2014年,我们决定改用(现在)常用的HTTPS协议来加密通过我们网站发送的敏感数据。这篇文章描述了一些基于我们自身经验的有用的技巧,如果你正在考虑换工作的话,这些技巧可能会派上用场。
一点历史知识
早在2014年,“心脏出血”事件曝光后,HTTPS就成为了热门话题。这个漏洞允许怀有恶意的人侦听通过SSL/TLS传输的流量。这也给了他们劫持和/或读取数据的能力。幸运的是,这个bug在被发现后很快得到了修补。这次事件给我们敲响了警钟:在互联网上正确加密用户信息是必要的,而不是可有可无的。
为了强调加密敏感数据的重要性,谷歌Chrome(自2017年1月起)每当你访问一个不加密潜在敏感数据(比如表单)的网站时,都会在地址栏旁边显示一个明确的警告。
我如何切换?
由于数据安全非常重要,我们在2014年采取措施,确保我们自己的网站上都有ssl证书。如果你决定换网站(你真的应该换!),有几件事你需要考虑,以确保你的网站在你完成后完全正常工作。
您需要更改所有的内部链接。这还意味着更新到资产的链接(必要时)。确保检查你的主题并修改CSS、图像和JavaScript文件的引用。此外,您可以将所有链接的开头改为//,而不是https://,这将导致协议相对url。
确保您的CDN也支持SSL。我们利用MaxCDN,它允许您轻松设置SSL在您的CDN子域。
您可以从各种级别的SSL中进行选择,每个级别都有各自的优缺点。稍后您将找到更多相关信息。
确保你的网站部分有一个规范的链接,以正确地将所有来自http://的流量重定向到https://。
谷歌还发布了一个关于如何在不影响排名的情况下使用HTTPS的便捷指南,可以在这里找到。
这对我的排名有什么影响?
如前一节所述,如果不做相应的计划,从HTTP转移到HTTPS可能会稍微影响您的排名。然而,在你切换到HTTPS之后,你的排名实际上会随着时间的推移而提高。谷歌在2014年宣布拥有SSL证书将被认为是一个积极的排名因素,所以它是值得投资的。
为了确保Googlebot能更快地重新索引你的网站,确保你在流量低的时候使用https://。通过这种方式,Googlebot可以使用更多的服务器资源。需要考虑的是,中等规模的网站可能需要一段时间才能恢复排名。有地图吗?然后Googlebot可能能够更快地重新计算和索引你的网站。
在服务器上设置HTTPS和SSL
一般来说,托管提供商有一个允许您启用HTTPS/订购证书的服务。有几种类型的证书可供您选择,它们在一些方面有所不同。每一种变体都有自己的价格标签,所以在购买之前,请确保您购买的证书符合您的需要和预算!
如果你手头有点紧,又不懂技术,那就去看看Let ‘s Encrypt,以获得一个免费的(!)证书。
如果您运行和管理自己的web服务器,在能够使用SSL证书之前,您必须在服务器配置中启用一些东西。本教程解释了在服务器上运行证书需要采取的步骤。
OCSP装订
必须检查SSL证书的有效性可能会导致加载速度的小幅下降。为了克服这个问题,你可以使用OCSP钉接法。OCSP stapling是一种特性,它使服务器能够在检查SSL证书时下载证书供应商响应的副本。这意味着,一旦浏览器连接到服务器,它就会根据服务器上的副本检查证书的有效性,而不必查询证书供应商本身,从而显著提高性能。
Apache
在您的Apache服务器上启用OCSP stapling之前,请通过在您的服务器上运行apache2 -v(或httpd -v)命令来检查您运行的是version 2.3.3+的Apache。较低版本的Apache不支持此特性。
如果您按照“在您的服务器上设置HTTPS和SSL”一节中所描述的过程在您的服务器上设置HTTPS和SSL,那么您应该接触到一个专门为使用HTTPS/SSL而设置的虚拟主机配置。