前几天青小蛙都是经过别人的提醒才发觉图片服务器的证书过期了，导致网站上面的图片都…挂了，大写的尴尬。

昨天发现的 Certificate Expiry Monitor 这个服务其实已经存在了好几年，它通过程序自动化检测，最早会在域名过期前 90 天就发邮件提醒你该留意了。

这是一个免费服务，通过邮箱通知，所以你还是需要有经常检查邮箱的习惯，不然…呵呵

提交后，会收到一封确认邮件，需要点击里面的链接才能正常接收通知。

▍Certificate Expiry Monitor 的邮件通知策略

证书在过期前：

• 90 天（3 个月）
• 60 天（2 个月）
• 30 天（1 个月）
• 14 天（半个月）
• 7 天（1 周）
• 5 天
• 3 天
• 2 天
• 1 天

证书过期后并且还未更换：

• 2 天
• 7 天
• 如果网站失去连接
• 如果网站失去连接超过 7 天，监测将被删除

另外，Certificate Expiry Monitor 在 GitHub 开源，使用 php，你可以自己搭建一个。

最后，地址在这里，注意不要滥用。

自己的证书，第一个知道快过期了才是正经事。

相关阅读

• Expiry Date Checker – 与系统日历联动，过期物品提醒工具[iPhone]
• Bluetooth Battery Monitor – 在任务栏检测蓝牙设备电量[Windows]
• Distill Web Monitor – 监控网页「任意区域」变化，实时提醒
• Folder Monitor – 文件夹监控软件，12 年持续更新[Windows]
• BluetoothLE Battery Monitor – 免费开源，低功耗蓝牙设备电量显示工具[Windows]

[ 点击前往获取链接 ]

感谢 @delphij 以及 @mwenyuan 的推荐。

另外，@旦旦熊推荐了一个更直接的方式：

我都是直接用 http://www.gov.cn 的，对于国内用户更方便。

‏@XYen0n 则简明的解释了原理：

有些 WiFi 要弹出登录网页，这一般是用和劫持一样的方法实现的，HTTPS 防止了劫持，也就弹不出登录页面，就一直无法上网，开一下这个页面就能被劫持到登录页面了

最终，NeverSSL 和 gov.cn 的用处，就是当你连接一些公共 Wi-Fi 之后无任何反馈的时候，拿出浏览器访问一下这两个网站，就会立刻弹出登录界面了。

NeverSSL 网站在这里：NeverSSL.com

很有意思的处理方式。而近期关于对网络强制推广 https 有了一些不一样的声音，以及反思，比如一些固定内容类的网站（长期不需要更新、无互动的资料网站），是否真的需要 https 呢？

[ 点击前往获取链接 ]

这里所谓网络安全，只是网页是否启用 HTTPS 浏览方式，这能够有效保护你与所访问网页间的数据安全，比如在购物网站的登录页面，支付网站的所有页面等等，减少各种流氓作恶的机会。

SSLPersonas 支持四种状态，分别是：

• 绿色：EV 证书，会在地址栏显示公司名的证书
• 蓝色：只要是全站 https 网站都会是绿色
• 紫色：https 网站，但是内容里会有普通的未加密资源，比如图片什么的
• 白色：无 http 网站

另外两种状态是这样的：

对于处在 http -> https 过渡时期的我们来说，SSLPersonas 还是有一定作用的。

那么问题来了，有同学推荐其他浏览器的类似扩展么？

https://addons.mozilla.org/zh-CN/firefox/addon/sslpersonas/

相关阅读

• 如何同时运行两个配置，扩展完全不一样的 Firefox
• 30 款漂亮的 Firefox 壁纸收集
• Firefox Relay – 免费提供 5 个临时邮箱地址，用来转发邮件，扩展算半成品？
• 用 AHK 打造自己的 Firefox Portable
• Chrome 负责超越其他浏览器，Firefox 负责超越 Chrome

[ 点击前往获取链接 ]

青小蛙曾经用过好几年的 StartSSL 服务，为此还付费使用过，一年 59.9 美金，你可以随意签发证书。不过近两年证书普遍降价，再加上免费的 Let’s Encrypt 和即将到来的 HTTP/2，互联网的全面 HTTPS 化将在不久的将来实现…届时不会再有劫持，不会再有干扰…总之看起来很美。

Let’s Encrypt 是一个将于2015年末推出的数字证书认证机构，将通过旨在消除当前手动创建和安装证书的复杂过程的自动化流程，为安全网站提供免费的SSL/TLS证书。

Let’s Encrypt 是由互联网安全研究小组（ISRG，一个公益组织）提供的服务。主要赞助商包括电子前哨基金会，Mozilla基金会，Akamai以及思科。2015年4月9日，ISRG与Linux基金会宣布合作。

那么，现在使用 Let’s Encrypt 则是一个非常经济实惠又安全的选择，于是青小蛙参考 How To Secure Nginx with Let’s Encrypt on Ubuntu 14.04 这篇文章，有了这篇教程。

必备条件：

1. 有一台 VPS，推荐 HH 的 VPS 产品；
2. 有一个域名(可以在 HH 注册)；
3. 想加密自己的网站

实现结果：

用户通过 TLS/SSL 加密访问你的网站，而后台实现自动续签 Let’s Encrypt 证书。

开始

教程基于 Ubuntu 14.04 系统，不够其他 Linux 版本都是类似的，用你熟悉的系统即可。

第 1 步：安装 Let’s Encrypt 客户端

装前准备，更新系统和安装 git & bc：

apt-get update
apt-get -y install git bc

克隆 Let’s Encrypt 到  /opt/letsencrypt:

git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

第 2 步：获取证书

首先关闭 Nginx：

service nginx stop

并且检查一下 80 端口没有被占用：

netstat -na | grep ‘:80.*LISTEN’

运行 Let’s Encrypt:

cd /opt/letsencrypt
./letsencrypt-auto certonly -a webroot –webroot-path=/usr/share/nginx/html -d example.com -d www.example.com

注意：Let’s Encrypt 需要超级用户权限，如果你没有使用 sudo 命令，可能会让你输入密码。

之后会出现图形界面输入邮箱、条款、域名等信息:

支持多域名，只需要在第三张截图里用空格或者英文逗号分隔就好了。

目前 Let’s Encrypt 没有 EV 证书与 泛域名证书的计划。

IMPORTANT NOTES:

• If you lose your account credentials, you can recover through e-mails sent to domain@appinn.com
• Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-05-15. To obtain a new version of the certificate in the future, simply run Let’s Encrypt again.
• Your account credentials have been saved in your Let’s Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let’s Encrypt so making regular backups of this folder is ideal.
• If like Let’s Encrypt, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

看到这一段，就正常证书已经签发成功，位于 /etc/letsencrypt，注意备份。

如果使用国内 VPS，此处可能会由于 DNS 问题出错，可以尝试更换 VPS 的 DNS 为第三方，比如 8.8.8.8。

每一个域名都会自动生成四个文件，位于 /etc/letsencrypt/archive/domain 目录下：

cert.pem: 域名证书
chain.pem: The Let’s Encrypt 证书
fullchain.pem: 上面两者合体
privkey.pem: 证书密钥

第 3 步：配置 Nginx

有了域名证书，就开始配置 Nginx 了，这部分比较略。

打开对应网站的配置文件，一般在 /etc/nginx/sites-available/default 或者 /usr/local/nginx/conf/ 中，试你自己的情况。

server {

listen 443 ssl;
server_name appinn.com;
…

ssl on;
ssl_certificate /etc/letsencrypt/live/appinn.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/appinn.com/privkey.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ‘EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH’;

…

}

注意修改红色的部分为你的域名

如果你想开启全站 https，需要将 http 转向到 https，再添加一个 server 就好了：

server {
listen 80;
server_name appinn.com;
return 301 https://$host$request_uri;
}

注意以上配置文件需要根据实际情况修改。

保存，重启 Nginx

service nginx restart

此时，打开你的域名比如 https:// 就能看到绿色的地址栏了。

第 4 步：自动续签证书

Let’s Encrypt 证书只有 90 天的有效期，这和之前按年使用的商业证书有些区别，所以我们还需要设置自动续签，好让证书一直有效。

安装 Webroot 插件

这是一个可以不用停止 Web 服务就能让 Let’s Encrypt 验证域名的插件，再次打开 Nginx 配置文件，在 ssl 下面添加：

location ~ /.well-known {
allow all;
}

保存。

使用命令行续签证书

/opt/letsencrypt/letsencrypt-auto renew

创建定时任务：

crontab -e

添加下面一行，让每周一早上 2 点 30 分运行一次，并记录到日志文件中。

30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renewal.log

结束

至此，在 Nginx 上使用 Let’s Encrypt 的配置与续签全部完成，今后就完全不需要打理这一部分了，HTTPS 将默默工作。目前善用佳软 已经在使用 Let’s Encrypt，可以围观一下：https://xbeta.info

小众软件还有一枚有效期内的泛域名证书，目前还没有使用 Let’s Encrypt，是的，你可以用 https://inloveinparis.com 来访问小众软件，不过由于历史以及 CDN 遗留问题，还没有全站切换过去，等待 HTTP/2 吧。

不过发现频道(https://faxian.appinn.com)已经 HTTPS 了哦。有疑问欢迎留言反馈。

相关阅读

• 免费内网穿透工具；树莓派利用网云穿内网穿透实现建站与维护，无需服务器
• HyperApp 2.0 可以利用 Docker 部署「更多更多」的应用了
• Caddy – 最简单的支持 HTTP/2 的网页服务器[Win/Mac/Linux]
• OpenCat 团队版：为团队成员提供 OpenAI API 服务
• Lima – macOS 上的 Linux 虚拟机、Docker 容器，像 WSL2 一样

[ 点击前往获取链接 ]