HTTPS是互联网发展的必然趋势,尤其是国外网站比较明显。谷歌百度以身作则,先后全站实现HTTPS加密,并且鼓励和提倡网站实现HTTPS加密,从用户隐私信息安全、用户体验的角度出发,真正的开始把用户的安全和利益放在第一位。那么网站到底要不要做HTTPS呢?
HTTPS简介:
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单来说就是HTTP的安全版。即HTTP下加入SSL层,利用SSL创建安全通道后,可以企业官网的用户名、密码、信用卡号码等在内的信息都可以通过安全通道加密传输。
HTTP与HTTPS的区别
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
- HTTPS协议需要到ca申请ssl证书,个人网站、小网站可以选择入门级免费证书,更高级别的HTTPS证书,需要支付一定的费用,但是对企业信息安全而言,这点投入微不足道。
- HTTP是超文本传输协议,信息是明文传输,HTTPS则是具有安全性的ssl加密传输。
- HTTP和HTTPS使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
- HTTP的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。
网站做HTTPS的好处:
- 使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。
- HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP明文传输协议更安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性,从而降低用户隐私信息泄露风险。
- HTTPS是现行架构下比较安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
网站做HTTPS的优势:
- HTTPS可以防止流量劫持,尤其是全站HTTPS加密,封装所有流量加密传输,让中间人没有可乘之机。
- HTTPS是加密传输协议,比HTTP明文传输协议更安全,可以降低用户隐私信息泄露风险。
- 部署合法全球可信的HTTPS证书,浏览器地址栏会显示绿色安全锁,可以提高网站的可信度和安全感。
- 搜索引擎已经全面支持HTTPS抓取、收录,并且会优先展示HTTPS结果。
- 可以有效防止网站被恶意镜像。
- 小网站或个人网站可以申请免费HTTPS证书,如:沃通免费HTTPS证书,startssl免费证书等,网站实现HTTPS加密,几乎可以不需要什么成本。
- HTTPS是互联网发展必然趋势,国外一般以上的网站都实现了HTTPS,并且还推出了“https-only”标准,国家也高度重视网络安全,重视互联网信息安全。
网站做HTTPS的缺点:
- 相同网络环境下,HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电。此外HTTPS协议还会影响缓存,增加数据开销和功耗。
- HTTPS协议的安全是有范围的,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。也就是说HTTPS协议只能做到相对的安全。
- SSL证书的信用链体系并不安全。特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
- 成本方面,功能越强大的证书费用会比较高,而且HTTPS 连接服务器端资源占用高较高多,相同负载下会增加带宽和服务器投入成本。
网站有必要做HTTPS改造吗?
从长远的方向考虑,白天认为网站有必要做HTTPS改造的,虽然目前除了谷歌百度外的其他搜索引擎对HTTPS的支持还不够完善,但随着时间的推移,相信很快这些问题就会被解决的。
关于HTTPS搜索引擎收录的问题,博主也承认百度目前蜘蛛抓取HTTPS是有一些困难,尤其是对于突然把协议改成HTTPS协议的网站,可能会导致网站短期内出现排名下降的问题。
虽然说百度已经支持HTTPS抓取,推送也支持HTTPS了,但是毕竟支持HTTPS程序出来较晚,肯定它还有不成熟的地方,不够完善的地方,这些都需要去人为的弥补的。目前比较不错的方法是:我们可以站长平台工具设置网站HTTPS协议,而且百度搜索引擎算法是优先展示HTTPS网页的。而对于已经做了HTTP协议的再改成HTTPS协议的网站,可以尝试在站长平台反馈中心详细说明问题,相信不久就能恢复网站原有的排名。
目前百度对HTTPS的支持可以说已经相当友好,几乎与使用HTTP协议的网站收录没差别,且白天本月360站长平台也上线了一键切换HTTPS(详情请参照【 喜讯!360站长平台也支持设置HTTPS 】一文)—— 2019.9.28更新
参考资料:HTTPS
过去的今天:
- 2022: Shopify独立站配置结构化数据代码解析(0)
- 2020: 为Wordpress网站导航栏链接添加nofollow属性(0)
- 2020: 网站色调整体变灰(0)
原创文章,作者:白天,如若转载请注明出处:网站有必要做HTTPS改造吗?