你的网站再不用 https 就晚了

  • Posted on | Updated on
  • by
  • in

标题很家常,也很清晰,就是说全站 https 是迫在眉睫,势在必行了。
根据 Google 最近二月八日的稿件,在2018年的7月,Google 将会发布 Chrome 68,自该版本开始,所有使用 http 的网站都会被标识为"not secure",也就是不安全。

去年一月的时候,Google 的改变是只对有登陆信息的页面,才使用此策略,而现在是所有的页面。

Treatment-of-HTTP-Pages.png在过去的几年里,https 得到很大的推广,SSL证书的价格也越来越便宜,甚至 Let's Encrypt 的免费证书也可以很容易的自动化部署到网站上。

2017年的状况

  • 超过68%的安卓和 Windows 上之 Chrome 流量是 https。
  • 超过78%的 Chrome OS 和 Mac 上之 Chrome 流量是 https。
  • 全球前100名的网站中有81个事默认使用 https的。

况且站长们应该知道,使用 https 的网站同没有使用 https 的网站相比,是有排名优势的。

在这里 DavidYin 会给你一些建议,如何使用 HTTPS。

  • 所有站点都要加上 HTTPS,包括第三方内容,如果第三方内容不是 HTTPS 的,那就找其它服务商替换它。
  • 尽可能使用 ECC 证书,若必须使用 RSA 证书,请使用双证书。
  • 使用 HSTS,如果有条件,可以加入 HSTS Preload。
  • 加密协议,禁用 SSL 全系,只使用TLS,但是 TLS 1.0 也可以考虑禁用了。
  • SSL 证书的签名算法,要使用 SHA-2,不要使用已经被证明有严重缺陷的 SHA-1了。
  • 前向安全性,Forward Secrecy,就是说要使用 DHE 或者ECDHE 密钥交换。
  • 启用 HTTP/2。
  • 证书可能的话,就加上 OCSP Stapling。

还有一些不常用的技术,就暂时到这里。


作者: David Yin
原载: SEO 网站优化推广
版权所有。转载时必须以链接形式注明作者和及本声明。