图片 1

互联网权威机构 – CA 机构,又称为证书授权 (Certificate Authority)
机构,浏览器会内置这些”受信任的根证书颁发机构” (即 CA)。

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt
宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。

旨在让每个网站都启用 HTTPS 加密的 Let’s Encrypt
CA 宣布将于
2018 年 1 月免费提供通配符证书(Wildcard
certificate)。

数字证书

提及 HTTPS ,就会听到大家说需要证书才能部署,那么什么是证书呢?

因为互联网不安全,公匙也是信息的一部分,也是会有被篡改的风险的。所以引入了互联网权威机构

  • CA 机构,又称为证书授权 (Certificate Authority)
    机构,浏览器会内置这些”受信任的根证书颁发机构” (即 CA)。

服务端向权威的身份鉴定 CA 机构申请数字证书,CA
机构验证了网站之后,会把网站录入到内部列表,采用 Hash
把服务端的一些相关信息生成摘要,然后 CA
机构用自己的私匙,把服务端的公匙和相关信息一起加密,然后给申请证书的服务端颁发数字证书,用于其他客户端
(比如浏览器) 认证这个网站的公匙。

客户端通过服务端下发的证书,找到对应的 CA,然后向 CA
验证这个证书是否有效,CA 验证通过之后,下发服务端的公匙。

因为 CA 是权威并且可信的,所以客户端 (浏览器) 信任 CA,而 CA
又信任经过认证的服务端 ,所以客户端 (浏览器)
也信任这个服务端,这就是信任链 (Chain Of Trust)。

而 CA 颁发的数字证书,一般包含这些信息:

图片 2

简单来说:为了保证公匙是安全的,所以通过数字证书验证公匙。

ACMEv 是 ACME 协议的更新版本,考虑到行业专家和其他组织可能希望在某天使用
ACME 协议进行证书颁发和管理,它已经通过 IETF 标准流程。

通配符证书是一种可被多个子域使用的公钥证书。这意味着,单个证书可用于提供多台服务器或一台服务器托管的多个子域名的网页加密,显著降低了个人和小型企业采用
HTTPS 的门槛。

加密通信

一条完整的HTTPS请求应该是这样的:

  1. 客户端 (浏览器) 发起 HTTP
    请求,请求连接服务端,发送支持的加密通信协议
    (和版本),并且生成一个随机数,后续用于生成”对话密钥”。

  2. 服务端确认加密通信协议
    (和版本),同时也生成一个随机数,后续用于生成”对话密匙”,并且将 CA
    颁发的数字证书,一起发送给客户端。

  3. 客户端收到数字证书后,检测内置的”受信任的根证书颁发机构”,查看解开数字证书的公匙是否在。

  4. 如果解开数字证书的公匙存在,则使用它解开数字证书,得到正确的服务器公匙,同时再次生成一个随机数,用于服务器公匙加密,并发送给服务器。

  5. 此时本地和服务器同时将三个随机数,根据约定的加密方法进行加密,各自生成本次会话的所使用的同一把
    “会话密匙” 。

  6. 到这里,认证阶段已经完毕,数据传输从 非对称加密 换成了 对称加密 (因为考虑到性能),接下来所有的数据传输都是使用HTTP协议进行传输,只不过使用了
    “会话密匙” 来加密内容。

见下图:

图片 3

通配符证书允许使用单个证书来保护域的所有子域。在某些情况下,通配符证书可以使证书更容易管理,以帮助使
Web 达到 100% 的 HTTPS 协议。但是对于大多数用例,Let’s Encrypt
仍然推荐使用非通配符证书。

Let’s Encrypt 表示,它希望通配符证书能帮助 Web 加快实现 100%
HTTPS。Let’s Encrypt
前不久刚刚宣布签发了一亿个证书。

有哪些免费证书

这里只介绍在 TaSaid.com 部署 HTTPS 中尝试的免费证书方案,部署在 IIS8
上。

  • Let’s Encrypt

  • 沃通 (wosign) (不推荐)

本来在 TaSaid.com 迁移中尝试部署过沃通 (wosign)
的签发的免费证书,但是后来发现了 Mozilla 官网( firefox/火狐
背后的开源组织 ) 里列出了 沃通的一系列可疑行为和问题,并且沃通 “秘密”
收购 StartCom(著名的免费 HTTPS 证书 StartSSL 即其旗下产品)行为可疑,
Mozilla 基金会正在考虑对沃通以及 StartCom 这两个 CA
机构一年内新签发的所有 SSL 证书进行封杀。

我在上一篇文章 《从 HTTP 到 HTTPS – 什么是 HTTPS》 中指出 CA
机构应该是是权威和可信的,但由于沃通当前的陷入的一系列丑闻,信任度降低,所以暂时不推荐使用沃通。并且沃通官网已暂时关闭免费
HTTPS 证书申请。

这一段内容发表于2016年10月5日,如果您在未来某天阅览到这个内容,请即时更新了解沃通最新的动态。

所以我们这次仅推荐 Let’s Encrypt。

通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2
用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端。Let’s
Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。

来自:Solidot奇客

Let’s Encrypt

推荐 Let’s Encrypt 理由:

  • 由 ISRG(Internet Security Research
    Group,互联网安全研究小组)提供服务,而 ISRG
    是来自于美国加利福尼亚州的一个公益组织。Let’s Encrypt 得到了
    Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome
    等众多公司和机构的支持,发展十分迅猛。

  • 极速申请 – 只要认证的网站通过验证,当时即可颁发证书

  • 免费和访问速度兼得

  • 对于域名所有权的验证,支持两种方式:放临时文件进行验证、查询 whois
    给域名所有人发邮件验证

  • 无需注册账户

  • 关键是稳定,背后的支持的组织很强大

缺点:

  • 一次只能颁发3个月有效期的证书,到期之后需要自己再续上
    (仍然是免费的),这点维护起来比较麻烦,不过我们可以使用工具自动续期。

  • 不支持通配符泛域名 (*.demo.com),所以在申请认证是时候,要把域名都
    301 跳转到证书里包含的域名上,不然浏览器会弹证书错误。

流程

默认 Let’s Encrypt 申请证书比较繁琐,所以我们在 windows 下使用工具
letsencrypt-win-simple 进行部署,简单方便快捷。

  1. 下载 letsencrypt-win-simple

  2. 在服务器中打开CMD,运行letsencrypt-win-simple

  3. 在CMD中根据简单的命令,输入要认证的网站域名和网站文件夹

  4. letsencrypt-win-simple 自动验证域名所有权

  5. 验证通过后即时颁发证书

  6. 部署

另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT
记录才能演示对域的控制以获得通配符证书。

更多有关 ACME v2 和通配符证书的技术信息,请参阅此文章。