之前写过一篇博客介绍如何使用StartSSL在Ubuntu上开启SSL,但是在最开始的时候,当我访问自己的博客时,
在某些页面上,Chrome的地址栏并没有显示可爱的绿色小锁,取而代之的是一个灰色的小锁加上一个黄色的小三角形,点击小三角会看到下面的一段话:
Your connection to “your website” is encrypted with 128-bit encryption. However, this page includes other resources which are not secure. These resources can be viewed by others while in transit, and can be modified by an attacker to change the look of the page.
点进去,看到google的官方解释之后,首先可以确定的是,这不是我们服务器上配置的SSL出错了,只是Chrome提醒我们:在这个页面上存在一些不够安全的因素,比如还存在一些http的图片链接或者CSS文件链接,这些不安全的因素很有可能就会成为网站被攻击的突破口。因为从安全的角度来看,如果你的站点不是为了安全而上的SSL,显得SSL就没有什么必要了,不是为了SSL而SSL;就算你的站点做到了99%的安全,那剩下的1%可能就是你致命的弱点。
安全不是简简单单地在你家门口贴上
不许入内
的告示
Chrome是处于全面的系统安全考虑,所以才会出现上图所看到的提示,解决的办法可以考虑下面几点:
- 确保站点的外链脚本或文件都是使用https而不是http,这包括一些js脚本链接或者是css的背景图片等。
- 确保页面上的图片来源都是https连接,如果你在站点上使用了第三方CDN,确保CDN开启https传输
- 使用Chrome的开发者工具仔细检查你的站点内容是否全部来源于https,因为有时候你可能在PHP文件里包含了http连接。
- 如果你使用Wordpress来搭建博客,可以使用Widget-logic来设置相应的规则,确保站点的https的全站性。
做好上面几点,基本上就可以看到那可爱的绿色小锁了。
Happy Hacking
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。