HTTP和HTTPS的基本概念
HTTP:是互聯網上應用最為廣泛的一種網絡協議,是一個客戶端和服務器端請求和應答的標准(TCP),用於從WWW服務器傳輸超文本到本地浏覽器的傳輸協議。它可以使浏覽器更加高效,使網絡傳輸減少。
HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。HTTPS協議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。詳情可查看:圖解HTTPS
HTTP與HTTPS有什麼區別?
HTTP協議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸,於是網景公司設計了SSL(Secure Sockets Layer)協議用於對HTTP協議傳輸的數據進行加密,從而就誕生了HTTPS。
HTTPS加密、加密、及驗證過程如下圖:
簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全。
HTTPS和HTTP的區別主要如下:
一、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
二、http是超文本傳輸協議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,後者是443。
四、http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。
更多關於HTTPS信息可查看:
HTTPS協議要比HTTP多用多少服務器資源?
HTTPS的七個誤解
HTTPS利與弊
優點:
SEO方面
谷歌曾在2014年8月份調整搜索引擎算法,並稱“比起同等HTTP網站,采用HTTPS加密的網站在搜索結果中的排名將會更高”。
安全性
盡管HTTPS並非絕對安全,掌握根證書的機構、掌握加密算法的組織同樣可以進行中間人形式的攻擊。但HTTPS仍是現行架構下最安全的解決方案,主要有以下幾個好處:
1)使用HTTPS協議可認證用戶和服務器,確保數據發送到正確的客戶機和服務器;
2)HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全,可防止數據在傳輸過程中不被竊取、改變,確保數據的完整性。
3)HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
缺點:
SEO方面
據ACM CoNEXT數據顯示,使用HTTPS協議會使頁面的加載時間延長近50%,增加10%到20%的耗電。此外,HTTPS協議還會影響緩存,增加數據開銷和功耗,甚至已有安全措施也會受到影響也會因此而受到影響。
而且HTTPS協議的加密范圍也比較有限,在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什麼作用。
最關鍵的,SSL 證書的信用鏈體系並不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
經濟方面
1、SSL 證書需要錢。功能越強大的證書費用越高。個人網站、小網站沒有必要一般不會用。
2、SSL 證書通常需要綁定 IP,不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴展可以部分解決這個問題,但是比較麻煩,而且要求浏覽器、操作系統支持。Windows XP 就不支持這個擴展,考慮到 XP 的裝機量,這個特性幾乎沒用。)
3、HTTPS 連接緩存不如 HTTP 高效,大流量網站如非必要也不會采用。流量成本太高。
4、HTTPS 連接服務器端資源占用高很多,支持訪客稍多的網站需要投入更大的成本。如果全部采用 HTTPS,基於大部分計算資源閒置的假設的 VPS 的平均成本會上去。
5、HTTPS 協議握手階段比較費時,對網站的相應速度有負面影響。如非必要,沒有理由犧牲用戶體驗。
搜索引擎對HTTPS的態度
谷歌的態度
谷歌在HTTPS站點的收錄問題上與對HTTP站點態度並無什麼不同之處,甚至把“是否使用安全加密”(HTTPS)作為搜索排名算法中的一個參考因素,采用HTTPS加密技術的網站能得到更多的展示機會,排名相對同類網站的HTTP站點也更有優勢。而且谷歌曾明確表示“希望所有的站長都能將使用 HTTPS協議,而非HTTP”更是表明了其對達到“HTTPS everywhere”這一目標的決心。
百度的態度
雖然百度曾表示“不會主動抓取https網頁”,但對於“很多https網頁無法被收錄”也是“耿耿於懷”。去年9月份,百度曾就“https站點如何建設才能對百度友好”問題發布了一篇文章,給出了“提高https站點的百度友好度”的四項建議及具體操作。
此外,近日的“百度全站HTTPS加密搜索”事件也再次彰顯了百度對HTTPS加密的重視。可見,百度並不“反感”HTTPS站點,所以“不主動抓取”應該也只是暫時的吧。
我的網站是否需要采用HTTPS加密?
雖然谷歌和百度都對HTTPS“另眼相看”,但這並不意味著站長們都應該把網站協議轉換成HTTPS!
早在去年9月份,Moz就針對“采用HTTPS協議”展開了一項調查,結果如下圖:
注:調查開展時間在谷歌宣布“使用HTTPS協議的網站可以獲得更好的排名”後
如上圖所示,在此項調查中,17.24%的站長表示其網站已采用HTTPS協議;24.9%的站長表示正在搭建中;57.85%的站長表示目前仍無此項計劃。從這些數據可以看出,當時大部分的站長還是沒有選擇使用HTTPS協議,那麼站長們到底該不該選擇有利有弊的HTTPS協議呢?
從這些數據可以看出,當時大部分的站長還是沒有選擇使用HTTPS協議,那麼站長們到底該不該選擇有利有弊的HTTPS協議呢?
首先說說谷歌方面,雖然谷歌不斷強調“使用HTTPS加密技術的網站能獲得更好的排名”,但也不能排除這是“別有用心”之舉。
國外分析師就曾針對這一問題表示:
谷歌之所以做出這一舉動(更新算法,將是否采用HTTPS加密技術作為搜索引擎排名的的一個參考因素)也許並非是為了提高用戶的搜索體驗和互聯網安全問題,只是為了挽回在“稜鏡門”丑聞中的“損失”。這是一個典型的打著“犧牲小我”旗號的利我之舉。高舉“安全影響排名”旗幟、高呼“HTTPS everywhere”口號,然後不費吹灰之力讓廣大站長們心甘情願的投入HTTPS協議陣營。
然後是百度方面,雖然百度宣布全站進入HTTPS加密搜索時代,但至今仍“不會主動抓取HTTPS頁面”,也從未就“未來是否會調整算法”問題表過態。如果站長在采用HTTPS協議後仍需制作個“http可訪問版”、或是通過301重定向“自動跳入https版本”。那麼,采用HTTPS協議的代價就不再只是多花money的問題了。
在思考“到底該不該采用HTTPS協議”這個問題時,多考慮考慮怎樣做對你的用戶更友好吧!
如果你的網站屬於電子商務、金融、社交網絡等領域的話,那最好是采用HTTPS協議;如果是博客站點、宣傳類網站、分類信息網站、或者是新聞網站之類的話,大可不必跟風而行,畢竟HTTPS協議不僅耗錢,浪費精力,而且暫時也不利於網站的SEO工作。詳情可查看:我到底該不該用“影響搜索排名”的HTTPS?
站長如何搭建HTTPS站點
說到HTTPS站點的搭建,就不得不提到SSL協議。SSL是Netscape公司率先采用的網絡安全協議。它是在傳輸通信協議(TCP/IP)上實現的一種安全協議,采用公開密鑰技術。SSL廣泛支持各種類型的網絡,同時提供三種基本的安全服務,它們都使用公開密鑰技術。
SSL的作用:
1)認證用戶和服務器,確保數據發送到正確的客戶機和服務器;
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
而SSL證書指的是在SSL通信中驗證通信雙方身份的數字文件,一般分為服務器證書和客戶端證書,我們通常說的SSL證書主要指服務器證書。SSL 證書由受信任的數字證書頒發機構CA(如VeriSign,GlobalSign,WoSign等),在驗證服務器身份後頒發,具有服務器身份驗證和數據傳輸加密功能。分為擴展驗證型(EV)SSL證書、組織驗證型(OV)SSL證書、和域名驗證型(DV)SSL證書。
SSL證書申請的3個主要步驟:
1、制作CSR文件。
所謂CSR就是由申請人制作的Certificate Secure Request證書請求文件。制作過程中,系統會產生2個密鑰,一個是公鑰就是這個CSR文件,另外一個是私鑰,存放在服務器上。要制作CSR文件,申請人可以參考WEB SERVER的文檔,一般APACHE等,使用OPENSSL命令行來生成KEY+CSR2個文件,Tomcat,JBoss,Resin等使用 KEYTOOL來生成JKS和CSR文件,IIS通過向導建立一個掛起的請求和一個CSR文件。
2、CA認證。
將CSR提交給CA,CA一般有2種認證方式:
1)域名認證:一般通過對管理員郵箱認證的方式,這種方式認證速度快,但是簽發的證書中沒有企業的名稱;
2)企業文檔認證:需要提供企業的營業執照。一般需要3-5個工作日。
也有需要同時認證以上2種方式的證書,叫EV證書,這種證書可以使IE7以上的浏覽器地址欄變成綠色,所以認證也最嚴格。
3、證書的安裝。
在收到CA的證書後,可以將證書部署上服務器,一般APACHE文件直接將KEY+CER復制到文件上,然後修改HTTPD.CONF文件;TOMCAT等,需要將CA簽發的證書CER文件導入JKS文件後,復制上服務器,然後修改SERVER.XML;IIS需要處理掛起的請求,將 CER文件導入。
免費證書推薦
使用SSL證書不僅能讓信息的安全性更有保障,還可以提高用戶對於網站的信任度。但鑒於對建站成本的考慮,很多站長對其望而卻步。在網絡上免費始終是一個永遠不過時的市場,主機空間有免費的,而SSL證書自然也有免費的,此前,便有消息稱,Mozilla、思科、Akamai、IdenTrust、 EFF、以及密歇根大學的研究人員將開啟Let’s Encrypt CA項目,計劃從今夏開始,為網站提供免費SSL證書以及證書管理服務(注:如需更高級的復雜證書,則需付費)。同時,還降低了證書安裝的復雜程度,安裝時間僅需20-30秒。
而需要復雜證書的往往是大中型網站,諸如個人博客之類的小型站點完全可以先嘗試免費SSL證書。如果想要購買低價SSL證書可查看站長之家之前發布的文章:如何購買廉價SSL證書? 。
下面再介紹幾款免費SSL證書:CloudFlare SSL、StartSSL、Wosign沃通SSL、NameCheap等。
CloudFlare SSL:
CloudFlare是美國一家提供CDN服務的網站,在世界各地都有自己的CDN服務器節點,國內外很多大型公司或者網站都在使用 CloudFlare的CDN服務,當然國內站長最常用的就是CloudFlare的免費CDN,加速也很好。CloudFlare提供的免費SSL證書是UniversalSSL,即通用SSL,用戶無需向證書發放機構申請和配置證書就可以使用的SSL證書,CloudFlare向所有用戶(包括免費用戶)提供SSL加密功能,web界面5分鐘內就設置好證書,24小時內完成自動部署,為網站的流量提供基於橢圓曲線數字簽名算法(ECDSA)的TLS加密服務。
具體申請、使用可查看以下教程:
CloudFlare SSL申請開通和安裝使用
StartSSL:
StartSSL是StartCom公司旗下的SSL證書,提供免費SSL證書服務,且StartSSL被包括Chrome、Firefox、IE 在內的主流浏覽器支持,幾乎所有的主流浏覽器都可以正常識別StartSSL,任何個人都可以從StartSSL中申請到免費一年的SSL證書。
具體申請、使用可查看以下教程:
Startssl SSL 證書申請圖解
Wosign沃通SSL:
Wosign沃通是國內一家提供SSL證書服務的網站,其免費的SSL證書申請比較簡單,在線開通,一個SSL證書只能對應一個域名,支持證書狀態在線查詢協議(OCSP)。
具體申請、使用可查看以下教程:
CloudFlare SSL和Wosign沃通SSL申請開通和安裝使用
WoSign沃通SSL證書免費申請及賬戶設置教程
NameCheap:
NameCheap是一家領先的ICANN認可的域名注冊和網站托管公司,成立於2000年。該公司提供免費DNS解析,網址轉發(可隱藏原URL,支持301重定向)等服務。此外,NameCheap還提供了一年的SSL證書免費服務。
具體申請、使用可查看以下教程:
在Nginx上配置NameCheap免費SSL
HTTPS站點搭建教程
從商業機構到政府部門再到個人家庭,越來越多的用戶使用網絡來處理事務,交流信息和進行交易活動,這些都不可避免地涉及到網絡安全問題,尤其是認證和加密問題。特別是在網上進行購物交易活動中,必須保證交易雙方能夠互相確認身份,安全地傳輸敏感信息,事後不能否認交易行為,同時還要防止他人截獲篡改寶貴信息或假冒交易方。
那麼,我們該如何提高站點信息的安全性呢?目前最簡單的解決方案就是利用SSL安全技術來實現WEB的安全訪問。
詳細的HTTPS站點搭建教程、以及相關問題可查看以下文章:
windows server 2003中IIS6.0 搭配https本地測試環境
HTTPS站點搭建教程:Win7/Windows Server 2008R2
如何將HTTP站點轉換成HTTPS、及後續問題
資深網管教你如何打造SSL加密的HTTPS站點
HTTPS站點SEO問題可查看:
HTTPS 網站對百度和谷歌SEO有影響嗎?
https站點如何建設才能提高對百度友好度?
站點采用HTTPS協議的利弊分析、及SEO建議
結語
雖然谷歌和百度都對HTTPS“另眼相看”,但這並不意味著站長們都應該把網站協議轉換成HTTPS!一般來說,如果網站類型屬於電子商務、金融、社交網絡等領域的話,采用HTTPS協議自然是更好的;如果是個人博客、宣傳類網站、資訊信息網站、或者是新聞網站之類的話,則可不必跟風而行,畢竟采用HTTPS協議不僅耗錢,浪費精力,而且在一定程度上,也不利於網站的SEO工作。總而言之,切勿盲目跟風,如果你也有“到底該不該采用HTTPS協議”這個疑問的話,那就想想怎樣做對你的用戶更友好吧!