近日,百度推出了全站HTTPS加密搜索服務,以此解決“第三方”對用戶隱私的嗅探和劫持。其實,早在2010年5月份,谷歌便開始提供HTTPS加密搜索服務。在HTTPS網頁的抓取問題上,百度在2014年9月份的一份公告中表示“百度不會主動抓取HTTPS網頁”,谷歌在算法更新中則表示“同等條件下,使用HTTPS加密技術的站點在搜索排名上更具優勢”。那麼,在這種大環境下,站長是否該采用“具有風險”的HTTPS協議呢?又該如何搭建HTTPS站點呢?
HTTP:是互聯網上應用最為廣泛的一種網絡協議,是一個客戶端和服務器端請求和應答的標准(TCP),用於從WWW服務器傳輸超文本到本地浏覽器的傳輸協議。它可以使浏覽器更加高效,使網絡傳輸減少。
HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。HTTPS協議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。詳情可查看:圖解HTTPS
HTTP協議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸,於是網景公司設計了SSL(Secure Sockets Layer)協議用於對HTTP協議傳輸的數據進行加密,從而就誕生了HTTPS。
HTTPS加密、加密、及驗證過程如下圖:
簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全。
HTTPS和HTTP的區別主要如下:
一、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
二、http是超文本傳輸協議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,後者是443。
四、http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。
優點:
安全性
盡管HTTPS並非絕對安全,掌握根證書的機構、掌握加密算法的組織同樣可以進行中間人形式的攻擊。但HTTPS仍是現行架構下最安全的解決方案,並且它大幅增加了中間人攻擊的成本。
網站優化
谷歌曾在2014年8月份調整搜索引擎算法,並稱“比起同等HTTP網站,采用HTTPS加密的網站在搜索結果中的排名將會更高”。
缺點:
SEO方面
據ACM CoNEXT數據顯示,使用HTTPS協議會使頁面的加載時間延長近50%,增加10%到20%的耗電。此外,HTTPS協議還會影響緩存,增加數據開銷和功耗,甚至已有安全措施也會受到影響也會因此而受到影響。
而且HTTPS協議的加密范圍也比較有限,在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什麼作用。
最關鍵的,SSL 證書的信用鏈體系並不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
經濟方面
1、SSL 證書需要錢。功能越強大的證書費用越高。個人網站、小網站沒有必要一般不會用。
2、SSL 證書通常需要綁定 IP,不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴展可以部分解決這個問題,但是比較麻煩,而且要求浏覽器、操作系統支持。Windows XP 就不支持這個擴展,考慮到 XP 的裝機量,這個特性幾乎沒用。)
3、HTTPS 連接緩存不如 HTTP 高效,大流量網站如非必要也不會采用。流量成本太高。
4、HTTPS 連接服務器端資源占用高很多,支持訪客稍多的網站需要投入更大的成本。如果全部采用 HTTPS,基於大部分計算資源閒置的假設的 VPS 的平均成本會上去。
5、HTTPS 協議握手階段比較費時,對網站的相應速度有負面影響。如非必要,沒有理由犧牲用戶體驗。
谷歌的態度
谷歌在HTTPS站點的收錄問題上與對HTTP站點態度並無什麼不同之處,甚至把“是否使用安全加密”(HTTPS)作為搜索排名算法中的一個參考因素,采用HTTPS加密技術的網站能得到更多的展示機會,排名相對同類網站的HTTP站點也更有優勢。而且谷歌曾明確表示“希望所有的站長都能將使用HTTPS協議,而非HTTP”更是表明了其對達到“HTTPS everywhere”這一目標的決心。
百度的態度
雖然百度曾表示“不會主動抓取https網頁”,但對於“很多https網頁無法被收錄”也是