有考虑将您的网站切换到 HTTPS吗?本指南介绍了 HTTP 与 HTTPS 之间的主要区别、使用 HTTPS 的好处以及如何逐步从 HTTP 迁移到 HTTPS。但在此之前,让我们先介绍一些基础知识。
文章目录
什么是 HTTP?
HTTP 代表超文本传输协议。这是一组规则,允许网络浏览器(如 Chrome 或 Safari)与网络服务器(托管网站的计算机)进行通信。HTTP 使用请求-响应模型,当您在浏览器的地址栏中输入网站地址时,浏览器会向服务器发送请求。一旦服务器将资源传输到浏览器,它们之间的连接就会关闭。 当您导航到网站上的其他网页时,您的浏览器会根据需要建立新连接。HTTP 定义的协议是创建我们今天所知的万维网的基础。
但 HTTP 有一些明显的缺点:
HTTP 流量未加密并以纯文本形式发送。 这意味着同一网络上的任何人都可以轻松拦截和读取所有传输的数据。
无法验证或验证通过 HTTP 访问的网站的身份
HTTP 不提供防篡改保护。 攻击者可以在到达目的地之前修改数据。
通过 HTTP 访问的网站容易受到会话劫持、中间人攻击和数据泄露等威胁。
浏览器(例如 Google Chrome)还可能通过触发“不安全”页面来阻止通过 HTTP 提供的内容和 URL。HTTP 周围的安全问题为 HTTPS 打开了大门。
什么是 HTTPS?
HTTPS(安全超文本传输协议)是添加了加密的 HTTP 安全版本。HTTPS 使用加密连接在服务器和浏览器之间进行通信。HTTPS 中使用的这种加密技术称为安全套接字层 (SSL) 和传输层安全 (TLS) 证书。地址栏旁边的挂锁图标表示与网站的 HTTPS 连接受到有效 SSL/TLS 证书的保护。
SSL/TLS 证书包含公共和私有加密密钥,以确保浏览器和网站之间的数据传输安全。证书中包含的加密密钥对浏览器和服务器之间的通信进行加密,以防止未经授权的访问。 这可以防止黑客访问您的信息。SSL/TLS 证书的机制包括:
加密:证书包含使用 SSL/TLS 协议对浏览器和服务器之间的通信进行加密的密钥。 这可以防止第三方访问传输中的数据。
身份验证:证书验证网站的身份。 访问者可以验证他们正在与合法网站而不是虚假网站进行通信。
数据完整性:由证书启用的加密连接可防止传输过程中数据被篡改
这些机制允许 SSL/TLS 证书通过加密与网站的通信来保护用户数据和活动。TLS 是 SSL 的升级版本,是 SSL 证书的更现代、更安全的版本。
SSL/TLS 认证的类型有哪些?
SSL/TLS 证书分为三种类型:域验证 (DV)、组织验证 (OV) 和扩展验证 (EV) 证书。SSL/TLS 证书还可以根据其覆盖的域数量进行分类:
单一域名:保护一个域名
通配符:保护基本域的无限数量的子域
多域名:保护多个不同的域名
证书由证书颁发机构 (CA) 颁发和验证,以验证网站身份。您可以通过单击挂锁然后单击“连接是安全的”来检查网站的证书。
HTTP 与 HTTPS 之间有什么区别?
HTTP 和 HTTPS 之间的主要区别在于 HTTP 允许在 Web 上传输数据,但 HTTPS 通过 SSL/TLS 添加加密以保护浏览器和服务器之间的连接。这种加密会扰乱通信,以防止未经授权访问密码、个人信息或信用卡等敏感数据。另一方面,HTTP 以纯文本形式发送数据,不进行加密、身份验证或完整性检查。您的数据是公开发送的,其他人可以读取。所以,HTTP 就像发送一张明信片——任何人都可以阅读。 HTTPS 就像在密封的信封中发送一封信,只有发件人和收件人才能阅读。
在网站上使用 HTTPS 有什么好处?
让我们看一下在网站上使用 HTTPS 的主要好处:
数据安全:HTTPS 对浏览器和服务器之间的所有通信进行加密,防止密码、信用卡或个人详细信息等敏感用户信息在来回传输时被拦截
防范网络威胁:HTTPS 身份验证有助于防止针对未加密连接的常见威胁,例如网络钓鱼和中间人攻击。
建立用户信任:挂锁图标表示存在安全连接。 用户感觉在受 HTTPS 保护的网站上输入数据和交互更加安全。
提高 SEO 排名:切换到 HTTPS 可以提高网站的 SEO 排名,因为 Google 在搜索结果中更喜欢 HTTPS 网站而不是纯 HTTP
如何将您的网站切换到HTTPS?
以下是从不安全的 HTTP 迁移到加密的 HTTPS 的分步指南:
1. 购买SSL证书
首先,根据网站流量和数据敏感性决定您需要的证书类型。您的选项包括域验证 (DV)、组织验证 (OV)、扩展验证 (EV)。请记住,SSL/TLS 证书还可以根据其覆盖的域数量进行分类。如果您有单域网站(例如 example.com),单域证书就足够了。如果您的网站具有 blog.example.com 或 store.example.com 等子域,您可能需要通配符证书来保护基本域和所有子域。
如果您有多个单独的域(例如 example.com 和 exampleshop.com),则需要多域证书来覆盖所有域。您可以通过 DigiCert 或 Comodo 等证书颁发机构购买 SSL 证书。许多网络托管公司(如 GoDaddy 或 Namecheap)出售 SSL 证书或将免费 SSL 证书包含在其托管计划中。但是,如果您从第三方供应商购买证书,请彻底研究。
2. 安装 SSL 证书并创建全站 301 重定向
获得 SSL 证书后,请与您的网络托管提供商合作将其安装在您的网站上。大多数托管公司都会有有关在其平台上激活 SSL 证书的文档。 或者您可以联系他们的支持团队来帮助您激活。但安装后 HTTP URL 不会自动重定向到 HTTPS URL。您需要通过您的网络托管、编辑站点的 .htaccess 文件或通过诸如Really Simple SSL 之类的 WordPress 插件来实现从 HTTP 到 HTTPS URL 的站点范围 301 重定向。创建重定向后,请验证浏览器栏中是否显示挂锁图标以及连接是否安全。
3. 检查任何 HTTPS 实施问题
当您的网站从 HTTP 迁移到 HTTPS 时,内部链接不会自动从 HTTP 切换到 HTTPS。任何指向旧 HTTP URL 的内部链接都可能导致 HTTP 状态代码错误,例如 404(未找到页面)。因此,最好仔细检查内部链接和资源(例如图像、CSS 和 JavaScript 文件)是否通过 HTTPS 安全加载,并在需要时创建 301 重定向。
4. 更新您的站点地图
搜索引擎需要了解您的新 HTTPS URL,以便正确对您的安全网站进行索引和排名。因此,迁移到 HTTPS 后,生成包含更新的 HTTPS URL 的新 XML 站点地图,并将其提交给搜索引擎进行索引。例如,如果您使用的是 Google Search Console (GSC),请前往屏幕左侧的“站点地图”选项卡。在提供的字段中输入站点地图 URL,然后单击“提交”按钮。
GSC 现在可以显示整个域名的数据,而不仅仅是单独版本的域名。过去,您必须在 GSC 中分别验证网站的 HTTP、HTTPS、www 和非 www 版本。 这使得您很难全面了解自然搜索性能。域属性功能可让您一起验证和查看整个域的数据,让您全面了解 Google 如何看待您的网站。
HTTP 与 HTTPS:您应该选择哪一个?
HTTP 现在被认为对于网站来说已经过时且不安全。默认情况下,所有站点都应使用 HTTPS 加密,即使它们不处理敏感信息。未能从 HTTP 切换会暴露您的网站和用户。 如果没有它,访问者可能会犹豫是否要在您的网站上分享信息或购买产品。