近日,百度推出了全站HTTPS加密搜索服務(wù),以此解決“第三方”對用戶隱私的嗅探和劫持。其實,早在2010年5月份,谷歌便開始提供HTTPS加密搜索服務(wù)。在HTTPS網(wǎng)頁的抓取問題上,百度在2014年9月份的一份公告中表示“百度不會主動抓取HTTPS網(wǎng)頁”,谷歌在算法更新中則表示“同等條件下,使用HTTPS加密技術(shù)的站點在搜索排名上更具優(yōu)勢”。那么,在這種大環(huán)境下,站長是否該采用“具有風(fēng)險”的HTTPS協(xié)議呢?又該如何搭建HTTPS站點呢?
關(guān)于HTTP和HTTPS
HTTP:是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議,是一個客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)(TCP),用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議。它可以使瀏覽器更加高效,使網(wǎng)絡(luò)傳輸減少。
HTTPS:是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。HTTPS協(xié)議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認(rèn)網(wǎng)站的真實性。
HTTP與HTTPS有什么區(qū)別?
HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的,也就是明文的,因此使用HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸,于是網(wǎng)景公司設(shè)計了SSL(Secure Sockets Layer)協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密,從而就誕生了HTTPS。
HTTPS加密、加密、及驗證過程如下圖:
簡單來說,HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,要比http協(xié)議安全。
HTTPS和HTTP的區(qū)別主要如下:
一、https協(xié)議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
二、http是超文本傳輸協(xié)議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協(xié)議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
四、http的連接很簡單,是無狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全。
HTTPS利與弊
優(yōu)點:
安全性
盡管HTTPS并非絕對安全,掌握根證書的機構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊。但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案,并且它大幅增加了中間人攻擊的成本。
網(wǎng)站優(yōu)化
谷歌曾在2014年8月份調(diào)整搜索引擎算法,并稱“比起同等HTTP網(wǎng)站,采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會更高”。
缺點:
SEO方面
據(jù)ACM CoNEXT數(shù)據(jù)顯示,使用HTTPS協(xié)議會使頁面的加載時間延長近50%,增加10%到20%的耗電。此外,HTTPS協(xié)議還會影響緩存,增加數(shù)據(jù)開銷和功耗,甚至已有安全措施也會受到影響也會因此而受到影響。
而且HTTPS協(xié)議的加密范圍也比較有限,在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。
最關(guān)鍵的,SSL證書的信用鏈體系并不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
經(jīng)濟方面
1、SSL證書需要錢。功能越強大的證書費用越高。個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。
2、SSL證書通常需要綁定 IP,不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗。( SSL 有擴展可以部分解決這個問題,但是比較麻煩,而且要求瀏覽器、操作系統(tǒng)支持。Windows XP 就不支持這個擴展,考慮到 XP 的裝機量,這個特性幾乎沒用。)
3、HTTPS 連接緩存不如 HTTP 高效,大流量網(wǎng)站如非必要也不會采用。流量成本太高。
4、HTTPS 連接服務(wù)器端資源占用高很多,支持訪客稍多的網(wǎng)站需要投入更大的成本。如果全部采用 HTTPS,基于大部分計算資源閑置的假設(shè)的 VPS 的平均成本會上去。
5、HTTPS 協(xié)議握手階段比較費時,對網(wǎng)站的相應(yīng)速度有負(fù)面影響。如非必要,沒有理由犧牲用戶體驗。
谷歌的態(tài)度
谷歌在HTTPS站點的收錄問題上與對HTTP站點態(tài)度并無什么不同之處,甚至把“是否使用安全加密”(HTTPS)作為搜索排名算法中的一個參考因素,采用HTTPS加密技術(shù)的網(wǎng)站能得到更多的展示機會,排名相對同類網(wǎng)站的HTTP站點也更有優(yōu)勢。而且谷歌曾明確表示“希望所有的站長都能將使用HTTPS協(xié)議,而非HTTP”更是表明了其對達(dá)到“HTTPS everywhere”這一目標(biāo)的決心。
雖然百度曾表示“不會主動抓取https網(wǎng)頁”,但對于“很多https網(wǎng)頁無法被收錄”也是“耿耿于懷”。去年9月份,百度曾就“https站點如何建設(shè)才能對百度友好”問題發(fā)布了一篇文章,給出了“提高h(yuǎn)ttps站點的百度友好度”的四項建議及具體操作。
此外,近日的“百度全站HTTPS加密搜索”事件也再次彰顯了百度對HTTPS加密的重視。可見,百度并不“反感”HTTPS站點,所以“不主動抓取”應(yīng)該也只是暫時的吧。
我的網(wǎng)站是否需要采用HTTPS加密?
雖然谷歌和百度都對HTTPS“另眼相看”,但這并不意味著站長們都應(yīng)該把網(wǎng)站協(xié)議轉(zhuǎn)換成HTTPS!
早在去年9月份,Moz就針對“采用HTTPS協(xié)議”展開了一項調(diào)查,結(jié)果如下圖:
注:調(diào)查開展時間在谷歌宣布“使用加密技術(shù)(即HTTPS協(xié)議)的網(wǎng)站可以獲得更好的排名”后
如上圖所示,在此項調(diào)查中,17.24%的站長表示其網(wǎng)站已采用HTTPS協(xié)議;24.9%的站長表示正在搭建中;57.85%的站長表示目前仍無此項計劃。從這些數(shù)據(jù)可以看出,當(dāng)時大部分的站長還是沒有選擇使用HTTPS協(xié)議,那么站長們到底該不該選擇有利有弊的HTTPS協(xié)議呢?
從這些數(shù)據(jù)可以看出,當(dāng)時大部分的站長還是沒有選擇使用HTTPS協(xié)議,那么站長們到底該不該選擇有利有弊的HTTPS協(xié)議呢?
首先說說谷歌方面,雖然谷歌不斷強調(diào)“使用HTTPS加密技術(shù)的網(wǎng)站能獲得更好的排名”,但也不能排除這是“別有用心”之舉。
國外分析師就曾針對這一問題表示:
谷歌之所以做出這一舉動(更新算法,將是否采用HTTPS加密技術(shù)作為搜索引擎排名的的一個參考因素)也許并非是為了提高用戶的搜索體驗和互聯(lián)網(wǎng)安全問題,只是為了挽回在“棱鏡門”丑聞中的“損失”。這是一個典型的打著“犧牲小我”旗號的利我之舉。高舉“安全影響排名”旗幟、高呼“HTTPS everywhere”口號,然后不費吹灰之力讓廣大站長們心甘情愿的投入HTTPS協(xié)議陣營。
然后是百度方面,雖然百度宣布全站進(jìn)入HTTPS加密搜索時代,但至今仍“不會主動抓取HTTPS頁面”,也從未就“未來是否會調(diào)整算法”問題表過態(tài)。如果站長在采用HTTPS協(xié)議后仍需制作個“http可訪問版”、或是通過301重定向“自動跳入https版本”。那么,采用HTTPS協(xié)議的代價就不再只是多花money的問題了。
在思考“到底該不該采用HTTPS協(xié)議”這個問題時,多考慮考慮怎樣做對你的用戶更友好吧!
如果你的網(wǎng)站屬于電子商務(wù)、金融、社交網(wǎng)絡(luò)等領(lǐng)域的話,那最好是采用HTTPS協(xié)議;如果是博客站點、宣傳類網(wǎng)站、分類信息網(wǎng)站、或者是新聞網(wǎng)站之類的話,大可不必跟風(fēng)而行,畢竟HTTPS協(xié)議不僅耗錢,浪費精力,而且暫時也不利于網(wǎng)站的SEO工作。
【北京網(wǎng)站設(shè)計、北京網(wǎng)站建設(shè)、北京網(wǎng)站制作、北京網(wǎng)站設(shè)計制作首選品牌凡度網(wǎng)絡(luò)http://www.huameikongtiao.cn/】
.png)