HTTPS已是现代网站的标配,不仅保障数据传输安全,也是搜索引擎排名的重要因素。本文介绍SSL证书的完整部署流程和优化技巧。

一、SSL证书类型

1.1 按验证级别

  • DV(域名验证):只验证域名所有权,适合个人和小型网站
  • OV(组织验证):验证组织信息,适合企业
  • EV(扩展验证):最高级别,浏览器地址栏显示绿色,适合金融类网站

1.2 证书品牌推荐

  • Let's Encrypt:免费、自动续期
  • DigiCert:高端市场
  • GeoTrust/RapidSSL:性价比之选

二、证书申请流程(Let's Encrypt)

# 使用Certbot工具
sudo apt-get install certbot python3-certbot-nginx

# 申请证书
sudo certbot --nginx -d example.com -d www.example.com

# 自动续期测试
sudo certbot renew --dry-run

三、Nginx配置

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # HTTPS优化
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
}

# 强制HTTPS跳转
server {
    listen 80;
    server_name example.com;
    return 301 https://$server_name$request_uri;
}

四、HTTPS优化技巧

  • 启用HTTP/2
  • 启用TLS 1.3
  • 启用OCSP Stapling
  • 启用HSTS
  • 使用SSL Labs A+评级配置