你的网站再不用 https 就晚了

标题很家常，也很清晰，就是说全站 https 是迫在眉睫，势在必行了。
根据 Google 最近二月八日的稿件，在2018年的7月，Google 将会发布 Chrome 68，自该版本开始，所有使用 http 的网站都会被标识为"not secure"，也就是不安全。

去年一月的时候，Google 的改变是只对有登陆信息的页面，才使用此策略，而现在是所有的页面。

在过去的几年里，https 得到很大的推广，SSL证书的价格也越来越便宜，甚至 Let's Encrypt 的免费证书也可以很容易的自动化部署到网站上。

2017年的状况

• 超过68%的安卓和 Windows 上之 Chrome 流量是 https。
• 超过78%的 Chrome OS 和 Mac 上之 Chrome 流量是 https。
• 全球前100名的网站中有81个事默认使用 https的。

况且站长们应该知道，使用 https 的网站同没有使用 https 的网站相比，是有排名优势的。

在这里 DavidYin 会给你一些建议，如何使用 HTTPS。

• 所有站点都要加上 HTTPS，包括第三方内容，如果第三方内容不是 HTTPS 的，那就找其它服务商替换它。
• 尽可能使用 ECC 证书，若必须使用 RSA 证书，请使用双证书。
• 使用 HSTS，如果有条件，可以加入 HSTS Preload。
• 加密协议，禁用 SSL 全系，只使用TLS，但是 TLS 1.0 也可以考虑禁用了。
• SSL 证书的签名算法，要使用 SHA-2，不要使用已经被证明有严重缺陷的 SHA-1了。
• 前向安全性，Forward Secrecy，就是说要使用 DHE 或者ECDHE 密钥交换。
• 启用 HTTP/2。
• 证书可能的话，就加上 OCSP Stapling。

还有一些不常用的技术，就暂时到这里。