在Chrome 69版後
正式將非HTTPS的網頁存取標示成不安全的連線
如果自己的架設網站資源有對外服務的需求 肯定得特別留意這項措施
畢竟透過 Synology Drive分享的檔案連結 突然就變成下面這個畫面- 你的連線不是私人連線
儘管自己知道是HTTP連線的問題
但看到聳動的警告- 攻擊者可能會嘗試透過這個網站存取您的資訊
相信肯定會讓你的 朋友/客戶 不敢往下點擊繼續”前往這個網站”
如果今天你架設的是公司對外營運門面的網站 相信這件事情會變得更大條
很快你就會接到主管的關切 為什麼客戶反映網站好像被人攻擊了
首先釐清上述問題的原因:
主要是因為後期HTTPS成為主流
Chrome針對非HTTPS連線都會跳出警告訊息
讓用戶知道這個連線存在危險,避免進一步於網站上揭露敏感資訊,以免讓有心人士有機可趁
解決策略其實也不難
用戶只要確保擁有該網域,便可取得SSL認證
接下來只要將相關服務的連線設定從HTTP轉到HTTPS即可
首先SSL的授權認證分好多種類
以台灣電信商的價格落在一年要近一萬元左右
如果只是個人的架站需求 這筆成本顯得太過沉重
如果是企業需求,其實可以透過國外的大型認證機構購買,價位也遠遠低於國內電信商
但便宜的代價就是相關申請細節必須自己動手
價格之所以昂貴 有很大的原因便是服務費
Synology 對於用戶而言 相關資源整合性相當高
用戶只要在控制台上核選一些選項 就能完成相關自動配置
群暉提供相當詳盡的安裝步驟
網路上也有很多部落客提供手把手的教學- 梅問題教學網
不過特別把它紀錄下來的原因是如果不啟用強制HTTPS的話
用戶如果不小心輸入http的連線請求的話 警告視窗還是會在瀏覽過程給跳出來
有沒有一個辦法可以強迫用戶一定得用HTTPS的連線來存取資源呢?
-
- 強迫HTTP連線自動導入HTTPS
- 強迫HTTP連線自動導入HTTPS
如果這樣設定完成後 確實DSM的路口變成了HTTPS
但困擾的問題又來- 我自己寫的網頁還是沒能自動導到的HTTPS的連線啊
- 經過在網站上不斷的摸索 關鍵就在於需要在 Web Station特別設定虛擬主機
沒錯 關鍵就在那兩個勾勾
- HTTP強制安全傳輸技術(英語:HTTP Strict Transport Security,縮寫:HSTS)是一套由網際網路工程任務組發布的網際網路安全策略機制。網站可以選擇使用HSTS策略,來讓瀏覽器強制使用HTTPS與網站進行通訊,以減少連線劫持風險。[Wiki]
- HTTP/2(超文字傳輸協定第2版,最初命名為HTTP 2.0),簡稱為h2(基於TLS/1.2或以上版本的加密連接)或h2c(非加密連接)[1],是HTTP協定的的第二個主要版本,使用於全球資訊網。[Wiki]
記得設定完成後,必須要重啟Web Station Service,就可以正式拿到綠色鎖頭嘍!