建站基础知识扫盲:什么是HTTPS?

fb-what-is-https-cn

HTTPS协议早在10年前,在国内并不流行,但随着近几年免费TLS证书的推广,HTTPS协议也逐步流行起来,大部分网站都启用了HTTPS协议支持。

HTTPS(超文本传输​​安全协议)是HTTP的加密版本,它是用于万维网传输数据的主要协议。

HTTPS可以保护浏览器和服务器之间的通信不被攻击者截获和篡改。这为当今绝大多数的WWW流量提供了保密性、完整性和身份验证。

闪电博网站HTTPS证书

HTTP与HTTPS的基础知识

首先,让我简化并说明当攻击者介于两者之间时,客户端(浏览器)与服务器之间的通信。

http-request-respons-attacker-possibilities

如您所见,攻击者可以获取敏感数据,例如登录名和付款明细,或者将恶意代码注入所请求的资源。

不受信任的路由器或ISP可能会在任何地方发生潜在的网络攻击。因此任何公共WiFi网络都很容易受到此类攻击。幸运的是,似乎公众已经意识到了这一问题(VPN的使用越来越多)。

所以让每个人的浏览体验安全应该是由网站管理员负责。

这就是采用HTTPS发挥作用的地方。

HTTPS会对HTTP请求和响应进行加密。例如,拦截攻击者只能看到随机字符,而不是信用卡详细信息。

类似于HTTPS的工作方式,可以将重要信息装在一个牢不可破的保险箱中发送。只有发送方和接收方知道这种组合,即使攻击者掌握了它,他们也无法进入。

在形成HTTPS连接时,会发生很多连接协议。HTTPS主要依靠TLS(传输层安全)加密来保护连接。

TLS证书如何工作?

在您的网站上启用HTTPS的唯一方法是获得TLS证书并将其安装到您的服务器上。您还会遇到SSL或SSL/TLS证书,但不用担心,它们都是一样的东西。SSL仍然是广泛使用的术语。

TLS证书由证书颁发机构(CA)颁发。CA的作用是成为客户端-服务器关系中受信任的第三方。基本上,任何人都可以颁发TLS证书,但浏览器仅支持公共信任的CA。

您可以通过单击浏览器地址栏中的锁图标来检查每个网站的TLS证书及其颁发的机构。

TLS证书信息

您可以通过单击证书了解更多信息。这里重要的是“发给:”这一行。我们将讨论TLS证书的不同类型的验证标准,主要是免费证书和付费证书的区分。

DV,OV和EV:这是什么意思,选择哪一个?

你的主机(比如宝塔提供的TrustAsia DV SSL CA)和CDN计划附带的免费TLS证书(比如又拍云提供)只能用于域名验证(DV)。它们不提供认证价值。也就是说网站访问者无法通过证书验证企业身份是否合法,从而使他们更容易遭受在线欺诈。这种基本的验证技术对于不处理敏感信息的博客和网站来说已经足够好了,但对于处理敏感信息的博客和网站来说并不理想。

使用DV TLS证书的网站显示为安全,但是单击锁定图标时,您不会看到“颁发给”这句话。

2-tls-dv

最常见的DV TLS证书来自名为Let’s Encrypt的非盈利机构。这是大多数公司提供的免费自动更新的TLS证书。

只有dv的证书没有什么问题,毕竟这是唯一一种可以自动大规模颁发的TLS证书。然而,HTTPS的强度仅与对正在通信的服务器进行身份验证的底层证书相同。

如果您的网站允许登录或付款,则应该投资提供组织验证(OV)或扩展验证(EV)的TLS证书。这两种类型的验证过程有所不同,而EV更为严格。

如果您只想购买一个,建议您直接购买EV TLS证书。这是最值得信赖的工具,而且价格只比OV贵一点。

通配符证书和SAN TLS证书

抛开验证标准,让我们进入另一类TLS证书。

通配符证书用于一次保护多个子域。如果您为example.com 购买了标准EV TLS证书,则blog.example.com需要单独的证书。

通配符证书可以保护无限的子域(example.com,blog.example.com,docs.example.com),而SAN证书还可以选择保护其他域(example.com,blog.example.com,different.org)。

这些类型与验证类型结合在一起,因此在浏览CAs提供的选项时,您将看到各种组合。它们还将指导您完成验证过程。

HTTPS如何帮助SEO

HTTPS的几乎所有优点都与SEO紧密相关:

  • 轻量级排名信号
  • 更好的安全性和隐私性
  • 保留推荐数据
  • 允许使用现代协议以提高安全性和站点速度

轻量级排名信号

早在2014年谷歌就宣布HTTPS是轻量级的排名因素。它更像是必备因数,而不是在其它排名因素变量不变的情况下让你的排名飙升。(推荐阅读:如何提升网站域名权重

这是Google对加快全球HTTPS采纳率的贡献。

更好的安全性和隐私性

我们已经讨论过这一点。 但是这与SEO到底有何联系?

当您进入不安全的网站时,您会看到类似下面的内容信息:

3-not-secure-browser

这并不能真正建立信任,对吧?我知道我的专业偏见,但我个人很注意这一点,如果我在任何网站上看到它,很快就会给人留下不好的第一印象。

我的猜测是,迁移到HTTPS可以提高网站停留时间并降低跳出率。虽然这些只是理论上的(未证实的)排名因素,但让人们登陆你的网站时,“粘性”肯定是你想要的东西,不管你是否进行了SEO。

保留引荐来源数据

如果您的网站仍使用HTTP,并且您正在使用Google Analytics(分析)之类的网络分析服务,那么对您来说,则有个坏消息:没有推荐数据从HTTPS传递到HTTP页面。

如今,由于大多数网络都运行在HTTPS上,因此大多数分析软件会将大多数引荐流量(点击其他网站的链接)的来源标记为直接。

这样做的一个缺点是,它会使您的数据混乱且不正确。 另一个问题是您看不到最佳的引荐来源,这是浪费建立链接的机会。

使用现代协议来增强安全性和站点速度

理论上由于增加了安全功能,HTTPS比HTTP慢。 然而拥有HTTPS是使用最新安全性和Web性能技术的先决条件。

换句话说,除了安全性外,使用TLS 1.3和HTTP/2等协议时,HTTPS还可以使您的网站提高其页面速度。 除了更好的用户体验,谷歌还将页面速度作为一个轻量级的排名因素,类似于HTTPS:

Ranking wise it’s a teeny tiny factor, very similar to https ranking boost. That particular one is not surprising. You do that primarily to enable users to convert.

— Socially distant Gary Illyes (@methode) April 28, 2020

如何设置HTTPS

这取决于您的情况。

1. 新网站

从一开始就使用HTTPS,您将永远不必担心HTTP迁移相关的错误。

您所需要做的就是找一个好的托管提供商,它将指导您完成整个过程,并且支持最新的HTTP和TLS协议版本。在一切启动并运行之后,实现HSTS作为最后一步来密封安全性。

2. 已启用HTTPS的网站

它可能设置不正确,请按照下一节的建议检查常见错误。

3. 您的网站依旧还在运行HTTPS

把一切做好做好需要一段时间。迁移的复杂性取决于:

  • 您网站的大小和复杂性
  • 您使用哪种CMS
  • 您的服务器托管方/ CDN提供商
  • 您的技术能力

虽然我相信主流的CMS和在可靠服务器上托管的小型网站的所有者可以自己进行迁移,但仍有很多变数在起作用。

建议您检查CMS / 服务器/ 主机/ CDN的文档,并谨慎进行。您需要执行很多步骤,遵循这份创建和迁移清单,  而不要尝试其它设置。

如果这一切听起来都不适合您,请聘请专业人员。这将节省您的时间,节省您的精力,并确保未来能一直使用。

如何检查潜在的HTTPS迁移错误

即使您勾选了整个HTTPS迁移清单,也可能会遇到一些问题。

实际上,早在2016年,我们就各种HTTPS错误分析了10,000个顶级域名,发现了以下内容:

  • 90.9% 的子域名HTTPS实施不理想
  • HTTPS在65.39%的域上无法正常工作
  • 23.01%的网域使用的是临时302重定向,而不是永久的 301重定向

从那以后,尽管发生了很多变化和改进,但我建议您检查以下五个常见的HTTPS迁移错误。不会花很长时间,而且大多数都不难修复。

错误1:存在HTTP页面

首先,您需要确保站点上的所有页面都已经在HTTPS上。

您可以通过爬行网站来发现剩余的HTTP页面。如果您坚持使用任何HTTPS迁移清单,那么这应该不是什么新鲜事物。只要确保爬虫抓取了必需的URL来源,就不会遗漏任何页面。

如果您使用的是Ahrefs的网站诊断,建议您进行以下设置:

sa_crawl_setup

完成后打开最新爬行结果,进入页面分析,应用以下过滤器:

4-http-pages-site-audit

导出HTTP URL列表并重定向它们以完成迁移。

Tips. 那些不在你的站点地图中并且没有指向它们的链接的页面是不可能通过爬行发现的。这常常发生在专门的PPC登陆页面上。找到这些的一种方法是从你的广告经理如谷歌广告或FB业务经理导出URL列表。

从那里,确保孤立的页面被正确地迁移。而且不要忘记在广告系列中将其更新为最新的HTTPS格式。

错误2: HTTPS页面包含HTTP内容

当使用HTTPS加载初始HTML文件但其资源文件(图像,CSS,JavaScript)尚未更新为HTTPS时,会发生此错误。

5-https-with-http-content-site-audit

如果您的网站上存在这个问题,您将在抓取概述和内部页面报告中看到它。站点诊断里面所有错误,警告和注意事项,均包含对问题的描述以及如何解决的建议。

错误3: 内部链接未更新为HTTPS

不更新你的内部链接为HTTPS会导致不必要的重定向。既然我们已经遇到了这个错误,显然更新为HTTPS比HTTP要好。很容易发现这些链接并进行修复。

您可以在“网站诊断”中的链接报告下找到此问题:

6-internal-links-to-http-site-audit

只要将URL改写为https://就可以了。这只适用于你已经确保没有HTTP页面使用错误#1下的建议。

错误4: 标签未更新为HTTPS

有两种类型的标签你可能在你的网站上使用,也需要将他们的URL更新到HTTPS:规范标签和开放图标签。.

规范标签用来告诉谷歌在一组相似或重复的页面,您认为最权威的页面。指向HTTP版本肯定会向谷歌发送错误信号,这个错误很可能会被忽略。

如果你使用开放图标签来优化你的社交媒体帖子,那么Facebook就需要URL标签。它们应该与规范的url相同采用HTTPS。

要找到带有规范HTTP和OG标签的页面,在页面分析中设置这个自定义过滤器:

7-canonical-open-graph-https

同样,剩下工作就是在完成迁移后将它们重写为https://。

错误5: 失败的重定向

重定向可能很棘手。可能出错的地方有很多——包括从中断的重定向到重定向链和循环。

幸运的是,通过网站诊断很容易发现这些错误。只要检查重定向报告并可以解决所有的问题。

8-failed-redirects

点击“查看受影响的URL”按钮后,你会看到一个类似下面这样的报告,只是可能有更多的默认列和指标:

9-redirect-chains

里最好的一点是您将真正看到所有受影响的URL —重定向的URL,重定向链中的URL以及链接到重定向的URL。

遇到这种情况分2步解决您的问题。

第一个是拆分重定向,在这种情况下:

https://blog.example.com/123/ -> 301 redirect -> https://example.com/blog/987/

这将确保指向https://blog.example.com/123/和https://example.com/blog/123/的所有反向链接只被重定向一次。这对于外部链接来说很好,因为向网站管理员发送链接编辑请求是非常无效的,而且相当烦人。

不过我们可以在内部做得更好。

您应该努力使重定向的次数减少到最少。这时就要查看inlinks列中的数量了。

Inlinks是链接到受重定向链影响的URL。您需要将这些页面上的链接返回200 HTTP状态码。如果你点击链接的数量,你会看到所有:

10-inlinks-site-audit

下一步就是检查重定向链中的URL的链接。然而,这是一个较低的优先级,因为我们中断了重定向链。这些将在下一次爬行时的3XX重定向报告中被标记为标准301重定向。

总结

我希望我们在一起可以使浏览万维网更快,更安全。

根据w3techs.com的调查,其调查样本中有59.4%的网站使用HTTPS。相比之下,Google报告  说,Chrome浏览器中88%至99%的浏览时间都花在HTTPS网站上。

我从这些数据中得出的结论是,绝大多数具有相当流量的流行网站已经转向了HTTPS。如果您想知道这两个数据点之间的巨大差异,那么我可以将其归因于Google数据中未包含中国的网站。

但是在TLS支持的质量方面还有很多需要改进的地方。正如您在此处了解到的那样,HTTPS设置并不随迁移过程而结束。紧跟Web性能和安全性趋势,并实施最新功能,对每个参与人员都有好处。

(via ahrefs.com 译者, 老张,文章有改动)

评论留言