标题很家常,也很清晰,就是说全站 https 是迫在眉睫,势在必行了。
根据 Google 最近二月八日的稿件,在2018年的7月,Google 将会发布 Chrome 68,自该版本开始,所有使用 http 的网站都会被标识为"not secure",也就是不安全。
去年一月的时候,Google 的改变是只对有登陆信息的页面,才使用此策略,而现在是所有的页面。
2017年的状况
- 超过68%的安卓和 Windows 上之 Chrome 流量是 https。
- 超过78%的 Chrome OS 和 Mac 上之 Chrome 流量是 https。
- 全球前100名的网站中有81个事默认使用 https的。
况且站长们应该知道,使用 https 的网站同没有使用 https 的网站相比,是有排名优势的。
在这里 DavidYin 会给你一些建议,如何使用 HTTPS。
- 所有站点都要加上 HTTPS,包括第三方内容,如果第三方内容不是 HTTPS 的,那就找其它服务商替换它。
- 尽可能使用 ECC 证书,若必须使用 RSA 证书,请使用双证书。
- 使用 HSTS,如果有条件,可以加入 HSTS Preload。
- 加密协议,禁用 SSL 全系,只使用TLS,但是 TLS 1.0 也可以考虑禁用了。
- SSL 证书的签名算法,要使用 SHA-2,不要使用已经被证明有严重缺陷的 SHA-1了。
- 前向安全性,Forward Secrecy,就是说要使用 DHE 或者ECDHE 密钥交换。
- 启用 HTTP/2。
- 证书可能的话,就加上 OCSP Stapling。
还有一些不常用的技术,就暂时到这里。