SSL 憑證到期小心得

我的免費SSL 憑證又到期了. 原本有個 SSL for free, 可以無限續杯. 但現在 SSL for free 已經併入 Zero SSL. 只能夠續杯 3 次, 每次 90 天. 而我的 3 次已經用完, 所以開始物色便宜憑證. 對我來說花點小錢比花時間還划算.

以下是我看過的網站:

發行單位 單價 平均每年價格
Zero SSL $8/Month 96 USD
Let’s encrypt 免費, 收捐款  
Namecheap $29.95/5 Year 5.99 USD
TWCA 2400 NTD/Year ~= 85 USD
中華電信 8000 TND/Year ~= 280 USD

然後, 很直覺地就會想在 Namecheap 買不是嗎?  結果刷卡之後, 就接到信用卡公司來電, 說這筆交易要繼續嗎? 這個網站經常回報盜刷, 要換卡嗎? 嗯…結果憑證沒買成, 還賠了一張信用卡. 前幾天新的信用卡來了, 我還沒背熟卡號故還沒用過, 讓自己綁手綁腳地, 真是自作虐.

我問銀行說這個網站部安全嗎? 銀行說不是. 但很多人回報後來被盜刷. 認真回想起來, 它在刷卡的時候不像 PCHOME 會顯示把資料加密. 所以這算是個弱點吧! 再說到它特別便宜是不是本來就有詐呢? 其實我選購的是最低級的憑證, 連公司名稱都看不到的等級 (positive SSL), 看得到公司名稱的是 Essential SSL, 最高級的是 premium SSL, 適用於電子商務 [3].

買便宜貨失敗後, 我只好動腦了. 真正免費的 certificate 憑證要怎麼拿到呢? 看起來在 certbot 的網站可以取得真正免費的資源 (https://certbot.eff.org/).

以我的網站為例, 在介面上選擇 apache over Windows 會跑到這裡:  https://certbot.eff.org/lets-encrypt/windows-apache, 只要按照網站的說明一步一步執行, 最後就會在 c:\certbot 目錄下看到 README 和這幾個檔案. 步驟要認真看, 其中 c:\certbot 要手動建立. SSH 並非必要, 當我就坐在主機前面的時候.

README 內容如下:

This directory contains your keys and certificates.

`privkey.pem` : the private key for your certificate.
`fullchain.pem`: the certificate file used in most server software.
`chain.pem` : used for OCSP stapling in Nginx >=1.3.7.
`cert.pem` : will break many server configurations, and should not be used
without reading further documentation (see link below).

WARNING: DO NOT MOVE OR RENAME THESE FILES!
Certbot expects these files to remain in this location in order
to function properly!

這四個檔案, 據我價值一張信用卡的理解, 對應到 WordPress 的名詞如下 [1][2].

# Server Certificate (ssl.crt/server.crt)SSLCertificateFile "cert.pem"# Server Private Key (ssl.key/server.key)
SSLCertificateKeyFile "privkey.pem"
# Certificate Authority (CA) (ssl.crt/ca-bundle.crt)SSLCertificateChainFile "fullchain.pem" or "chain.pem"

其中 [1] 沒有寫到 chain.pem, [1] 和 [2] 都沒有寫到 fullchain.pem. 根據 REAME, 用 fullchain.pem 可以適用於大部分 server, chain.pm 適用於 Ngnix (唸做 Engine X). 所以我用了fullchain.pem.

把 c:\certbot 的檔案 copy 到 Apache/conf 下, 修改  httpd-ssl.conf, 關掉 Apache server, 後再重開. 憑證就生效了. 但是看來每次 renew, certbot 只會放在 c:\certbot, 還要手動 copy 過去. 如果用 Windows 捷徑可不可以省去 copy 呢? 我晚點再研究. 因為今天很晚了~~~

2021/6/12: 驗證結果: 捷徑不行. conf 只能讀到實體檔案.

[REF]

  1. https://lightsail.aws.amazon.com/ls/docs/zh_tw/articles/amazon-lightsail-using-lets-encrypt-certificates-with-wordpress
  2. https://gist.github.com/harryfinn/e36e41cdbfba5a6e1d69d6498a4fc5ee
  3. https://comodosslstore.com/resources/what-is-a-premium-ssl-certificate/

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

Gravatar
WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

取消

連結到 %s

%d 位部落客按了讚: