分类
信息技术

如何优惠购买HTTPS SSL证书?

http-vs-https.jpg

相信不少人知道百度的广告和统计JS代码DDoS国外GitHub的事情(沉痛同情那些托管到GitHub Pages上的国内Jekyll静态博客们)。

即使不论Google对HTTPS SSL网站是否厚爱有加,我觉得现在个人博客网站强制采用HTTPS SSL应该成为标准配置,就像到邮局寄信,你不希望你的信件在邮路中是公开的,互联网早期因为应用有限没有想到流量加密,现在网站加密必须成为标配。

采用HTTPS后,能保证网站内容在浏览者和服务器之间加密,且不会被任何人动手脚,防止访问者访问网站时被无良ISP注入广告,也能避免遭受攻击GitHub式的链路劫持

采用HTTPS对主机服务器并不会带来多余的压力,至少我使用HTTPS三年来,没有见过服务器产生过问题,比我流量小的网站就更不用担心了。

使用HTTPS也不贵。一份SSL证书一般也就一年10美元不到的价格。我从QuickHostUK买到的3年SSL证书比较便宜,5英镑一年。这份SSL证书是COMODO颁发的Positive SSL证书,价格很便宜,但使用过程中没有任何问题。

我后来发现,从其它地方购买SSL证书更优惠,同样这份COMODO的Positive SSL证书,从namecheap.com买是9美元一年,而从ssls.com购买,三年只要15美元,比QuickHostUK的代理价格还要便宜,而ssls.com本身就是namecheap.com旗下成员。当然,还有更便宜的,GogetSSL还有三年10.95美元的Comodo SSL证书

看来购买SSL证书还是要从名气小一些但靠谱的小公司买,代理价格更有优惠,反正到手后的证书和大公司得来的一样。

免费的SSL证书也有(StartSSL和CloudFlare的SSL证书),但我个人觉得最好不要用免费或者个人代理的SSL证书,StartSSL曾经被GFW问候过,前一阵国内某个人代理便宜通配SSL证书到现在被吊销了。

再说,国外的SSL证书也不贵。

分类
信息技术

更新网站HTTPS SSL证书

http-vs-https.jpg

当初是为了获得主机商ICDSoft的独立IP,土木坛子配置了免费SSL证书(ICDSoft不单独销售独立IP)。后来觉得网站HTTPS加密是未来趋势,就升级到付费SSL证书,并强制性HTTPS加密网站,更好地保护浏览者的隐私。

当初的付费SSL证书购买于Godaddy,两年价钱约10多美元。前几天收到Godaddy发来的邮件,提醒我的SSL证书还有两个月到期,并说给我一个忠诚客户价格,139美元两年,这个价格只能让我背判Godaddy。

其实我早已将自己的和代理别人的域名从Godaddy迁到Namecheap,最后再迁到了提供免费WHOIS隐私保护和价格稳定的Namesilo,至于SSL证书,我早就不想用Godaddy了。

我看上了赖博士的主机商QuickHostUK代理的SSL证书,五年价格只需15英镑左右。不过,当我购买了五年有效期的SSL证书后,发现居然无法生成加密私钥。

一番沟通后,说是从2015年3月份开始,每份SSL证书的有效期最多只能39个月,他们网站由于来不及升级更新(现在已经更新过了),导致5年SSL证书还在销售。客服只好给我退款,我再购买了3年的SSL证书,价格依然是15英镑左右。

我为什么想购买SSL长期证书?一是不想每年都麻烦地安装更新证书,二是ICDSoft是每次安装更新证书需要收10美元服务费用。

早知道这样,我就在3月份之前提前放弃Godaddy的SSL证书,使用上那个5年有效期的SSL证书了,不但省事,还能省上20英镑左右。计划赶不上变化。

广告:有朋友咨询我ICDSoft优惠价格,作为ICDSoft长期铁杆客户,我有较大的优惠折扣,对ICDSoft主机很感兴趣的朋友,可以到土木坛子的店去购买。

分类
信息技术

百度HTTPS加密搜索有什么用?

http-vs-https.jpg

前段时间,我曾提到百度支持移动端HTTPS SSL加密搜索,用以保护用户隐私。最近,百度开始支持PC端HTTPS SSL加密搜索,现在可以启用 https://www.baidu.com 搜索。我很少对百度有好感,但仍要实事求是地说:这是百度值得夸赞的一个举动。

不过,有墙外媒体说百度启用加密搜索“意义不大”,某活动人士甚至说:

“百度采用SSL搜索加密其实没有意义,几乎没有人有这样的需求,百度上也没有什么特别的信息——‘不良’或‘违法’的信息——可以搜索。”

这样的说法明显片面甚至带着有色眼镜。百度支持HTTPS与搜索“违法”信息是两码事,支持HTTPS是保护用户隐私,而不是提供未经审查的搜索。试想百度是天朝的正规公司,怎么可能违背“法律”推出像Google那样未经审查的内容呢?

那百度的HTTPS版本对普通搜索用户的隐私保护在哪里?先看几个例子。

  1. 有网友告诉我:之前公司一名女经理同事,就发现她经常百度搜索:“做爱射到里面会不会怀孕安全期怎么算”之类的信息。
  2. 用户在百度搜索一个关键词“人流”,很快就会有医院打电话过来推销人流手术广告。
  3. 几个月前我在移动端使用百度搜索过疾病症状,当天就有医院打电话过来拉单。然后在网上百度搜索了几次EMS,就有邮包诈骗电话打过来。

以上几个网友举出的真实例子,足以说明百度用户的网络隐私被侵犯了。在不使用HTTPS安全链接版本百度情况下,用户的网络隐私有可能在用户和百度服务器之间的网络中途被人截取(公司网管、ISP网络宽带提供商、黑客等),也有可能是百度公司出卖了用户的隐私。

如果不是百度出卖用户泄漏隐私,那么百度用户使用加密版搜索 https://www.baidu.com,就可以几乎100%避免以上几个隐私泄露的例子。

为什么这样说?在HTTPS通信协议下,用户和百度服务器之间的通信内容都进行了加密。打个比方,16岁的小明和15岁的小花早恋写情书,过去每封信都被父母偷偷查看,现在小明和小花采用暗语(HTTPS)加密通信,父母虽然知道两人之间有信件来往,却看不懂内容是什么,如此一来通信隐私就被保护了。

因此,上面提到的那位女经理现在如果用安全链接 https://www.baidu.com 搜索,公司的网络管理员就再也看不到她搜索的所有内容。搜索隐私信息本身没有问题,有问题的是偷看隐私的人,可是这样的事情很难靠道德和宽泛的法律来避免,强大的技术是一道有力保障。HTTPS保障不只是用户隐私,更是通信安全。

在网络安全和个人隐私越来越受到重视的今天,HTTPS SSL将会越来越流行,Google早就全面采用HTTPS加密搜索保护用户隐私,跟随者百度采用HTTPS应当值得肯定。百度作为墙内较大的互联网公司,有必要有责任保护其用户的网络隐私和安全。我估计百度在不久的将来可能完全支持索引收录HTTPS网站(2015年5月25日更新:百度发布公告称,从今天开始,百度放开对https站点的收录,https站点不需要再做任何额外的工作就可以被百度顺利抓收),Google早就支持了,这是趋势。

土木坛子早已全面采用HTTPS加密访问,除了你没有谁知道你浏览了本篇博文。