cloudflare 默认证书导致 Let’s Encrypt 证书失效及网站打不开的解决办法

有一个做外贸的朋友发来求助,用 lnmp1.4 安装了 php 环境后,添加了自带的Let’s Encrypt 证书,结果打开域名却看到了 COMODO ECC Domain Validation Secure Server CA 2 这个证书,而且还是一会跳转 https,一会不跳转的,给他搞的很郁闷。

一开始魏艾斯博客也是一头雾水,重新安装了一遍 lnmp1.4,并按照官方教程添加了虚拟主机和 SSL,最后得到的结果还是老样子。后来无意中问了一句:你用的什么 ns 服务,回答说cloudflare,于是老魏就上去看了一下,找到了 overview 栏目中的 SSL 显示为 Flexible,然后去网上搜索了一下得知 cloudflare 近年来默认开启了免费 SSL 证书,只要用他的 NS 服务就给你加上了。原来问题出在这里,NS 服务这里加上了别的 SSL 证书,VPS 服务器那里的证书自然就不显示了。这会导致域名显示的是 cloudflare 默认证书,而不显示 Let’s Encrypt 证书。

关于网站打不开,就涉及到 cloudflare 的 SSL 总共四种模式:off、Flexible SSL、Full SSL、Full SSL (strict)、Strict (SSL-Only Origin Pull)。含义解释如下:

off:关闭 SSL 证书 Flexible SSL:网站访问者和 Cloudflare 之间有加密连接,但是从 Cloudflare 到服务器没有加密。即半程加密。优点在于:网站不需要 SSL 证书,用户也能实现 SSL 加密访问。 Full SSL:全程加密,即从网站到 CDN 服务器再到用户,全程都是 SSL 加密的。优点在于:只要服务器有 SSL 证书(不管是自签名证书还是购买的 SSL),就可以实现 SSL 加密访问。 Full SSL (strict):全程加密,它与 Full SSL 的区别在于服务器必须是安装了那些已经受信任的 SSL 证书(即购买的 SSL 证书),否则无法开启 SSL 加密访问。

解决办法是在 cloudflare 的 CRYPTO 里面,SSL 状态选择 full,后续 VPS 端正常配置网站。cloudflare 提供的免费证书还提供免费 6 个月的有效期,先这么用着,等到期了看情况再说。另外 cloudflare 最近对国内联通线路经常打不开,站长使用前应该考虑这一点。

如果你不想用 cloudflare 的免费证书,那么就只好不用 cloudflare 的 NS 服务,从你的域名注册商那里直接解析 A 记录到 VPS 服务器,然后安装 Let’s Encrypt 证书就可以。

解释三个问题:

1、为什么这位做外贸的朋友一定要使用 cloudflare 做 NS 服务器。外贸网站面向全球访客,使用 cloudflare 这种 CDN 加速网站可以提高各地的网站打开速度,就好像在国内我们做站都使用各种 CDN 加速网站提速一样的道理。

2、为什么外贸网站要使用 https 这种 SSL 加密访问方式。外贸网站面对的搜索引擎是谷歌。Google 一直推动网站从 HTTP 切换到 HTTPS。2014 年 8 月,Google 将 HTTPS 正式作为排名因素之一。HTTPS 网站被认为是安全的网站,将会比 HTTP 的网站在排名上获得小幅优势。而在过去的几年中,谷歌对于 HTTPS 网站的网页抓取收录也在明显上升。从 2017 年起,未经 https 加密的网页会遭到 Chrome 的安全警告,谷歌 Chrome 浏览器会把采用 HTTP 协议的网站标记为“不安全”网站。由此得到的结论:HTTPS 是大势所趋,不管是 B2C 还是 B2B 网站、企业网站,启用 HTTPS 益处多多。

3、为什么魏艾斯博客不使用 https。魏艾斯博客放在国内,面对国内访客,主要搜索引擎是百度。站长们都知道百度站长工具,虽然百度宣称自己完全支持 https,但是从百度站长工具后台可以看到,全站 https 的网站还要手动向百度提交一次,才能获得对应的抓取,并不承诺会百分百收录及放出来。由此可见百度在 https 这方面的支持“还有很大提升空间”。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏农夫安全

HTTPS和SSL/TLS协议

前言 要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识。 1. 大致了解几个基本术语(HTTPS、SSL、TLS)的含义 2. 大致了解 HTTP...

46480
来自专栏java思维导图

为何你会被强插广告/盗号?谈HTTPS连接的那些事

作者:PConline原创 链接:http://pcedu.pconline.com.cn/980/9804194.html 相信很多朋友...

32260
来自专栏IT大咖说

解密亚洲诚信如何做到HTTPS的最佳安全实践

摘要 随着亚洲诚信2016年推出加密无处不在以来,HTTPS的使用成本和技术门槛逐步降低,HTTPS正被越来越多的网站和企业使用。但是我们发现,进行正确的HTT...

48090
来自专栏即时通讯技术

一文读懂Https的安全性原理、数字证书、单项认证、双项认证等

本文引用了作者Smily(博客:blog.csdn.net/qq_20521573)的文章内容,感谢无私分享。

53020
来自专栏MelonTeam专栏

IOS签名机制详解

背景 在开发手Q需要真机调试的时候经常有同事抱怨签名报错的问题,一方面是手Q工程非常庞大、有很多Target每个都需要签名,另一方面IOS签名本身就非常繁琐复杂...

40680
来自专栏FreeBuf

首个Linux勒索软件马失前蹄:加密存在漏洞可被人攻破

在Windows里很早就有了ransomware(赎金勒索软件),直到Linux中的Linux.Encoder.1,也就是第一个linux勒索软件的出现。这款软...

38480

网络攻击解疑:密码学上的攻击

有不少密码学里的方案被用来加密在有线或者无线的通信协议上的传输数据。然而这些技术已被证实容易受到攻击,且加密的数据可能会被窃取。本文探讨了各种能保护网络基础设施...

48330
来自专栏企鹅号快讯

什么是多域名通配符SSL证书?

多域名通配符SSL – 安全多域名和子域名 多域名通配符SSL证书是结合通配符SSL和多域名SSL两者的组合特征而成。在多域名通配符SSL证书下,用户可以保护多...

61980
来自专栏安全领域

在微控制器和物联网上使用JavaScript:SSL / TLS

在今天的这篇文章中,我们回到Particle Photon上来解决他的一个最大的缺点:缺少TLS支持,接下来我们将详细介绍如何添加这一功能。

879140
来自专栏FreeBuf

OpenSSL最新高危漏洞(CVE-2015-1793)补丁发布

微信号:freebuf 研究人员Adam Langley/David Benjamin (Google/BoringSSL)近日发现了一枚新的OpenSSL严重...

23580

扫码关注云+社区

领取腾讯云代金券