写在文章之前:很多站长说加了证书之后,网站安全了,但收录慢了。这点是肯定的,尤其是现在的百度环境下,不过,百度将会对HTTPS站点着重考虑,对HTTPS站点考查审核时间比较长,所以当新站加了HTTPS变成老站(三个月以上)后就会慢慢有收录。老站加了HTTPS后,也存在着考核期。所以从长远来看,果断加吧!!!反正DV证书免费用一年。【若表述有误,请斧正,感谢】

HTTPS提供了端到端的安全加密不仅提供数据机密性(加密),还提供数据完整性(不篡改数据)保护、防重放(把捕获的报文再发一次无效),这样坏小子就很难下手,没有session key 很难去偷窥并篡改用户的数据,更无法依赖HTTPS这个载体植入木马。一定有同学会有疑问,为何明文传输的HTTP可以被劫持,篡改网页内容,而加密传输的HTTPS却不可以?

那是因为HTTP被劫持篡改页面,重新计算TCP checksum,用户电脑是无法判别是否被篡改,只好被动接收。而加密传输之后,有了HMAC保护,任何篡改页面的尝试,由于没有session key,无法计算出和篡改网页一致的HMAC,所以数据接收端的SSL/TLS会轻易地识别出网页已被篡改,然后丢弃,既然无法劫持,也就没有篡改的冲动了,所以HTTPS可以很好地对付网页劫持。HTTPS并不是100%绝对可靠斯诺登暴露出,针对IPsec,TLS的密钥交换所依赖的Diffie-Hellman算法攻击,即通过离线的超级计算机预先计算出海量的公钥、私钥对,一旦尝试出私钥就会得到Master Key,进而推导出session key,这样历史数据、现在、将来的数据全可以解密。以上是被动攻击方式,针对数字证书欺骗则属于主动攻击,可以实时地解密用户数据。但种种主、被动攻击难度都很高,往往是以国家意志为源动力,而不是一些小团体所能完成的。

正方观点

1、HTTPS具有更好的加密性能,避免用户信息泄露;

2、HTTPS复杂的传输方式,降低网站被劫持的风险;

3、搜索引擎已经全面支持HTTPS抓取、收录,并且会优先展示HTTPS结果;

4、从安全角度来说个人觉得要做HTTPS,不过HTTPS可以采用登录后展示;

5、HTTPS绿锁表示可以提升用户对网站信任程度;

6、基础成本可控,证书及服务器已经有了成型的支持方案;

7、网站加载速度可以通过cdn等方式进行弥补,但是安全不能忽略;

8、HTTPS是网络的发展趋势,早晚都要做;

9、可以有效防止山寨、镜像网站;

反方观点

1、HTTPS会降低用户访问速度,增加网站服务器的计算资源消耗;

2、目前搜索引擎只是收录了小部分HTTPS内容;

3、HTTPS需要申请加密协议,增加了运营成本;

4、百度目前对HTTPS的优先展现效果不明显,谷歌较为明显;

5、技术门槛较高,无从下手;

6、目前站点不涉及私密信息,无需HTTPS;

7、兼容性有待提升,如robots不支持/联盟广告不支持等;

8、HTTPS网站的安全程度有限,该被黑还是被黑;

9、HTTPS维护比较麻烦,在搜索引擎支持HTTP的情况,没必要做HTTPS;

HTTPS的优点:

安全性方面

在目前的技术背景下,HTTPS是现行架构下最安全的解决方案,主要有以下几个好处:

1、使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;

2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。

3、HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

HTTPS的缺点:

技术方面

1、相同网络环境下,HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电。此外,HTTPS协议还会影响缓存,增加数据开销和功耗。

2、HTTPS协议的安全是有范围的,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。

3、最关键的,SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。

成本方面

1、SSL的专业证书需要购买,功能越强大的证书费用越高。个人网站、小网站可以选择入门级免费证书。

2、SSL 证书通常需要绑定 固定IP,为服务器增加固定IP会增加一定费用;

3、HTTPS 连接服务器端资源占用高较高多,相同负载下会增加带宽和服务器投入成本;

问:SEO到底要不要做HTTPS?

答:必须做HTTPS

既然HTTPS有这么多缺点,那是不是就不该做呢,当然不是的,随着技术的发展很多缺点是可以优化和弥补的。比如:打开速度问题完全可以通过CDN加速解决,很多IDC也在着手推出免费证书和一站式HTTPS搭建服务,HTTPS成本在未来将会大大缩小!

通过上面大多数人的观点,我相信你也有一个你自己的答案,博主的答案是一定要做HTTPS,有人说,HTTPS是收费的,博主的网站HTTPS就是免费的,不是照样可以用吗?

关于HTTPS搜索引擎收录的问题,博主也承认百度目前蜘蛛抓取HTTPS是有一些困难,但是这个缺点我们可以直接去百度站长平台,直接告诉百度我的网站支持https协议:(我的网站-站点管理-站点属性:

站点协议Beta:若站点支持https协议,请点击设置,若不支持可忽略此项);如下图:

虽然说:百度公告说的是:已经支持HTTPS抓取,推送也支持HTTPS了,但是毕竟支持HTTPS程序出来较晚,肯定它还有不成熟的地方,不够完善的地方,这些都需要去人为的弥补的;目前较佳的方法是:我们可以站长平台工具设置网站HTTPS协议,而且百度搜索引擎算法是优先展示HTTPS网页的,像好搜,搜狗,神马这些搜索引擎,目前技术还不成熟,因此,必须保证我们的网站HTTP也能访问。例如:博主的网站:任何一个页面,HTTP和HTTPS都可以访问,而且不存在任何的跳转,也未做重定向,但是权重依然不分散;依然是以HTTPS为主。

概念详解:

HTTPS 协议就是 HTTP+SSL/TLS,即在 HTTP 基础上加入 SSL /TLS 层,提供了内容加密、身份认证和数据完整性3大功能,目的就是为了加密数据,用于安全的数据传输。

HTTPS 通过3大功能增加了数据传输安全,但同时也给Web性能优化带来了新的挑战。

  • HTTPS降低用户访问速度(需多次握手)
  • 网站改用 HTTPS 以后,由 HTTP 跳转到 HTTPS 的方式增加了用户访问耗时(多数网站采用 301、302 跳转)
  • HTTPS 涉及到的安全算法会消耗 CPU 资源,需要增加服务器资源(https 访问过程需要加解密)

HTTP跳转至HTTPS交互过程解析

1. 用户在浏览器里输入 http://www.domain.com/1213.gif 点击回车以后,浏览器与服务器发生三次握手;

2. 服务器收到用户的请求,响应 301 状态码,让用户跳转到 HTTPS ,重新请求 https://www.domain.com/1213.gif;

3. 用户重新发起 HTTPS 请求,再次与服务器进行三次 TCP 握手;

4. TCP 握手成功后,浏览器开始与服务器进行 TLS 握手。HSTS重定向技术

又拍云采用了 HSTS(HTTP Strict Transport Security)技术,启用HSTS后,将保证浏览器始终连接到网站的 HTTPS 加密版本。

1. 用户在浏览器里输入 HTTP 协议进行访问时,浏览器会自动将 HTTP 转换为 HTTPS 进行访问,确保用户访问安全;

2. 省去301跳转的出现,缩短访问时间;

3. 能阻止基于 SSL Strip 的中间人攻击,万一证书有错误,则显示错误,用户不能回避警告,从而能够更加有效安全的保障用户的访问。

TLS握手优化

在传输应用数据之前,客户端必须与服务端协商密钥、加密算法等信息,服务端还要把自己的证书发给客户端表明其身份,这些环节构成 TLS 握手过程。

TLS False Start 功能

又拍云采用了 False Start (抢先开始)技术,浏览器在与服务器完成 TLS 握手前,就开始发送请求数据,服务器在收到这些数据后,完成 TLS 握手的同时,开始发送响应数据。

 

开启 False Start 功能后,数据传输时间讲进一步缩短。

Session Identifier(会话标识符)复用

如果用户的一个业务请求包含了多条的加密流,客户端与服务器将会反复握手,必定会导致更多的时间损耗。或者某些特殊情况导致了对话突然中断,双方就需要重新握手,增加了用户访问时间。

因此又拍云提供了 Session Identifier(会话标识符)复用功能

(1)服务器为每一次的会话都生成并记录一个 ID 号,然后发送给客户端;

(2)如果客户端发起重新连接,则只要向服务器发送该 ID 号;

(3)服务器收到客户端发来的 ID 号,然后查找自己的会话记录,匹配 ID 之后,双方就可以重新使用之前的对称加密秘钥进行数据加密传输,而不必重新生成,减少交互时间。

因此又可以进一步降低客户端的访问时间,提升用户的访问体验。又拍云已默认开启此功能,无需特殊配置,抓包如下图所示:

 

开启OSCP Stapling,提高TLS握手效率

采用OCSP Stapling ,提升 HTTPS 性能。服务端主动获取 OCSP 查询结果并随着证书一起发送给客户端,从而客户端可直接通过 Web Server 验证证书,提高 TLS 握手效率。

由又拍云服务器模拟浏览器向 CA 发起请求,并将带有 CA 机构签名的 OCSP 响应保存到本地,然后在与客户端握手阶段,将 OCSP 响应下发给浏览器,省去浏览器的在线验证过程。由于浏览器不需要直接向 CA 站点查询证书状态,这个功能对访问速度的提升非常明显。

完全前向加密PFS,保护用户数据,预防私钥泄漏

非对称加密算法 RSA,包含了公钥、私钥,其中私钥是保密不对外公开的,由于此算法既可以用于加密也可以用于签名,所以用途甚广,但是还是会遇到一些问题:

(1) 假如我是一名黑客,虽然现在我不知道私钥,但是我可以先把客户端与服务器之前的传输数据(已加密)全部保存下来

(2)如果某一天,服务器维护人员不小心把私钥泄露了,或者服务器被我攻破获取到了私钥

(3)那我就可以利用这个私钥,破解掉之前已被我保存的数据,从中获取有用的信息

所以为了防止上述现象发生,我们必须保护好自己的私钥。

但如果私钥确实被泄漏了,那我们改如何补救呢?那就需要PFS(perfect forward secrecy)完全前向保密功能,此功能用于客户端与服务器交换对称密钥,起到前向保密的作用,也即就算私钥被泄漏,黑客也无法破解先前已加密的数据。

实现此功能需要服务器支持以下算法和签名组合:

(1)ECDHE 密钥交换、RSA 签名;

(2)ECDHE 密钥交换、ECDSA 签名;

又拍云已默认支持上述组合,无需特殊配置,抓包如下图所示:

 

HTTP/2协议支持

HTTP/2 是在 HTTPS 协议的基础上实现的,所以只要使用又拍云 HTTPS 加速服务的域名,都可免费享受 HTTP/2 服务,无需做任何特殊配置。全平台支持默认开启 HTTP/2.0 , 无缝兼容各浏览器及服务器。

巨推传媒小李汇总:

站长平台推出HTTPS认证这个工具,那HTTPS认证工具究竟有什么好处呢?能给大家的网站带来什么样的收益?

一、网站为什么要做HTTPS

1、安全问题触目惊心 2、烽火计划 3、非法跳转,首页劫持 4、广告商劫持,运营商劫持/JS劫持 很多网站当你输入某个关键词,搜索展示结果以(红色为主提示危险网站:该网站可能已经被非法纂改),用户一般看到这样的提示就不会点击这个网站,这样你网站的流量就会受到非常大的损失。 还有很多网站本身自己没有挂广告,却被别人植入了一个广告位置,这个网站其实是被人劫持了,在页面挂了很多低俗的广告内容。网站拿不到这个广告位的广告收入,而且这种落地页页面体验并不友好,百度搜索还会觉得这个网站本身落地页体验是有问题的,就会导致这个网站觉得自己特别冤枉。

百度针对类似网站安全问题,在今年2月份推出烽火计划,很多网站安全做的不够好的网站因此受到了一定判法,所以说这就是为什么要做HTTPS的原因。HTTPS是可以有效解决劫持被黑等情况的一个手段,像百度在2015年就已经做了HTTPS改造,像携程等这种用户量比较大的网站,早就完成了HTTPS的改造。

二、网站做了HTTPS改造,都有哪些好处?

1、网站更加安全、自身权益保障 2、网站评价好、防qieting /防篡改/反劫持 3、落地页评价好、展现结果为HTTPS页面 4、体验更好,避免风险其实网站做不做HTTPS是要看网站需求决定的,从网站安全和用户体验角度来考虑,HTTPS是更加优质安全的。百度搜索在索引的时候会优先展现用户较好的页面,总体来说推荐网站做HTTPS。做HTTPS网站肯定自身受到的好处较多,网站自身负责安全、网站自身权益得到保证、网站自身用户数据也有一定保障。 除此之外,百度搜索还会在其它方面给到HTPPS一些优待。比如网站做HTTPS之后,百度搜索会认为这个网站,不管是PC站还是移动站,整体是较安全的,对整个网站质量评价非常好。从单个页面上来讲,单个页面比较安全的页面,百度认为落地页面评价也是比较好,在搜索结果上对于HTTPS的站点百度搜索也会及时展示HTTPS页面,告诉用户HTTPS是更加友好,更加有安全保障。总体来说做HTTPS站点是相对体验度更好,避免了风险。

三、HTTPS认证工具,让你的网站实现快速收录升级 使用HTTPS工具到底有哪些收益呢?

快跟着巨推传媒小编来了解一下吧。 介绍完了要做HTTPS的站点,现在我们来说一下HTTPS认证这个工具到底有多么厉害。HTTPS认证工具是为了更好的支持HTTPS站点在搜索上收录。这个工具在推出之前已经打通了搜索的全部流程,包括:抓取>收录>建库>适配>展现,这可以算是搜索全流程对HTTPS站点的升级和一个全面的支持。 如果一个网站做HTTPS全站改造,建议网站一定要使用站长工具进行HTTPS认证,通过认证之后网站在百度搜索上,所有的快照都会变成HTTPS的格式,蜘蛛也会优先抓取HTTPS链接。让用户在搜索中获得更加安全优质的HTTPS链接。