本站 SSL 生效通知及說明

PSOT-2501_SSL_NG_1

不好意思讓大家久等了 ! 根據上一篇的公告,本站的所有搬遷及SSL生效等相關設定應該在7月1日午夜00:00完成,最晚不拖過7月2日星期六,可是這一篇文章卻遲到了三天(現在時間為7月4號),今天星期一才出現,非常抱歉讓大家等那麼久 ! 經過了一連串的Debug,不斷的修正錯誤,爬了不少文章並不斷的測試網站伺服器相關的元件,今天總算把所有的搬家作業全數到一段落了 ! 那我們直接進入公告吧 !

主機搬遷規格說明

 

主機簡介

本次採用的主機是 DigitalOcean 的VPS,各位應該已經從 上一篇文章 中看到詳細的簡介了 ! 我這次也是第一次使用VPS系統,但在此需要訂正一下,簡報裏頭有提到Google Cloud Platform,但這跟AWS一樣是基於雲端資料中心的架構,雖然跟VPS一樣是提供類似Linux主機的操作介面,雖然一樣可以用類似DOS的shell指令安裝或設定各種套件,但規格及費用計算方式還是不太一樣,在此告知大家 !

目前使用DigitalOcean,主機是VPS、新加坡主機,比起之前的虛擬主機均設在美國,快了一些(畢竟還在亞洲),這家VPS在亞洲提供的機房有新加坡跟印度(這兩個月剛開幕),而我選擇新加坡,另外因為本站是非常小規模的網站,也因此容量/流量不用太大,因此本站選擇了5元美金/月的方案,採儲值制度。

軟體規格

PSOT-2501_Shell

開發環境簡介

  • 伺服器作業系統:Ubuntu Server 16.04 LTS *(參見註解)
  • 網頁伺服器:Apache HTTP Server
  • PHP 版本:7
  • 開發機作業系統:Ubuntu 16.04 LTS *(參見註解)

作業系統註解說明:Ubunut 16.04 LTS為 2016年4月剛推出,LTS 為長期支援板,支援期限為五年,較其他版本更長期,而Disktop桌面版本比Server伺服器版本多了圖形化操作介面

 

SSL網址變更相關公告

 

感謝讀者們長期的支持,以下是變更後的細部項目,會詳細說明哪一些內容改變,但如果大家不願意看那麼多,可把頁面移動到最後一章的”懶人包”章節,謝謝大家 !

 

網域變更說明

網域及通訊協議變更清單

  • 原本的網域:http://www.toppy368.tw (目前已修改完成)
  • 更新後的網域:https://www.toppy368.tw
    變更說明:通訊協議由http改成https,主網域不改變,但資料傳輸的過程(封包、留言表單傳輸流程)加密 !

 

根據本站長久以來的政策,無論是從BPS痞客邦搬來獨力架站的這裡,還是網域變更之前的文章,基本上都有設定網址強制轉換機制,因此請大家放心 ! 本站只改了通訊協議而已,網域沒有更動,舊讀者一樣能採用http連接到本站,但會強制改成https,如果大家是透過我的最愛、書籤連接到這個網站的讀者,建議大家把本站的新網域重新儲存到這個書籤當中 !

啟用SSL之後,目前影響最大的可能是使用 Windws XP 且同時使用 IE 6 、IE 8 的使用者,或於 Windws XP 上使用 Chrome 的使用者,相信大家應該都知道微軟已經停止支援Windows XP 了,IE版本最高停留在8,而Chrome在XP也停止更新,以 Google Analytics 統計 2016/01/01 到今天2016/7/3 這段期間,總訪客量為 23,920 ,從這些資料看不出同時採用XP及舊版瀏覽器的使用者有哪一些,假設所有使用Windows XP 的訪客都受影響,統計人數總共 903 人(約7%)、Vista人數為74人(約0.64%),如果您是採用這些作業系統並採用停止支援的瀏覽器,表示開發者不會繼續開發這款瀏覽器,也因此舊的漏洞也不會補齊,也不只有漏洞,某些舊版SSL憑證演算法也會因為更新而停用

如果讀者們不願意採用新的作業系統(其實如果機器沒故障,我是不建議升級OS,買新機器倒是不建議灌舊OS,各有軟硬體支援問題),主流瀏覽器又停止支援的情況下,我建議大家優先使用Firefox,至少 XP 的最後一版 Windows XP Service Pack 3 可以持續使用最新的 Firefox,這個方案 (Solution) 應該能解決舊版OS使用者的問題吧

本站的SSL目前可以於Windows 10的Edge、IE 11、Chrome及Firefox運作,Adnroid 上的 Chrome、Firefox、HTC 內建的網際網路瀏覽器也沒問題 ! 歡迎其他讀者來測試各種瀏覽器的相容程度 !

 

RSS 網址變更說明

RSS網址變更清單

  • 原本的服務:http://feeds.feedburner.com/toppy368 (已停用)
  • 更新後的服務:https://www.toppy368.tw/feed
    變更說明:總計影響13,請以變更後的新feed網址重新訂閱

 

因應網站變更為SSL,加上Feedburner已於2013年3月13日發布停止更新的訊息,因此我在本次的ssl更新也打算停用Feedburner的服務,目前總計影響13名訂閱用戶,請大家在看到文章後,重新以更新後的 RSS連結 進行訂閱,謝謝 ! 附註,本RSS網域一樣是支援SSL的,跟上面的更新是一起的。

下一章的公告是本站的自訂元件及不支援SSL元件的處理方法

 

SSL 受影響元件及處理方式

 

SSL通過認證的理想狀態

PSOT-2501_SSL_Testpage_OK

PSOT-2501_SSL_OK

 

目前狀態-因混合內容未通過認證

PSOT-2501_SSL_NG_1

為了測試SSL是否正常運作,我在尚未安裝Wordpress的情況下,上傳了一個空白的網頁,裏頭只有純文字,沒有任何圖片及外部Javascript元件,而SSL的標準比較嚴格,頁面上的”所有元件”,包含圖片、媒體、影片、Javascript 元件,外部貼過來的檔案也必須以https協定,SSL 的頁面認證才會通過,否則瀏覽器就會出現混合內容的訊息,如果SSL簽證是假的,比方說自己簽的憑證、或是不信任的CA單位核發的簽證,瀏覽器甚至會擋下有問題的網站(台灣某些政府網站未通過認證也是CA單位的問題)

本站因為首頁有一些元件(主要是自由欄位)採用http沒加密的內容,因此未通過認證

 

SSL受影響元件清單

PSOT-2501_SSL_NG_List

這是首頁的受影響清單,按下F12主控台這裡可以知道那些元件是不受信任的,目前首頁的Javascript元件因為是引入外部元件,加上都是早期的原件,沒有採用https的情況因此被判定不合格,共計7個元件,錯誤次數12次,其中也包還早期Flickr圖床的圖片,原則上只要這些連結被一一修正為https就能解除這些警報,但這是個大工程,而且FC2的元件似乎沒有打算更動為SSL協議的跡象,而Jetpack在PHP7的運作有嚴重錯誤,也因此我佈景外觀的自由欄位設定頁面也動彈不得,以下是我暫時的處理方式

受影響清單處理方式

  • 首頁共計7個未加密的自由欄位元件:因Jetpack在PHP7的運作有嚴重錯誤,造成模板(佈景主題)的自由欄位設定頁面無法進入,等Jetpack版本更新且修正這些問題後,能儲存在本站的資源例如圖檔,會另存在媒體庫,但外部的JS元件更新或刪除
  • 早期Flickr圖床未加密連結:我會把這些圖片抓回電腦裏頭,並改採本站媒體庫的方式管理圖片,但為了避免容量不足,圖片會經過壓縮成800*600,等比例縮小後重新上傳並一一更新文章及圖片連結
  • Blog內部連接自己的超連結,但尚未修改成https的部分:文章的超連結已經被我以資料庫修正的手段,批次的將我的網址由http://改成https://,但自動化的取代難免有漏網之魚,比方說頁面網址等,這部分我會盡量一篇一篇的改,不能改的連結則以自動轉址機制引導到https
  • Blog文章中引入外部網頁及外部部落格,但未採用http的網站:雖然根據SSL的要求,會盡量希望引用的網址是https,但引用外部部落客的文章或外部網頁時,我會盡量使用原始連結,也因此如果引用的外部文章/網站來源本來就沒有https,我就不會修正它,因此不好意思,這部分就不會更動 !

 

 

SSL啟用及服務更新懶人包

 

如果各位讀者不想看上面那麼長的更新項目說明及各種考量標準,可以直接看這一章,這一章是本公告的結論:

 

網址更新步驟懶人包

從今年一月一日至今天截止,本次變更初估影響了採用舊OS及舊瀏覽器的訪客共計將近一千人次、還有訂閱本站的13名訂閱用戶,還有共計7個外部Javascript元件等

以上變更幾乎每位讀者都會影響到,原則上我不希望採用影響所有讀者的全站加密變更,早期的SSL只用於電子商務需要線上刷卡、線上轉帳的網站,但近幾年越來 越重視加密傳輸協議,本站當初打算添加SSL的想法是只打算登入頁面及後台強制 SSL,前台文章區及各頁面不會變更,但考量到本站具有留言功能,傳輸的過程未加密有一些風險,加上網站開發界為了推廣加密,產生了不少降低替換協議陣痛 期的解決方案,本站以CloudFlare的Page Rules及SSL通訊設定替代掉從WWW伺服器設定301自動轉址的方式,訪客用原本的超連結一樣能找到這個網站及文章,而SSL憑證也因為Let’s Encrypt這個服務的出現,大幅降低購買SSL價格門檻了,也因此就隨者主機搬遷的過程,把網站架構砍掉重練的過程中,順便把相關的服務砍掉重練,痛一次就好 !

更新後的服務清單

 

建議大家把手上的連結砍掉重練,重新將更新後的網址加入書籤、RSS 重新訂閱,首頁上方選單的社群服務頁面選單中的的RSS訂閱本站也已採用新的連結,歡迎大家使用並快速的訂閱新連結 !

本站也考慮實施新的方式讓大家有更方便的訂閱方式,若採用E-mail訂閱服務更方便一些,但私人架設的E-mail常常會被視為Spam垃圾郵件,加上架設這個服務本身就有難度,因此放棄 ! 本站目前正在考慮其他更方便的訂閱方式,比方說推播通知,這是W3C支援的標準,Google的某些服務也實做了此功能,Windows 10支援此技術,使用上會跟手機的推播類似,Blog通常不會一天發好幾篇文章出去,因此不會有吵到大家的疑慮(望向Line的推播,大量訊息下來就很吵),如果之後有更新訂閱方式會再一次的通知大家

內部超連結,比方說本站頁面、新文章引用自己早期的文章等,大部分已經批次更新,少部分未修改到的漏網之魚將手動修正,而自由欄位因為Jetpack在PHP7的運作有嚴重錯誤,目前暫時無法修改,日後改天會更新或刪除,而文章的圖檔也會逐漸由Flickr搬移到媒體庫,圖床改由本站的伺服器自主管理,文章會一一修正圖檔連結。

 

結語

最後,要為六月到現在這一段時間的過程作結語,原定網站重啟日期為7/1日,但遲到到7/3日重啟結束,今天才發公告函,再加上因應網域的通訊協議改用SSL/https,造成網址的更換及訂閱系統的變更,雖然做法上已經盡量降低了大家的不方便,但如果還是影響到大家,真的非常抱歉 ! 改造工程會持續進行,不過即日起,網站已經恢復正常運轉了 !

這一路以來,新環境的設定及資料搬遷的過程,耗了一整個月,也爬了不少資源才完成,因此要感謝各位讀者們、及Plurk、Google +、Facebook WordPress 社群等朋友們、Digitalocean Community的教學文、Google上某些部落客的教學文等,無計其數的指導教學,及協助測試等,非常感謝大家 ! 本公告到此結束 !

toppy368 2016.7.4 20:00

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料