什么是HTTPS?
HTTPS(超文本传输协议安全)是一种互联网通信协议,可保护用户计算机与站点之间数据的完整性和机密性。用户希望在使用网站时获得安全的私人在线体验。我们建议您采用HTTPS以保护用户与您网站的关联,无论网站上的内容如何。
使用HTTPS发送的数据通过传输层安全协议(TLS)得到保护,该协议提供三个关键的保护层:
- 加密 –加密交换的数据以保护其免受窃听者的侵害。这意味着,当用户浏览网站时,没有人可以“倾听”他们的对话,跨多个页面跟踪他们的活动,或窃取他们的信息。
- 数据完整性 –在传输期间,无论是有意还是无意,都不能修改或损坏数据,而不会被检测到。
- 身份验证 – 确保您的用户与目标网站进行通信。它可以防止中间人攻击并建立用户信任,从而转化为其他商业利益。
实施HTTPS时的最佳做法
使用强大的安全证书
您必须获取安全证书,作为为您的站点启用HTTPS的一部分。证书由证书颁发机构(CA)颁发,它采取措施验证您的Web地址实际上属于您的组织,从而保护您的客户免受中间人攻击。设置证书时,请通过选择2048位密钥来确保高级别的安全性。如果您已经拥有较弱密钥(1024位)的证书,请将其升级到2048位。选择站点证书时,请注意以下事项:
- 从提供技术支持的可靠CA获取证书。
- 确定您需要的证书类型:
- 单个安全来源的单一证书(例如
www.example.com)。 - 用于多个众所周知的安全起源的多域证书(例如
www.example.com, cdn.example.com, example.co.uk)。 - 具有许多动态子域的安全源的通配符证书(例如
a.example.com, b.example.com)。
- 单个安全来源的单一证书(例如
使用服务器端301重定向
使用服务器端301 HTTP重定向将您的用户和搜索引擎重定向到HTTPS页面或资源。
确认您的HTTPS页面可以被Google抓取并编入索引
- 请勿通过robots.txt文件阻止您的HTTPS页面。
- 不要
noindex在HTTPS页面中包含元标记。 - 使用Google抓取方式测试Googlebot是否可以访问您的网页。
支持HSTS
我们建议HTTPS站点支持HSTS(HTTP严格传输安全性)。HSTS告诉浏览器自动请求HTTPS页面,即使用户进入http浏览器位置栏也是如此。它还告诉Google在搜索结果中提供安全的网址。所有这些都可以最大限度地降低向用户提供不安全内容的风险。
要支持HSTS,请使用支持HSTS的Web服务器并启用该功能。
虽然它更安全,但HSTS增加了回滚策略的复杂性。我们建议以这种方式启用HSTS:
- 首先不使用HSTS推出您的HTTPS页面。
- 开始发送短期最大年龄的HSTS标头。监控来自用户和其他客户端的流量,以及依赖者的性能,例如广告。
- 慢慢增加HSTS最大年龄。
- 如果HSTS不会对您的用户和搜索引擎产生负面影响,您可以根据需要将您的网站添加到 大多数主流浏览器使用的 HSTS预加载列表中。
考虑使用HSTS预加载
如果启用HSTS,则可以选择支持HSTS预加载,以提高安全性并提高性能。要启用预加载,您必须访问hstspreload.org并遵循您网站的提交要求。
避免这些常见的陷阱
在使用TLS确保您的网站安全的整个过程中,请避免以下错误:
| 问题 | 行动 |
|---|---|
| 过期的证书 | 确保您的证书始终是最新的。 |
| 证书注册到错误的网站名称 | 检查您是否获得了站点所服务的所有主机名的证书。例如,如果您的证书仅涵盖www.example.com,则仅使用example.com(没有“www。”前缀)加载您网站的访问者将被证书名称不匹配错误阻止。 |
| 缺少服务器名称指示(SNI)支持 | 通常,确保您的Web服务器支持SNI,并且您的受众通常使用支持的浏览器。虽然所有现代浏览器都支持SNI ,但如果您需要支持旧浏览器,则需要专用IP。 |
| 爬行问题 | 不要阻止您的HTTPS站点使用爬网robots.txt。 |
| 索引问题 | 允许搜索引擎尽可能为您的网页编制索引。避免使用noindex元标记。 |
| 旧协议版本 | 旧协议版本易受攻击; 确保您拥有最新和最新版本的TLS库并实施最新的协议版本。 |
| 混合安全元素 | 仅在HTTPS页面上嵌入HTTPS内容。 |
| HTTP和HTTPS上的内容不同 | 确保HTTP站点上的内容和HTTPS相同。 |
| HTTPS上的HTTP状态代码错误 | 检查您的网站是否返回正确的HTTP状态代码。例如200 OK对于访问的网页,或404或410用于网页不存在的。 |
更多提示
有关在您的站点上使用HTTPS页面的更多提示,请参阅HTTPS迁移常见问题解答。
从HTTP迁移到HTTPS
如果您将网站从HTTP迁移到HTTPS,Google会将此视为带有网址更改的 网站移动。这可能会暂时影响您的部分流量。请参阅站点移动概述页面以了解更多信息。
将新的HTTPS属性添加到Search Console: Search Console分别处理HTTP和HTTPS:Search Console中的属性之间不共享数据。