网站转型HTTPS：安全与效率的完美结合

人亦已歌

网站转型HTTPS：安全与效率的完美结合

HTTPS是互联网发展的必然趋势，尤其是国外网站表现得尤为明显。谷歌百度以身作则，先后全站实现HTTPS加密，并且鼓励和提倡网站实现HTTPS加密，从用户隐私信息安全、用户体验的角度出发，真正地开始把用户的安全和利益放在首位。那么网站到底要不要做HTTPS呢？

HTTPS简介：

HTTPS(全称：Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure，超文本传输安全协议)，是以安全为目标的HTTP通道，简单来说就是HTTP的安全版。即HTTP下加入SSL层，利用SSL创建安全通道后，可以企业官网的用户名、密码、信用卡号码等在内的信息都可以通过安全通道加密传输。

HTTP与HTTPS的区别

HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。

为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下四点：

1. HTTPS协议需要到ca申请ssl证书，个人网站、小网站可以选择入门级免费证书，更高级别的HTTPS证书，需要支付一定的费用，但是对企业信息安全而言，这点投入微不足道。
2. HTTP是超文本传输协议，信息是明文传输，HTTPS则是具有安全性的ssl加密传输。
3. HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
4. HTTP的连接很简单，是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP协议安全。

网站做HTTPS的好处：

1. 使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。
2. HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比HTTP明文传输协议更安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性，从而降低用户隐私信息泄露风险。
3. HTTPS是现行架构下比较安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

网站做HTTPS的优势：

1. HTTPS可以防止流量劫持，尤其是全站HTTPS加密，封装所有流量加密传输，让中间人没有可乘之机。
2. HTTPS是加密传输协议，比HTTP明文传输协议更安全，可以降低用户隐私信息泄露风险。
3. 部署合法全球可信的HTTPS证书，浏览器地址栏会显示绿色安全锁，可以提高网站的可信度和安全感。
4. 搜索引擎已经全面支持HTTPS抓取、收录，并且会优先展示HTTPS结果。
5. 可以有效防止网站被恶意镜像。
6. 小网站或个人网站可以申请免费HTTPS证书，如：沃通免费HTTPS证书，startssl免费证书等，网站实现HTTPS加密，几乎可以不需要什么成本。
7. HTTPS是互联网发展必然趋势，国外一般以上的网站都实现了HTTPS，并且还推出了“https-only”标准，国家也高度重视网络安全，重视互联网信息安全。

网站做HTTPS的缺点：

1. 相同网络环境下，HTTPS协议会使页面的加载时间延长近50%，增加10%到20%的耗电。此外HTTPS协议还会影响缓存，增加数据开销和功耗。
2. HTTPS协议的安全是有范围的，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。也就是说HTTPS协议只能做到相对的安全。
3. SSL证书的信用链体系并不安全。特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。
4. 成本方面，功能越强大的证书费用会比较高，而且HTTPS 连接服务器端资源占用高较高多，相同负载下会增加带宽和服务器投入成本。

网站有必要做HTTPS改造吗？

从长远的方向考虑，白天认为网站有必要做HTTPS改造的，虽然目前除了谷歌百度外的其他搜索引擎对HTTPS的支持还不够完善，但随着时间的推移，相信很快这些问题就会被解决的。

关于HTTPS搜索引擎收录的问题，博主也承认百度目前蜘蛛抓取HTTPS是有一些困难，尤其是对于突然把协议改成HTTPS协议的网站，可能会导致网站短期内出现排名下降的问题。

虽然说百度已经支持HTTPS抓取，推送也支持HTTPS了，但是毕竟支持HTTPS程序出来较晚，肯定它还有不成熟的地方，不够完善的地方，这些都需要去人为的弥补的。目前比较不错的方法是：我们可以站长平台工具设置网站HTTPS协议，而且百度搜索引擎算法是优先展示HTTPS网页的。而对于已经做了HTTP协议的再改成HTTPS协议的网站，可以尝试在站长平台反馈中心详细说明问题，相信不久就能恢复网站原有的排名。

目前百度对HTTPS的支持可以说已经相当友好，几乎与使用HTTP协议的网站收录没差别，且白天本月360站长平台也上线了一键切换HTTPS—— 2019.9.28更新

参考资料：HTTPS

过去的今天:

• 2022:  Shopify独立站配置结构化数据代码解析(0)
• 2020:  为Wordpress网站导航栏链接添加nofollow属性(0)
• 2020:  网站色调整体变灰(0)