    https://www.jd.com/ 打得开
    xfspace
        22
    xfspace  
       2015-09-28 22:31:50 +08:00
    @wenketel www.12306.cn 这个没有 HTTPS 的,裸域也不行 :doge:
    Solerer
        23
    Solerer  
       2015-09-28 22:52:06 +08:00 via Android
    俺博客也上 HTTPS 了 https://www.tinydark.com
    Solerer
        24
    Solerer  
       2015-09-28 22:53:24 +08:00 via Android
    lenran
        25
    lenran  
       2015-09-28 22:59:39 +08:00
    @xfspace 这个支持 https 的,不过,他用的是自制的根证书。
    官方的网站处处体现着与众不同 23333333
    virusdefender
        26
    virusdefender  
       2015-09-28 23:05:06 +08:00 via Android
    https://virusdefender.net

    后台非 https ,因为在 hostker 环境下发表文章的时候会出错,自己的服务器没问题,还没找到原因。
    xfspace
        27
    xfspace  
       2015-09-28 23:20:50 +08:00 via iPad
    @lenran 注意。。。是裸域 12306.cn ,你居然能打开🌚🌚🌚
    lenran
        28
    lenran  
       2015-09-28 23:22:52 +08:00
    @xfspace 是啊,能打开。你打不开吗?
    imn1
        29
    imn1  
       2015-09-28 23:24:05 +08:00
    “全站”只是说说而已

    ip.taobao
    tieba.baidu
    baike.baidu
    ……
    xfspace
        30
    xfspace  
       2015-09-28 23:26:42 +08:00 via iPad
    @lenran 不加 www ,就访问 12306.cn 。。。
    铁总没做 12306.cn 的解析,你是怎么打开的。。。🌚
    lenran
        31
    lenran  
       2015-09-28 23:28:06 +08:00
    @xfspace 自动跳转到带'www'的 12306 呀
    xfspace
        32
    xfspace  
       2015-09-28 23:29:56 +08:00 via iPad
    @lenran 你用的“智能”浏览器。不讨论这个了。。。
    uuair
        33
    uuair  
       2015-09-28 23:29:58 +08:00
    做个 https 的网站,要钱不?需要授权不?国内的授权靠谱不?国外的贵不?
    我觉得这才是阻碍的原因吧。。。
    lenran
        34
    lenran  
       2015-09-28 23:30:50 +08:00
    @xfspace 没有,我用的是 firefox 呀
    lincanbin
        35
    lincanbin  
       2015-09-28 23:32:51 +08:00   ❤️ 1
    https://www.94cb.com/

    我昨天也部署了 HTTPS ,然而考虑兼容 XP 而用的 SHA-1 ,在最新版 Chrome 上没办法小绿锁,虽然也没红,但是黄的。

    给各位提个醒,如果不考虑 XP 的话加密级别越高越好。
    wenketel
        36
    wenketel  
       2015-09-28 23:33:15 +08:00   ❤️ 1
    @lenran

    唔,浏览器的问题?
    lenran
        37
    lenran  
       2015-09-28 23:36:22 +08:00
    @wenketel 嗯,是浏览器的锅
    imlonghao
        38
    imlonghao  
       2015-09-29 00:01:52 +08:00
    用阿里云,没去备案,只开了 443 端口。
    开了 HSTS ,访客下一次访问如果打了 http 的也会被浏览器自动跳转。
    https://imlonghao.com
    Hello1995
        39
    Hello1995  
       2015-09-29 00:07:15 +08:00 via Android
    @wenketel 部分浏览器会自己添加 www 。曾经错误地输入 net.cn 居然打开了当时的万网 www.net.cn( www 是奇葩万网的域名)。后来才知道是浏览器的锅。比如 Chrome 会把 baidu 。 com 当成 baidu.com
    abelyao
        40
    abelyao  
       2015-09-29 00:56:35 +08:00
    @imlonghao 然而打不开啊… 提示 DNS_PROBE_FINISHED_NXDOMAIN
    Showfom
        41
    Showfom  
       2015-09-29 00:59:35 +08:00
    @lincanbin 现在基本不用考虑 XP
    jsthon
        42
    jsthon  
       2015-09-29 01:02:25 +08:00 via Android
    那么内幕是什么?
    ericls
        43
    ericls  
       2015-09-29 02:42:21 +08:00 via Android
    @pmpio 就是劫持多了 想出来的办法
    honeycomb
        44
    honeycomb  
       2015-09-29 03:12:35 +08:00
    @lenran youtube 全站 TLS 真是有本事
    v1024
        45
    v1024  
       2015-09-29 07:57:29 +08:00 via iPhone
    写得好,我选择只看评论。
    imlonghao
        46
    imlonghao  
       2015-09-29 08:02:24 +08:00 via Android
    @abelyao 考虑换一下 DNS ?
    bigdude
        47
    bigdude  
       2015-09-29 08:17:11 +08:00
    @imlonghao 同样打不开,翻墙才可以,不过翻墙看国内阿里云的网站有点。。。
    XDA
        48
    XDA  
       2015-09-29 08:21:44 +08:00 via iPhone
    全文转载请只贴链接
    wildlynx
        49
    wildlynx  
       2015-09-29 08:57:44 +08:00
    @lenran 百度贴吧呢?
    davidyin
        50
    davidyin  
       2015-09-29 09:08:13 +08:00
    特地试了一下百度搜索,没有自动跳转到 https
    est
        51
    est  
       2015-09-29 09:53:06 +08:00
    居然不是软文。
    lyragosa
        52
    lyragosa  
       2015-09-29 10:06:58 +08:00
    不过全站 https 还是会一定程度的影响速度,再怎么优化还是有影响的。

    我网站部署了 https ,但是没有开全站强制 HSTS ,而是让用户自选。
    wilddog
        53
    wilddog  
    OP
       2015-09-29 10:31:26 +08:00
    @XDA 我司运维总监原创,并不是转载
    Explorare
        54
    Explorare  
       2015-09-29 10:37:48 +08:00
    你们都用的谁家的证书呢?授权费是多少呢?
    publicid999
        55
    publicid999  
       2015-09-29 10:40:00 +08:00 via Android
    "CRL 是证书撤销列表, CA 机构会维护并定期更新 CRL 列表,但这个机制存在不足:

    1.CRL 列表只会越来越大;"

    CRL 列表怎么会越来越大,证书过期后不会从 CRL 中移除么?而且正常情况下 CRL 也不会大到夸张,哪有那么多证书要 revoke
    master
        56
    master  
       2015-09-29 10:44:56 +08:00 via Smartisan T1
    自从百度上了 https 他已经失去了用于检测网络是否联通的唯一作用
    Mark3K
        57
    Mark3K  
       2015-09-29 10:45:34 +08:00
    @lenran 压力就是动力
    maxsec
        58
    maxsec  
       2015-09-29 10:59:42 +08:00
    作者:王 JB....
    techyan
        59
    techyan  
       2015-09-29 11:02:51 +08:00 via iPhone
    LZ ,谁告诉你维基百科今年 6 月部署的 https 。。 2013 年就强制使用了(中国大陆和伊朗除外
    dog047
        60
    dog047  
       2015-09-29 11:25:33 +08:00
    正好想把自己网站改造 https ,感谢楼主
    holulu
        61
    holulu  
       2015-09-29 11:40:29 +08:00
    OpenSSL 1.0.2 哪里有 chacha20-poly1305 啊?
    iyaozhen
        62
    iyaozhen  
       2015-09-29 13:04:23 +08:00
    干活满满呀,顺带请教个问题:

    这几个分支都有啥区别?
    个人 VPS 应该选择哪个?我更新 openssl , nginx 会自动适应吗?
    joyee
        63
    joyee  
       2015-09-29 14:50:53 +08:00
    看标题写着“内幕”还以为是什么爆料……
    ershiwo
        64
    ershiwo  
       2015-09-29 16:37:12 +08:00 via Android
    @Explorare 我上个月申了 wosign 的 freessl ,但是博客后台强制 https 后 gravtar 头像不正常(我用了多说的缓存),然后一直没折腾。
    还有内个什么 freecrypt 的到现在没消息了。好多注册商买域名的时候就送证书的,你自己看看。
    Nevervoid
        65
    Nevervoid  
       2015-09-29 17:20:04 +08:00
    @kn007 防止被 ISP 强 X 。。。
    Explorare
        66
    Explorare  
       2015-09-29 18:23:14 +08:00
    @ershiwo 今年年底 let's encrypt 就会正式上线,倒时候再试试吧
    xl0shk
        67
    xl0shk  
       2015-09-29 22:04:33 +08:00
    @holulu openssl 1.0.2 aead 的开发分支有
    lenran
        68
    lenran  
       2015-09-29 22:27:06 +08:00
    @honeycomb 人家有 Google 做后台,软硬件都不愁
    crazycen
        69
    crazycen  
       2015-09-29 23:13:50 +08:00
    @imlonghao 秒开!
    imlonghao
        70
    imlonghao  
       2015-09-29 23:29:05 +08:00
    @crazycen 学着 V2 里面一个博客死快的人优化了一下,等国庆之后去备案把 80 给开了...
    xl0shk
        71
    xl0shk  
       2015-09-30 00:15:26 +08:00   ❤️ 1
    xl0shk
        72
    xl0shk  
       2015-09-30 00:22:17 +08:00
    @aalska 哈哈,还有 tcp dns
    xl0shk
        73
    xl0shk  
       2015-09-30 00:24:51 +08:00
    @wenketel 京东对 http://jd.comhttp://www.jd.com 都做跳转到 https://www.jd.com ,所以没有 https://jd.com ...
    xl0shk
        74
    xl0shk  
       2015-09-30 00:30:10 +08:00
    @uuair 价格真不贵...有免费也有付费的,付费的不同等级价格也一样,可以考虑下 verisign 、 godaddy 。价格上去看就好了,明码标价 https://www.godaddy.com/
    macliu
        75
    macliu  
       2015-09-30 01:18:16 +08:00
    @wenketel 需要 ping www.12306.cn 。看起来好弱啊。。。
    macliu
        76
    macliu  
       2015-09-30 01:19:24 +08:00
    @Strikeactor 应该可以
    xl0shk
        77
    xl0shk  
       2015-09-30 10:20:35 +08:00
    @iyaozhen openssl 最好编译安装,一般情况,使用最新的发布版本。也可以去看看 changelog
    wenketel
        78
    wenketel  
       2015-09-30 18:32:21 +08:00
    @xl0shk 所以有时候我输入 https://jd.com/结果打不开还要删除 s ╮(﹀_﹀)╭
    isCyan
        79
    isCyan  
       2015-10-04 09:53:11 +08:00 via iPhone
    @imlonghao 不开 80 如何实现自动跳转到 443 ?
    imlonghao
        80
    imlonghao  
       2015-10-04 10:29:13 +08:00
    @isCyan 似乎无解
    isCyan
        81
    isCyan  
       2015-10-04 10:58:21 +08:00 via iPhone
    @imlonghao 所以你的博客在阿里云没备案用 80 不会被封?
    imlonghao
        82
    imlonghao  
       2015-10-04 11:47:25 +08:00
    @isCyan 我的博客在阿里云没备案,所以我没用 80 端口,我自己用 iptables 把 80 封了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2822 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 03:00 · PVG 11:00 · LAX 19:00 · JFK 22:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.