在1and1上设置免费的GeoTrust SSL证书会发生什么?

时间:2016-09-08 16:07:01

标签: ssl

1and1 UK hosting为您的网站提供免费的GeoTrust SSL证书。

但不想破坏我现有的网站,我想事先知道在设置时会发生什么。

目前我已经设置了这样的网站空间:

/www  <-- www.foo.com
 +-- /images
 +-- /css
/test <-- test.foo.com
 +-- /images
 +-- /css

我只想要www.foo.com网站的SSL证书。

文档告诉您如何设置证书 - 但不会告诉您在执行时会发生什么。

它是否像创建一个名为/ www-ssl的新顶级目录一样容易?如果是这样,我可以将网站复制到那里并使用它。

感谢。

2 个答案:

答案 0 :(得分:2)

  

有趣的是,原始问题实际上是我所拥有的   实际上刚刚完成了过去两天的推出。

如果你只是使用1and1的网站空间/域名(不是服务器),它非常简单(它不会更改文件,它不会自动使网站成为SSL) 。它将继续作为HTTP服务器运行,直到您开始编辑.htaccess文件以重定向到HTTPS。

  

您应该注意:如果您打算使用1&amp; 1的CDN并想要SSL,那么他们给您的免费CD无法使用它。 (我猜测它   至于如何在区域中创建CNAME的自动化过程   记录彼此之间的冲突。这也是您需要的偶然原因   确保你使用的是1和1的NS,以便他们能够控制   区域记录,用于设置CDN或Geotrusts SSL的更改   CERT)

你要么必须购买带有SSL证书的CDN套餐(价格更贵),要么你可以做我已经完成的事情:

  1. 为您的服务器设置免费的Geotrust SSL证书
  2. 关闭/删除 1和1 CDN(如果您已设置)
  3. 访问https://www.cloudflare.com并注册一个免费帐户,只有在您的服务器上运行Geotrust Cert后才能进行此设置,因为它需要将您的域名NS更改为1和1管理员中的cloudflares这会导致1and1使用的任何自动子域创建出现问题。
  4. 使用1and1 CDN&amp; SSL和SSL&amp; Cloudflare是后者版本更便宜(它使用什么是免费的,你已经拥有的,以及为你提供更多的CDN选项。)你唯一丢失的是Mirage缓存(手机的图像优化,它在beta)你当然可以支付cloudflare来获得该选项(以及其他附加功能),但说实话,这是一个很小的损失。

      

    Geotrust SSL SSL Starter 证书之间存在差异。

         

    Geotrust SSL Cert将同时处理 foo.com www.foo.com 。   启动程序SSL只处理其中一个,而不是两者。

    如果检查设置您的GeoTrust SSL证书以处理 www.foo.com foo.com

    获得证书后,只需将以下内容添加到 .htaccess 文件中(假设foo.com流量也是www.foo.com流量)

    <If "%{REQUEST_SCHEME} =='http' && (-f %{REQUEST_FILENAME} || -d %{REQUEST_FILENAME})">
    Redirect permanent "/" "Https://foo.com/"
    </If>    
    
    <ElseIf "(%{HTTP_HOST} == 'foo.com') && (-f %{REQUEST_FILENAME} || -d %{REQUEST_FILENAME})">
    Redirect permanent "/" "Https://www.foo.com/"
    </ElseIf>
    

    这可以在apache&gt; = 2.4

    中代替mod_rewrite使用

    使用REQUEST_SCHEME,因为服务器没有使用FULL(Strict)方法,其中服务器本身设置为在HTTPS中运行。某些mod_rewrite规则实际上会导致无限的*重定向循环。 (*直到服务器从递归中超时)

    虽然可以减少这种情况,因此您的重定向更少,如果您打算在使用cloudflare时进一步收紧SSL,您可能最终会使用HTTP Strict Transport Security (HSTS)并且它很严格在HTTP如何升级到HTTPS。下面的伪代码显示了它需要的高程(必须以这种方式执行此操作,因为此处允许的链接有限):

      

    http(域)&gt; 301&gt; https(domain)&gt; 301&gt; HTTPS(子+域)

    我并不完全确定HSTS协议如何处理我最初的意图是如何找不到文件/目录的失败而创建的404消息破坏了它的严格重定向。

    (如果您使用此方法,请清理404消息的处理方式,因为它可能超出HTTPS。)。

      

    至于 test.foo.com test 文件夹。你可以像对待那样对待它   已经,它已经不在SSL证书之内了,也没有得到   www文件夹的.htaccess。

    如果/当您开始设置 HSTS 时,您需要在If / ElseIf语句中添加标题。

    <If "%{REQUEST_SCHEME} =='http' && (-f %{REQUEST_FILENAME} || -d %{REQUEST_FILENAME})">
    Redirect permanent "/" "Https://foo.com/"
    Header set Strict-Transport-Security "max-age=2592000; includeSubDomains; preload" env=HTTPS  
    </If>
    
    <ElseIf "(%{HTTP_HOST} == 'foo.com') && (-f %{REQUEST_FILENAME} || -d %{REQUEST_FILENAME})"> 
    Redirect permanent "/" "Https://www.foo.com/" 
    Header set Strict-Transport-Security "max-age=2592000; includeSubDomains; preload" env=HTTPS   
    </ElseIf>
    

    我希望有所帮助,

答案 1 :(得分:0)

  

修改   为了澄清,问题似乎更多是关于TLS如何工作而不是如何解决它。

  • TLS证书是网站和浏览器之间的协议,用于使用公共共享密钥在彼此之间发送和接收加密通信。这是 NOT 更改网站内容或网站数据的任何内容。它只是一个更安全的运输系统。

想象一下,你正试图向现实世界的顾客发送杂志,然后将这些杂志贴在薄薄的,薄薄的塑料包装纸上,地址在角落里,没关系,有效,但是邮差,整个邮政工作人员和任何突然进入邮局的人都能看到你发布的内容,以及你朋友收到的杂志。

所以,你更新并将你的杂志发布在厚厚的深色纸袋中,用胶带包裹,这意味着没有一个在途可以查看杂志,没有人知道包含什么杂志在纸袋内。这是TLS为网站所做的非常粗略的设备,它不会改变网站内容(杂志),但它确实确保这些内容更难以嗅探和阅读。

通过说你想加密一些网站,但你不想加密其他网站,这似乎有点奇怪,因为所有客户(在上面的场景中)肯定希望他们的杂志以厚纸袋而不是薄透明的方式交付塑料包装纸。由于不涉及任何成本,如果仅加密某些您的网站或数据,则几乎没有任何收益。

  

历史原创答案:

可以为任何网站启用TLS证书,但不是必需,除非您告知网站要求它。您可以做的是为您的帐户设置证书(这将涵盖帐户中的所有域,包括子域,除非有特定的设置选项以避免子域),然后使用htaccess告诉服务器澄清您的操作,所以你可以告诉服务器:

RewriteEngine On
rewriteCond %{HTTP_HOST} ^www.(.*)$
rewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [L,R=301]

因此,这将告诉您的服务器如果访问www.site.whatever然后使用HTTPS ...如果您真的想要,您可以使用类似的反转规则来防止使用安全的非www子域TLS端口,但实际上,您为什么不想对所有Web数据使用TLS加密?