HTTP和HTTPS的基本概念
HTTP:是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議,是一個客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)(TCP),用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議。它可以使瀏覽器更加高效,使網(wǎng)絡(luò)傳輸減少。
HTTPS:是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細內(nèi)容就需要SSL。HTTPS協(xié)議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認網(wǎng)站的真實性。詳情可查看:圖解HTTPS
HTTP與HTTPS有什么區(qū)別?
HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的,也就是明文的,因此使用HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸,于是網(wǎng)景公司設(shè)計了SSL(Secure Sockets Layer)協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進行加密,從而就誕生了HTTPS。
HTTPS加密、加密、及驗證過程如下圖:
簡單來說,HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,要比http協(xié)議安全。
HTTPS和HTTP的區(qū)別主要如下:
一、https協(xié)議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
二、http是超文本傳輸協(xié)議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協(xié)議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
四、http的連接很簡單,是無狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全。
更多關(guān)于HTTPS信息可查看:
HTTPS利與弊
優(yōu)點:
SEO方面
谷歌曾在2014年8月份調(diào)整搜索引擎算法,并稱“比起同等HTTP網(wǎng)站,采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會更高”。
安全性
盡管HTTPS并非絕對安全,掌握根證書的機構(gòu)、掌握加密算法的組織同樣可以進行中間人形式的攻擊。但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案,主要有以下幾個好處:
1)使用HTTPS協(xié)議可認證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器;
2)HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,要比http協(xié)議安全,可防止數(shù)據(jù)在傳輸過程中不被竊取、改變,確保數(shù)據(jù)的完整性。
3)HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
缺點:
SEO方面
據(jù)ACM CoNEXT數(shù)據(jù)顯示,使用HTTPS協(xié)議會使頁面的加載時間延長近50%,增加10%到20%的耗電。此外,HTTPS協(xié)議還會影響緩存,增加數(shù)據(jù)開銷和功耗,甚至已有安全措施也會受到影響也會因此而受到影響。
而且HTTPS協(xié)議的加密范圍也比較有限,在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。
最關(guān)鍵的,SSL 證書的信用鏈體系并不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
經(jīng)濟方面
1、SSL 證書需要錢。功能越強大的證書費用越高。個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。
2、SSL 證書通常需要綁定 IP,不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴展可以部分解決這個問題,但是比較麻煩,而且要求瀏覽器、操作系統(tǒng)支持。Windows XP 就不支持這個擴展,考慮到 XP 的裝機量,這個特性幾乎沒用。)
3、HTTPS 連接緩存不如 HTTP 高效,大流量網(wǎng)站如非必要也不會采用。流量成本太高。
4、HTTPS 連接服務(wù)器端資源占用高很多,支持訪客稍多的網(wǎng)站需要投入更大的成本。如果全部采用 HTTPS,基于大部分計算資源閑置的假設(shè)的 VPS 的平均成本會上去。
5、HTTPS 協(xié)議握手階段比較費時,對網(wǎng)站的相應(yīng)速度有負面影響。如非必要,沒有理由犧牲用戶體驗。
搜索引擎對HTTPS的態(tài)度
谷歌的態(tài)度
谷歌在HTTPS站點的收錄問題上與對HTTP站點態(tài)度并無什么不同之處,甚至把“是否使用安全加密”(HTTPS)作為搜索排名算法中的一個參考因素,采用HTTPS加密技術(shù)的網(wǎng)站能得到更多的展示機會,排名相對同類網(wǎng)站的HTTP站點也更有優(yōu)勢。而且谷歌曾明確表示“希望所有的站長都能將使用HTTPS協(xié)議,而非HTTP”更是表明了其對達到“HTTPS everywhere”這一目標(biāo)的決心。
百度的態(tài)度
雖然百度曾表示“不會主動抓取https網(wǎng)頁”,但對于“很多https網(wǎng)頁無法被收錄”也是“耿耿于懷”。去年9月份,百度曾就“https站點如何建設(shè)才能對百度友好”問題發(fā)布了一篇文章,給出了“提高https站點的百度友好度”的四項建議及具體操作。
此外,近日的“百度全站HTTPS加密搜索”事件也再次彰顯了百度對HTTPS加密的重視。可見,百度并不“反感”HTTPS站點,所以“不主動抓取”應(yīng)該也只是暫時的吧。
我的網(wǎng)站是否需要采用HTTPS加密?
雖然谷歌和百度都對HTTPS“另眼相看”,但這并不意味著站長們都應(yīng)該把網(wǎng)站協(xié)議轉(zhuǎn)換成HTTPS!
早在去年9月份,Moz就針對“采用HTTPS協(xié)議”展開了一項調(diào)查,結(jié)果如下圖:
- 注:調(diào)查開展時間在谷歌宣布“使用HTTPS協(xié)議的網(wǎng)站可以獲得更好的排名”后
如上圖所示,在此項調(diào)查中,17.24%的站長表示其網(wǎng)站已采用HTTPS協(xié)議;24.9%的站長表示正在搭建中;57.85%的站長表示目前仍無此項計劃。從這些數(shù)據(jù)可以看出,當(dāng)時大部分的站長還是沒有選擇使用HTTPS協(xié)議,那么站長們到底該不該選擇有利有弊的HTTPS協(xié)議呢?
從這些數(shù)據(jù)可以看出,當(dāng)時大部分的站長還是沒有選擇使用HTTPS協(xié)議,那么站長們到底該不該選擇有利有弊的HTTPS協(xié)議呢?
首先說說谷歌方面,雖然谷歌不斷強調(diào)“使用HTTPS加密技術(shù)的網(wǎng)站能獲得更好的排名”,但也不能排除這是“別有用心”之舉。
國外分析師就曾針對這一問題表示:
谷歌之所以做出這一舉動(更新算法,將是否采用HTTPS加密技術(shù)作為搜索引擎排名的的一個參考因素)也許并非是為了提高用戶的搜索體驗和互聯(lián)網(wǎng)安全問題,只是為了挽回在“棱鏡門”丑聞中的“損失”。這是一個典型的打著“犧牲小我”旗號的利我之舉。高舉“安全影響排名”旗幟、高呼“HTTPS everywhere”口號,然后不費吹灰之力讓廣大站長們心甘情愿的投入HTTPS協(xié)議陣營。
然后是百度方面,雖然百度宣布全站進入HTTPS加密搜索時代,但至今仍“不會主動抓取HTTPS頁面”,也從未就“未來是否會調(diào)整算法”問題表過態(tài)。如果站長在采用HTTPS協(xié)議后仍需制作個“http可訪問版”、或是通過301重定向“自動跳入https版本”。那么,采用HTTPS協(xié)議的代價就不再只是多花money的問題了。
在思考“到底該不該采用HTTPS協(xié)議”這個問題時,多考慮考慮怎樣做對你的用戶更友好吧!
如果你的網(wǎng)站屬于電子商務(wù)、金融、社交網(wǎng)絡(luò)等領(lǐng)域的話,那最好是采用HTTPS協(xié)議;如果是博客站點、宣傳類網(wǎng)站、分類信息網(wǎng)站、或者是新聞網(wǎng)站之類的話,大可不必跟風(fēng)而行,畢竟HTTPS協(xié)議不僅耗錢,浪費精力,而且暫時也不利于網(wǎng)站的SEO工作。詳情可查看:我到底該不該用“影響搜索排名”的HTTPS?
站長如何搭建HTTPS站點
說到HTTPS站點的搭建,就不得不提到SSL協(xié)議。SSL是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議。它是在傳輸通信協(xié)議(TCP/IP)上實現(xiàn)的一種安全協(xié)議,采用公開密鑰技術(shù)。SSL廣泛支持各種類型的網(wǎng)絡(luò),同時提供三種基本的安全服務(wù),它們都使用公開密鑰技術(shù)。
SSL的作用:
1)認證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器;
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??;
3)維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。
而SSL證書指的是在SSL通信中驗證通信雙方身份的數(shù)字文件,一般分為服務(wù)器證書和客戶端證書,我們通常說的SSL證書主要指服務(wù)器證書。SSL證書由受信任的數(shù)字證書頒發(fā)機構(gòu)CA(如VeriSign,GlobalSign,WoSign等),在驗證服務(wù)器身份后頒發(fā),具有服務(wù)器身份驗證和數(shù)據(jù)傳輸加密功能。分為擴展驗證型(EV)SSL證書、組織驗證型(OV)SSL證書、和域名驗證型(DV)SSL證書。
SSL證書申請的3個主要步驟:
1、制作CSR文件。
所謂CSR就是由申請人制作的Certificate Secure Request證書請求文件。制作過程中,系統(tǒng)會產(chǎn)生2個密鑰,一個是公鑰就是這個CSR文件,另外一個是私鑰,存放在服務(wù)器上。要制作CSR文件,申請人可以參考WEB SERVER的文檔,一般APACHE等,使用OPENSSL命令行來生成KEY+CSR2個文件,Tomcat,JBoss,Resin等使用KEYTOOL來生成JKS和CSR文件,IIS通過向?qū)Ы⒁粋€掛起的請求和一個CSR文件。
2、CA認證。
將CSR提交給CA,CA一般有2種認證方式:
1)域名認證:一般通過對管理員郵箱認證的方式,這種方式認證速度快,但是簽發(fā)的證書中沒有企業(yè)的名稱;
2)企業(yè)文檔認證:需要提供企業(yè)的營業(yè)執(zhí)照。一般需要3-5個工作日。
也有需要同時認證以上2種方式的證書,叫EV證書,這種證書可以使IE7以上的瀏覽器地址欄變成綠色,所以認證也最嚴格。
3、證書的安裝。
在收到CA的證書后,可以將證書部署上服務(wù)器,一般APACHE文件直接將KEY+CER復(fù)制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要將CA簽發(fā)的證書CER文件導(dǎo)入JKS文件后,復(fù)制上服務(wù)器,然后修改SERVER.XML;IIS需要處理掛起的請求,將CER文件導(dǎo)入。
免費證書推薦
使用SSL證書不僅能讓信息的安全性更有保障,還可以提高用戶對于網(wǎng)站的信任度。但鑒于對建站成本的考慮,很多站長對其望而卻步。在網(wǎng)絡(luò)上免費始終是一個永遠不過時的市場,主機空間有免費的,而SSL證書自然也有免費的,此前,便有消息稱,Mozilla、思科、Akamai、IdenTrust、EFF、以及密歇根大學(xué)的研究人員將開啟Let’s Encrypt CA項目,計劃從今夏開始,為網(wǎng)站提供免費SSL證書以及證書管理服務(wù)(注:如需更高級的復(fù)雜證書,則需付費)。同時,還降低了證書安裝的復(fù)雜程度,安裝時間僅需20-30秒。
而需要復(fù)雜證書的往往是大中型網(wǎng)站,諸如個人博客之類的小型站點完全可以先嘗試免費SSL證書。如果想要購買低價SSL證書可查看站長之家之前發(fā)布的文章:如何購買廉價SSL證書?。
下面再介紹幾款免費SSL證書:CloudFlare SSL、StartSSL、Wosign沃通SSL、NameCheap等。
CloudFlare SSL:
CloudFlare是美國一家提供CDN服務(wù)的網(wǎng)站,在世界各地都有自己的CDN服務(wù)器節(jié)點,國內(nèi)外很多大型公司或者網(wǎng)站都在使用CloudFlare的CDN服務(wù),當(dāng)然國內(nèi)站長最常用的就是CloudFlare的免費CDN,加速也很好。CloudFlare提供的免費SSL證書是UniversalSSL,即通用SSL,用戶無需向證書發(fā)放機構(gòu)申請和配置證書就可以使用的SSL證書,CloudFlare向所有用戶(包括免費用戶)提供SSL加密功能,web界面5分鐘內(nèi)就設(shè)置好證書,24小時內(nèi)完成自動部署,為網(wǎng)站的流量提供基于橢圓曲線數(shù)字簽名算法(ECDSA)的TLS加密服務(wù)。
具體申請、使用可查看以下教程:
StartSSL:
StartSSL是StartCom公司旗下的SSL證書,提供免費SSL證書服務(wù),且StartSSL被包括Chrome、Firefox、IE在內(nèi)的主流瀏覽器支持,幾乎所有的主流瀏覽器都可以正常識別StartSSL,任何個人都可以從StartSSL中申請到免費一年的SSL證書。
具體申請、使用可查看以下教程:
Wosign沃通SSL:
Wosign沃通是國內(nèi)一家提供SSL證書服務(wù)的網(wǎng)站,其免費的SSL證書申請比較簡單,在線開通,一個SSL證書只能對應(yīng)一個域名,支持證書狀態(tài)在線查詢協(xié)議(OCSP)。
具體申請、使用可查看以下教程:
NameCheap:
NameCheap是一家領(lǐng)先的ICANN認可的域名注冊和網(wǎng)站托管公司,成立于2000年。該公司提供免費DNS解析,網(wǎng)址轉(zhuǎn)發(fā)(可隱藏原URL,支持301重定向)等服務(wù)。此外,NameCheap還提供了一年的SSL證書免費服務(wù)。
具體申請、使用可查看以下教程:
HTTPS站點搭建教程
從商業(yè)機構(gòu)到政府部門再到個人家庭,越來越多的用戶使用網(wǎng)絡(luò)來處理事務(wù),交流信息和進行交易活動,這些都不可避免地涉及到網(wǎng)絡(luò)安全問題,尤其是認證和加密問題。特別是在網(wǎng)上進行購物交易活動中,必須保證交易雙方能夠互相確認身份,安全地傳輸敏感信息,事后不能否認交易行為,同時還要防止他人截獲篡改寶貴信息或假冒交易方。
那么,我們該如何提高站點信息的安全性呢?目前最簡單的解決方案就是利用SSL安全技術(shù)來實現(xiàn)WEB的安全訪問。
詳細的HTTPS站點搭建教程、以及相關(guān)問題可查看以下文章:
HTTPS站點SEO問題可查看:
結(jié)語
雖然谷歌和百度都對HTTPS“另眼相看”,但這并不意味著站長們都應(yīng)該把網(wǎng)站協(xié)議轉(zhuǎn)換成HTTPS!一般來說,如果網(wǎng)站類型屬于電子商務(wù)、金融、社交網(wǎng)絡(luò)等領(lǐng)域的話,采用HTTPS協(xié)議自然是更好的;如果是個人博客、宣傳類網(wǎng)站、資訊信息網(wǎng)站、或者是新聞網(wǎng)站之類的話,則可不必跟風(fēng)而行,畢竟采用HTTPS協(xié)議不僅耗錢,浪費精力,而且在一定程度上,也不利于網(wǎng)站的SEO工作??偠灾形鹈つ扛L(fēng),如果你也有“到底該不該采用HTTPS協(xié)議”這個疑問的話,那就想想怎樣做對你的用戶更友好吧!