HTTPS協議早在10年前,在國內並不流行,但隨著近幾年免費TLS證書的推廣,HTTPS協議也逐步流行起來,大部分網站都啟用了HTTPS協議支援。
HTTPS(超文字傳輸安全協議)是HTTP的加密版本,它是用於全球資訊網傳輸資料的主要協議。
HTTPS可以保護瀏覽器和伺服器之間的通訊不被攻擊者截獲和篡改。這為當今絕大多數的WWW流量提供了保密性、完整性和身份驗證。
HTTP與HTTPS的基礎知識
首先,讓我簡化並說明當攻擊者介於兩者之間時,客戶端(瀏覽器)與伺服器之間的通訊。
如您所見,攻擊者可以獲取敏感資料,例如登入名和付款明細,或者將惡意程式碼注入所請求的資源。
不受信任的路由器或ISP可能會在任何地方發生潛在的網路攻擊。因此任何公共WiFi網路都很容易受到此類攻擊。幸運的是,似乎公眾已經意識到了這一問題(VPN的使用越來越多)。
所以讓每個人的瀏覽體驗安全應該是由網站管理員負責。
這就是採用HTTPS發揮作用的地方。
HTTPS會對HTTP請求和響應進行加密。例如,攔截攻擊者只能看到隨機字元,而不是信用卡詳細資訊。
類似於HTTPS的工作方式,可以將重要資訊裝在一個牢不可破的保險箱中傳送。只有傳送方和接收方知道這種組合,即使攻擊者掌握了它,他們也無法進入。
在形成HTTPS連線時,會發生很多連線協議。HTTPS主要依靠TLS(傳輸層安全)加密來保護連線。
TLS證書如何工作?
在您的網站上啟用HTTPS的唯一方法是獲得TLS證書並將其安裝到您的伺服器上。您還會遇到SSL或SSL/TLS證書,但不用擔心,它們都是一樣的東西。SSL仍然是廣泛使用的術語。
TLS證書由證書頒發機構(CA)頒發。CA的作用是成為客戶端-伺服器關係中受信任的第三方。基本上,任何人都可以頒發TLS證書,但瀏覽器僅支援公共信任的CA。
您可以通過單擊瀏覽器位址列中的鎖圖示來檢查每個網站的TLS證書及其頒發的機構。
您可以通過單擊證書瞭解更多資訊。這裡重要的是“發給:”這一行。我們將討論TLS證書的不同型別的驗證標準,主要是免費證書和付費證書的區分。
DV,OV和EV:這是什麼意思,選擇哪一個?
你的主機(比如寶塔提供的TrustAsia DV SSL CA)和CDN計劃附帶的免費TLS證書(比如又拍雲提供)只能用於域名驗證(DV)。它們不提供認證價值。也就是說網站訪問者無法通過證書驗證企業身份是否合法,從而使他們更容易遭受線上欺詐。這種基本的驗證技術對於不處理敏感資訊的部落格和網站來說已經足夠好了,但對於處理敏感資訊的部落格和網站來說並不理想。
使用DV TLS證書的網站顯示為安全,但是單擊鎖定圖示時,您不會看到“頒發給”這句話。
最常見的DV TLS證書來自名為Let’s Encrypt的非盈利機構。這是大多數公司提供的免費自動更新的TLS證書。
只有dv的證書沒有什麼問題,畢竟這是唯一一種可以自動大規模頒發的TLS證書。然而,HTTPS的強度僅與對正在通訊的伺服器進行身份驗證的底層證書相同。
如果您的網站允許登入或付款,則應該投資提供組織驗證(OV)或擴充套件驗證(EV)的TLS證書。這兩種型別的驗證過程有所不同,而EV更為嚴格。
如果您只想購買一個,建議您直接購買EV TLS證書。這是最值得信賴的工具,而且價格只比OV貴一點。
萬用字元證書和SAN TLS證書
拋開驗證標準,讓我們進入另一類TLS證書。
萬用字元證書用於一次保護多個子域。如果您為example.com 購買了標準EV TLS證書,則blog.example.com需要單獨的證書。
萬用字元證書可以保護無限的子域(example.com,blog.example.com,docs.example.com),而SAN證書還可以選擇保護其他域(example.com,blog.example.com,different.org)。
這些型別與驗證型別結合在一起,因此在瀏覽CAs提供的選項時,您將看到各種組合。它們還將指導您完成驗證過程。
HTTPS如何幫助SEO
HTTPS的幾乎所有優點都與SEO緊密相關:
- 輕量級排名訊號
- 更好的安全性和隱私性
- 保留推薦資料
- 允許使用現代協議以提高安全性和站點速度
輕量級排名訊號
早在2014年穀歌就宣佈HTTPS是輕量級的排名因素。它更像是必備因數,而不是在其它排名因素變數不變的情況下讓你的排名飆升。(推薦閱讀:如何提升網站域名權重)
這是Google對加快全球HTTPS採納率的貢獻。
更好的安全性和隱私性
我們已經討論過這一點。 但是這與SEO到底有何聯絡?
當您進入不安全的網站時,您會看到類似下面的內容資訊:
這並不能真正建立信任,對吧?我知道我的專業偏見,但我個人很注意這一點,如果我在任何網站上看到它,很快就會給人留下不好的第一印象。
我的猜測是,遷移到HTTPS可以提高網站停留時間並降低跳出率。雖然這些只是理論上的(未證實的)排名因素,但讓人們登陸你的網站時,“粘性”肯定是你想要的東西,不管你是否進行了SEO。
保留引薦來源資料
如果您的網站仍使用HTTP,並且您正在使用Google Analytics(分析)之類的網路分析服務,那麼對您來說,則有個壞訊息:沒有推薦資料從HTTPS傳遞到HTTP頁面。
如今,由於大多數網路都執行在HTTPS上,因此大多數分析軟體會將大多數引薦流量(點選其他網站的連結)的來源標記為直接。
這樣做的一個缺點是,它會使您的資料混亂且不正確。 另一個問題是您看不到最佳的引薦來源,這是浪費建立連結的機會。
使用現代協議來增強安全性和站點速度
理論上由於增加了安全功能,HTTPS比HTTP慢。 然而擁有HTTPS是使用最新安全性和Web效能技術的先決條件。
換句話說,除了安全性外,使用TLS 1.3和HTTP/2等協議時,HTTPS還可以使您的網站提高其頁面速度。 除了更好的使用者體驗,谷歌還將頁面速度作為一個輕量級的排名因素,類似於HTTPS:
Ranking wise it’s a teeny tiny factor, very similar to https ranking boost. That particular one is not surprising. You do that primarily to enable users to convert.
— Socially distant Gary Illyes (@methode) April 28, 2020
如何設定HTTPS
這取決於您的情況。
1. 新網站
從一開始就使用HTTPS,您將永遠不必擔心HTTP遷移相關的錯誤。
您所需要做的就是找一個好的託管提供商,它將指導您完成整個過程,並且支援最新的HTTP和TLS協議版本。在一切啟動並執行之後,實現HSTS作為最後一步來密封安全性。
2. 已啟用HTTPS的網站
它可能設定不正確,請按照下一節的建議檢查常見錯誤。
3. 您的網站依舊還在執行HTTPS
把一切做好做好需要一段時間。遷移的複雜性取決於:
- 您網站的大小和複雜性
- 您使用哪種CMS
- 您的伺服器託管方/ CDN提供商
- 您的技術能力
雖然我相信主流的CMS和在可靠伺服器上託管的小型網站的所有者可以自己進行遷移,但仍有很多變數在起作用。
建議您檢查CMS / 伺服器/ 主機/ CDN的文件,並謹慎進行。您需要執行很多步驟,遵循這份建立和遷移清單, 而不要嘗試其它設定。
如果這一切聽起來都不適合您,請聘請專業人員。這將節省您的時間,節省您的精力,並確保未來能一直使用。
如何檢查潛在的HTTPS遷移錯誤
即使您勾選了整個HTTPS遷移清單,也可能會遇到一些問題。
實際上,早在2016年,我們就各種HTTPS錯誤分析了10,000個頂級域名,發現了以下內容:
- 90.9% 的子域名HTTPS實施不理想
- HTTPS在65.39%的域上無法正常工作
- 23.01%的網域使用的是臨時302重定向,而不是永久的 301重定向
從那以後,儘管發生了很多變化和改進,但我建議您檢查以下五個常見的HTTPS遷移錯誤。不會花很長時間,而且大多數都不難修復。
錯誤1:存在HTTP頁面
首先,您需要確保站點上的所有頁面都已經在HTTPS上。
您可以通過爬行網站來發現剩餘的HTTP頁面。如果您堅持使用任何HTTPS遷移清單,那麼這應該不是什麼新鮮事物。只要確保爬蟲抓取了必需的URL來源,就不會遺漏任何頁面。
如果您使用的是Ahrefs的網站診斷,建議您進行以下設定:
完成後開啟最新爬行結果,進入頁面分析,應用以下過濾器:
匯出HTTP URL列表並重定向它們以完成遷移。
Tips. 那些不在你的站點地圖中並且沒有指向它們的連結的頁面是不可能通過爬行發現的。這常常發生在專門的PPC登陸頁面上。找到這些的一種方法是從你的廣告經理如谷歌廣告或FB業務經理匯出URL列表。
從那裡,確保孤立的頁面被正確地遷移。而且不要忘記在廣告系列中將其更新為最新的HTTPS格式。
錯誤2: HTTPS頁面包含HTTP內容
當使用HTTPS載入初始HTML檔案但其資原始檔(影象,CSS,JavaScript)尚未更新為HTTPS時,會發生此錯誤。
如果您的網站上存在這個問題,您將在抓取概述和內部頁面報告中看到它。站點診斷裡面所有錯誤,警告和注意事項,均包含對問題的描述以及如何解決的建議。
錯誤3: 內部連結未更新為HTTPS
不更新你的內部連結為HTTPS會導致不必要的重定向。既然我們已經遇到了這個錯誤,顯然更新為HTTPS比HTTP要好。很容易發現這些連結並進行修復。
您可以在“網站診斷”中的連結報告下找到此問題:
只要將URL改寫為https://就可以了。這隻適用於你已經確保沒有HTTP頁面使用錯誤#1下的建議。
錯誤4: 標籤未更新為HTTPS
有兩種型別的標籤你可能在你的網站上使用,也需要將他們的URL更新到HTTPS:規範標籤和開放圖示籤。.
規範標籤用來告訴谷歌在一組相似或重複的頁面,您認為最權威的頁面。指向HTTP版本肯定會向谷歌傳送錯誤訊號,這個錯誤很可能會被忽略。
如果你使用開放圖示籤來優化你的社交媒體帖子,那麼Facebook就需要URL標籤。它們應該與規範的url相同採用HTTPS。
要找到帶有規範HTTP和OG標籤的頁面,在頁面分析中設定這個自定義過濾器:
同樣,剩下工作就是在完成遷移後將它們重寫為https://。
錯誤5: 失敗的重定向
重定向可能很棘手。可能出錯的地方有很多——包括從中斷的重定向到重定向鏈和迴圈。
幸運的是,通過網站診斷很容易發現這些錯誤。只要檢查重定向報告並可以解決所有的問題。
點選“檢視受影響的URL”按鈕後,你會看到一個類似下面這樣的報告,只是可能有更多的預設列和指標:
裡最好的一點是您將真正看到所有受影響的URL —重定向的URL,重定向鏈中的URL以及連結到重定向的URL。
遇到這種情況分2步解決您的問題。
第一個是拆分重定向,在這種情況下:
https://blog.example.com/123/ -> 301 redirect -> https://example.com/blog/987/
這將確保指向https://blog.example.com/123/和https://example.com/blog/123/的所有反向連結只被重定向一次。這對於外部連結來說很好,因為向網站管理員傳送連結編輯請求是非常無效的,而且相當煩人。
不過我們可以在內部做得更好。
您應該努力使重定向的次數減少到最少。這時就要檢視inlinks列中的數量了。
Inlinks是連結到受重定向鏈影響的URL。您需要將這些頁面上的連結返回200 HTTP狀態碼。如果你點選連結的數量,你會看到所有:
下一步就是檢查重定向鏈中的URL的連結。然而,這是一個較低的優先順序,因為我們中斷了重定向鏈。這些將在下一次爬行時的3XX重定向報告中被標記為標準301重定向。
總結
我希望我們在一起可以使瀏覽全球資訊網更快,更安全。
根據w3techs.com的調查,其調查樣本中有59.4%的網站使用HTTPS。相比之下,Google報告 說,Chrome瀏覽器中88%至99%的瀏覽時間都花在HTTPS網站上。
我從這些資料中得出的結論是,絕大多數具有相當流量的流行網站已經轉向了HTTPS。如果您想知道這兩個資料點之間的巨大差異,那麼我可以將其歸因於Google資料中未包含中國的網站。
但是在TLS支援的質量方面還有很多需要改進的地方。正如您在此處瞭解到的那樣,HTTPS設定並不隨遷移過程而結束。緊跟Web效能和安全性趨勢,並實施最新功能,對每個參與人員都有好處。
(via ahrefs.com 譯者, 老張,文章有改動)
評論留言