1. 前言
很有意思的一件事,万万没想到我面试时被问了这个问题。
”你有没有发现你的博客url旁边提示网站不安全?请问你有没有思考过是为什么?“——同盾科技面试官打开了我的博客并如是说道
当时我内心颤抖了一下,不知道这个是因为https的原因还是我的域名没有备案的原因,想了想我直接回答了不太清楚…接着第二个问题就是http/https的区别,我只知道名字s代表security…
2. 解决方法
其实当初搭建博客也只是为了记录一点学习心得,主要都是在内容上,确实没有认真端详过配置,选hexo搭建也就是因为部署简单。
今天我了解了一下
网站不安全这个其实很容易解决,是因为http/https的问题,因为是github pages托管,所以只要在项目的settings下打开这个选项即可
想起来这个按钮之前有一次博客被我搞挂了,后面就重新搭建就没开了。打开再看就已经安全了
当然者是github pages托管的情况,如果是自己的网站部署到了华为云/阿里云,那么可以在对应的云平台申请SSL证书的,免费的只有一年,想要永久免费就要每年手动购买一次,然后在服务器的nginx里配置下载好的证书,具体操作可以参考这篇文章
需要注意的是,如果你的域名没有备案,只能选DNS验证申请SSL证书的,文件验证是不可以的
3. HTTP/HTTPS的区别
知其然也要知其所以然
为什么网站提示不安全?
因为现在的浏览器基本都要https才提示安全
https和http有什么区别?
HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer)是身披SSL外壳的HTTP,与HTTP明文协议对比,HTTPS具备两大网络安全功能:加密以及身份验证。
- 加密:HTTPS传输协议可对客户端与服务器之间的传输数据进行加密,防止第三方的窃取、篡改、窥视等中间人攻击(中间人攻击可以看大佬的讲解https://www.zhihu.com/question/304030251)。
- 身份验证:客户端用户可通过HTTPS背后的SSL证书对服务器进行身份验证,辨别真假网站,避免掉入钓鱼网站的陷阱。
如何才能使用https协议?
通过CA机构(数字证书颁发中心,如GDCA)申请SSL证书,然后在网站服务器上正确部署SSL证书即可,具体操作方法参考第二节
CA机构颁发的证书有3种类型:
域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站;
企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高;
增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高
其中,阿里云,腾讯云,百度云,又拍云等等 可以免费申请域名型SSL证书(DV SSL)
4. 感想
- 打算把博客配置搞一下,开启评论功能,目录跟随滚动等等,优化一下阅读体验
- 域名是不可能备案的,嘿嘿
- 这次面试一二面感觉都还不错,查漏补缺,春招加油