BuyPass 是挪威的一家 CA，提供数字证书、安全认证产品等多种服务。最近 BuyPass 上线了基于 ACME 的自动签发证书服务，类似于 Let's Encrypt，这项服务称为 BuyPass GO。与 Let's Encrypt 主要的不同点在于他们的证书每次签发有效期是 180 天，比 Let's Encrypt 的长一倍。所以如果你需要给你的服务手动换证书，BuyPass 的证书会好一些。另外 BuyPass 暂不支持签发泛域名证书（俗称野卡？），只能将需要的域名一个个列出来。（不过我觉得如果需要手动换证书，还是申请 TrustAsia 之类的一年有效期的好一点）申请证书我使用 acme.sh 这个工具来申请证书。第一步是注册用户。与 Let's Encrypt 不同，BuyPass 要求在注册时提供一个有效的邮箱：cd /root/.acme.sh./acme.sh --server https://api.buypass.com/acme/directory --register-account --accountemail [你的邮件地址]如果你的域名有 CAA 记录，限制哪些 CA 能签发证书，那就添加一条 0 issue buypass....

距离我之前给 nginx 启用 TLS 1.3 已经过了 11 个月了。快一年过后，许多与 nginx 相关的程序、补丁都有了很大的变化：OpenSSL 已经在发布 1.1.1 的测试版，写本文时最新版本是 1.1.1-pre8（也就是 Beta 6）。nginx 已经更新到 1.15.1。nginx 的 HPACK 补丁（HTTP 头压缩补丁）的 bug 已经有另外的补丁的补丁修复，使用原先的 HPACK 补丁会导致网站访问不正常，体现为每个网站只能打开一个页面，第二个页面开始就出现协议错误。有大佬发布了 OpenSSL 的补丁，可以让最新版 OpenSSL 同时支持 TLS 1.3 的 draft 23，26，28 三个版本。Lets Encrypt 证书已经自带 Certificate Transparency 信息了，不需要 nginx-ct 了。2018 年 7 月 1 日起，TLS 1.0 不再被建议使用。因此我重新调整了 nginx 的编译和运行配置，以适应 8102 年的需要。Dockerfile我依然使用 Docker 部署 nginx。与之前的 Dockerfile 相比，新的 Dockerfile 只是改了下版本号，添加了几个补丁，...

Qualys SSL Labs 是一个测试服务器 SSL 功能的网站，我们在配置服务器时经常用它作为参考。一般来说我们只参考它的评级（A+，A，B，C，D，E，F，T）等，达到 A+ 就认为服务器的配置足够优秀。不过，SSLLabs 也在评级右侧给出了分项分数，而我的主站并没有把它们全部冲到满分。如果把 SSLLabs 的各项分项分数全部达到满分，会是什么效果，有什么实际意义吗？我用一台不运行网站的 VPS 安装了 nginx 并进行了一些配置，成功刷到了全满分，如图或者这里所示：作为对比，这是本站的评分，除看图外也可在此处看到：本文有关 SSLLabs 评分标准全部来自于 SSLLabs 官方的评分标准文档 在本文写成之日的版本。准备工作我们要先安装好 nginx。因为这台 VPS 是 OpenVZ 的，没法装 Docker，所以没法像我的其它 VPS 一样一键部署。不过因为我的 VPS 和镜像都是 Debian，所以我就把之前写过的 Dockerfile 里的指令直接复制过来用了。...

来自 CloudFlare 博客的最新消息（http://blog.cloudflare.com/google-now-factoring-https-support-into-ranking-cloudflare-on-track-to-make-it-free-and-easy ），Google 可能会在算权重的时候把网站支持 SSL 作为加分项目。因此我就给我的博客启用了 SSL。申请证书SSL 在服务器端必须有证书。这个证书最好不要自己生成，否则大多数浏览器都会提示证书不受信任。StartSSL 是目前唯一一家颁发免费 SSL 证书并且受到大多数浏览器信任的证书颁发机构，可以根据 http://www.freehao123.com/startssl-ssl/ 这篇文章进行操作。不过在实际操作中，由于 StartSSL 连接速度较慢，如果按照向导生成证书，中途可能卡住，而一旦卡住就要全部重来，我们可以自己生成证书请求，然后提交。在你的 Linux 服务器（本例为 Debian 7）上输入以下命令产生一个私钥：openssl genrsa -out privkey.pem 4096输入以下命令产生证书请求（CSR 文件），其中信息可以乱填，...