HTTPS保护浏览器和服务器之间的通信不被攻击者拦截和篡改。这为今天绝大多数的WWW流量提供了机密性、完整性和身份验证。
任何在地址栏中显示锁图标的网站都在使用HTTPS。
在本文中,您将学习:
HTTP和HTTPS的基础知识
TLS证书的工作原理
HTTPS如何帮助SEO
如何设置HTTPS
如何检查潜在的HTTPS迁移错误
https://www.youtube.com/watch?v=AB0VMbvEz7g&ab_channel=SEO研究院
技术SEO新手?看看我们的技术SEO初学者指南
HTTP与HTTPS:了解基础知识
首先,让我简化并说明客户机(浏览器)和服务器之间存在攻击者时的通信。
正如您所看到的,攻击者可以获得登录和支付细节等敏感数据,或者将恶意代码注入所请求的资源中。
潜在的网络攻击可能发生在任何不受信任的路由器或ISP的地方。因此,任何公共WiFi网络都容易受到此类攻击。幸运的是,大众似乎已经意识到这一事实(vpn的使用越来越多)。
然而,让每个人的浏览体验安全的负担是,也应该是在网站管理员。
这就是采用HTTPS发挥作用的地方。
HTTPS对HTTP请求和响应进行加密,因此拦截攻击者只会看到随机字符,而不会看到信用卡详细信息。
与HTTPS的工作原理类似的是,将贵重物品放入一个坚不可摧的锁着的密码盒中。只有发送方和接收方知道密码组合,如果攻击者掌握了密码,他们就无法进入。
现在,当HTTPS连接形成时,会发生很多事情。HTTPS主要依靠TLS(传输层安全)加密来保护连接。
TLS证书的工作原理
在您的网站上启用HTTPS的唯一方法是获得TLS证书并将其安装在您的服务器上。您还会遇到SSL或SSL/TLS证书,但不用担心,它们都是一样的。尽管我们在技术上都使用它的后继者TLS,但SSL仍然是广泛使用的术语。
TLS证书由CA (Certificate authority)颁发。CA的角色是客户机-服务器关系中的可信第三方。基本上,任何人都可以颁发TLS证书,但浏览器只支持公开信任的ca。
您可以通过单击浏览器地址栏中的锁定图标来检查每个网站的TLS证书及其颁发机构。
您可以点击证书了解更多信息。这里重要的是“发给:”一行。这是我们讨论TLS证书的不同类型验证标准的时候,这是将免费证书和付费证书区分开来的主要原因。
DV, OV和EV:它们是什么意思,应该选择哪一个?
您的托管和CDN计划附带的免费TLS证书只做域验证(DV)。这将验证证书所有者是否控制给定的域名。这种基本的验证技术对于不处理敏感信息的博客和网站来说已经足够好了,但对于处理敏感信息的博客和网站来说就不太理想了。
使用DV TLS证书的网站看起来是安全的,但是当你点击锁定图标时,你不会看到“颁发给:”一行。
最常见的DV TLS证书来自一个名为Let ‘s Encrypt的非营利性CA。这是大多数提供免费自动可更新TLS证书的公司使用的方法。
只有dv的证书没有什么问题,毕竟它是唯一一种可以大规模自动颁发的TLS证书。但是,HTTPS的强度取决于对您正在访问的服务器进行身份验证的底层证书。
如果您的网站允许登录或支付,您应该投资于提供组织验证(OV)或扩展验证(EV)的TLS证书。这两种类型在验证过程中有所不同,EV更严格。
如果你只想买一个,我建议你直接购买EV TLS证书。这是最值得信赖的一个,它并不比OV贵多少。
通配符和SAN TLS证书
抛开验证标准,让我们转到另一类TLS证书。
通配符和SAN证书用于一次保护多个(子)域。如果你为example.com购买了一个标准的EV TLS证书,那么你就需要为blog.example.com购买一个单独的证书。
通配符证书可以保护无限的子域名(example.com, blog.example.com, docs.example.com),而SAN证书也可以保护其他域名(example.com, blog.example.com, different.org)。
这些类型与验证类型组合在一起,因此当您浏览ca提供的选项时,将看到各种类型的组合。他们还将指导您完成验证过程。
HTTPS如何帮助SEO
几乎所有HTTPS的好处都与SEO相关:
轻量级排名信号
更好的安全和隐私
保存转诊数据
允许使用增强安全性和站点速度的现代协议
轻量级排名信号
谷歌早在2014年就宣布HTTPS是一个轻量级的排名因素。这更像是一个决胜局,而不是在其他排名因素变量保持不变的情况下使你的排名飙升。
这基本上是谷歌对全球更快采用HTTPS的贡献。
更好的安全和隐私
我们已经讨论过这个了。但这与SEO有什么关系呢?
当你登陆一个不安全的网站时,你会看到这样的内容:
这并不能真正建立信任,对吧?我知道我的职业偏见,但我个人很注意这一点,如果我在任何网站上看到这一点,很快就会形成不好的第一印象。
我的猜测是,迁移到HTTPS可以改善停留时间,防止pogo卡住。虽然这些只是理论上的(未证实的)排名因素,但无论SEO如何,让人们在登陆你的网站时“坚持”是你想要的。
保存转诊数据
如果你的网站仍然使用HTTP,并且你正在使用像b谷歌analytics这样的网络分析服务,我有一个坏消息要告诉你:没有推荐数据从HTTPS传递到HTTP页面。
由于现在大多数网站都在HTTPS上运行,大多数推荐流量的来源(点击来自其他网站的链接)将在大多数分析软件中被标记为直接。
这样做的一个缺点是,它使您的数据混乱和扭曲。另一个是你无法看到你最好的推荐来源——这是一个浪费的链接建设机会。
旁注。如果你对谷歌Analytics常见的跟踪错误感兴趣,请查看这篇文章。
允许使用增强安全性和站点速度的现代协议
理论上,由于增加了安全特性,HTTPS比HTTP慢。然而,拥有HTTPS是使用最新的安全和web性能技术的先决条件。
换句话说,除了安全之外,当你使用TLS 1.3和HTTP/2等协议时,HTTPS还可以使你的网站提高页面速度。除了更好的用户体验,谷歌认为页面速度是一个轻量级的排名因素,类似于HTTPS:
排名方面,这是一个很小的因素,非常类似于https排名提升。这一点并不奇怪。这样做主要是为了让用户能够转换。——Gary Illyes (@methode), 2020年4月28日
如何设置HTTPS
这取决于您的场景。
1. 你正在启动一个新网站
你中了彩票。从一开始就使用HTTPS,这样您就不必担心与迁移相关的HTTP和错误。
您所需要做的就是找一个好的托管提供商来指导您完成整个过程,并支持最新的HTTP和TLS协议版本。在所有这些都启动并运行之后,将实现HSTS作为密封安全性的最后一步。
2. 您已经有一个启用https的网站
您正在阅读这篇文章的事实告诉我,它可能没有正确设置。按照下一节中的建议检查常见错误。
3. 你仍然有一个在HTTP上运行的网站
准备和完成一切需要一段时间。迁移的复杂性取决于:
网站的大小和复杂程度
你用的是哪种CMS
您的主机/CDN提供商
你的技术能力
虽然我相信在流行的CMS和可靠的主机上运行的小网站的所有者可以自己完成迁移,但有很多变量在起作用。
我建议您检查您的CMS/服务器/主机/CDN的文档,并进行相应的操作-小心。您需要执行相当多的步骤,因此创建或遵循迁移检查清单,不要尝试适应其他活动。
如果这些听起来对你来说太专业了,那就聘请专业人士。它将节省您数小时的时间,节省您的紧张,并确保未来的执行。
如何检查潜在的HTTPS迁移错误
即使您勾选了整个HTTPS迁移清单,您仍然有可能遇到一些问题。
事实上,早在2016年,我们就分析了10000个顶级域名的各种HTTPS错误,发现了以下几点:
90.9%的域名有次优的HTTPS实现
HTTPS在65.39%的域名上不能正常工作
23.01%的域名使用临时302重定向,而不是永久301重定向
虽然从那以后发生了很多变化和改进,但我建议您检查下面五个常见的HTTPS迁移错误。这不会花很长时间,而且大多数都不难修复。
错误1:HTTP页面离开
首先,您需要确保站点上的所有页面都已经使用HTTPS。
您可以通过彻底爬行网站来发现剩余的HTTP页面。如果您坚持使用任何HTTPS迁移检查清单,这应该不是什么新鲜事。只要确保爬虫具有所有必需的URL源,这样它就不会留下页面。
要做到这一点,你可以使用SEO研究院网站管理员工具免费设置如下:
完成后,打开最新的抓取,转到页面资源管理器并应用以下过滤器:
导出HTTP url列表并重定向它们以完成迁移。
提示
不在站点地图中的页面,没有指向它们的链接是不可能通过爬行来发现的。这通常发生在专门的PPC登陆页上。找到这些的一种方法是从你的广告管理器,如谷歌广告或FB商业经理导出URL列表。
在此基础上,确保正确地迁移了孤立页面。不要忘记在你的活动仪表板中将它们更新为更新的HTTPS格式。
错误2:HTTPS页面包含HTTP内容
当使用HTTPS加载初始HTML文件,但其资源文件(图像,CSS, JavaScript)尚未更新为HTTPS时,就会发生此错误。
如果这是你网站上的一个问题,你会在抓取概述和内部页面报告中看到它。免费SEO研究院网站管理员工具中的所有错误、警告和通知都包含对问题的描述和如何修复它的建议。
错误3:内部链接没有更新到HTTPS
不将内部链接更新为HTTPS会导致不必要的重定向。这显然比登陆HTTP页面要好,但我们已经犯过这个错误了。很容易发现这些链接并修复它们。
您可以在SEO研究院网站管理员工具的网站审计中的链接报告下找到此问题:
只需将url重写为https://,就完成了。这只适用于您已经使用错误#1中的建议确保没有留下HTTP页面的情况。
错误4:标签没有更新到HTTPS
在你的网站上,有两种类型的标签可能也需要将它们的url更新为HTTPS: Canonical标签和Open Graph标签。
规范标签告诉谷歌您认为哪些页面是最权威的,哪些页面是一堆相似或重复的页面。指向HTTP版本肯定会向谷歌发送错误信号,并且很可能会被忽略。
如果你使用Open Graph标签来优化你的社交媒体帖子,那么Facebook就需要URL标签。它们应该与规范url相同。
要查找带有HTTP规范和OG标签的页面,请在页面资源管理器中设置以下自定义过滤器:
同样,在完全完成迁移的情况下,剩下的就是将它们重写为https://。
错误5:重定向失败
重定向可能很棘手。有很多可能出错的地方——从破碎的重定向到重定向链和循环。
幸运的是,使用Site Audit很容易发现这些错误。只需查看重定向报告并查看所有问题。
点击“查看受影响的url”按钮后,你会看到一个类似的报告,只是有更多的默认列和指标:
这里最好的事情是,您将真正看到所有受影响的url——重定向的url、重定向链中的url以及链接到重定向url的url。
这里有两件事你应该做。
第一个是拆分重定向,在这种情况下:
https://blog.example.com/123/> -> 301重定向-> >https://example.com/blog/987/
这将确保指向https://blog.example.com/123/和https://example.com/blog/123/的所有反向链接只被重定向一次。这对于外部反向链接来说很好,因为向网站管理员发送链接编辑请求是非常无效的,而且非常烦人。
我们可以在内部做得更好。
您应该争取最少的重定向次数。这就是链接数列发挥作用的时候。
链接是链接到受重定向链影响的URL的URL。您需要将这些页面上的链接交换为返回200 HTTP状态码的url。如果你点击链接的数量,你会看到所有的链接:
当然,下一步还是要检查重定向链中url的链接。然而,这是一个较低的优先级,因为我们已经打破了重定向链。这些将被标记为标准301重定向在3XX重定向报告在下一次抓取。
最终的想法
我希望我们能一起使浏览万维网更快,更安全。
根据w3techs.com,调查样本中有59.4%的网站默认使用HTTPS。相比之下,谷歌报告称,在Chrome浏览器中,88-99%的浏览时间花在HTTPS网站上。
我从这些数据中得出的结论是,绝大多数具有相当大流量的流行网站已经转向HTTPS。如果你想知道这两个数据点的巨大差异,那么我将其归因于未包含在谷歌数据中的中国网站。
不过,就TLS支持的质量而言,还有很多需要改进的地方。正如您在这里了解到的,HTTPS设置不会随着迁移过程而结束。跟上web性能和安全性的趋势,实现最新的功能,使每个人都受益。
你有什么问题或意见吗?在推特上联系我。