新手站长即便安装了SSL证书,可能在用谷歌浏览器打开网站有个灰色警告,提示“您与此网站之间建立的连接并非完全安全”,甚至有人会出现红色警告“不安全”,提示“您与此网站之间建立的连接不安全”,出现这种情况的原因每个人的都可能不一样,因此我们需要提供这类问题的通用方法,而不是针对某一种原因的具体方法。
为什么并非完全安全?
如果HTTPS页面包含通过常规明文HTTP检索的内容,则连接仅被部分加密:嗅探者可以访问未加密的内容,并且中间人攻击者可以修改未加密的内容,因此该连接不再受保护。 。 当网页显示此行为时,它称为混合内容页面。也就是说,可能在你的这个页面里既有https也有http这两种混搭的情况。为什么会出现这样的情况呢?
例如,大家都知道大名鼎鼎的七牛云,在国内算是一个老牌子的CDN/云存储的厂家了。本站也是用七牛云当图床的。在七牛云的一个免费额度里,就有http和https的价格区分。想要使用免费的额度,就不能配置https域名,我个人觉得这一点也是比较坑人的。
之前我就是用的http链接,然后总是提示“你与网站建立的链接并非完全安全”,虽然没有什么影响,但是看着还是有点奇怪和不舒服。
这里就自然说到了https和http的问题。之前我也写过相关的文章,介绍https加密的事情,这里不再赘述:
站长应该知道的http和https知识_个人博客站长如何选择免费的SSL证书
如何判断SSL证书的安全性高低?越贵越好?懂点原理会少花冤枉钱
这里,我建议全站的所有链接都开始https,下面我详细说说原因。
HTTPS拥有更高的用户信息安全度
HTTPS主要通过在SSL上传输数据来区分HTTP,确保传输的数据在传输过程中被加密,只有相应站点服务器或用户浏览器接收时才能被解密,HTTPS通过这种方式避免了第三方拦截。
同时,HTTPS提供可信的服务器认证,这是一套黑客不能随意篡改的认证信息,使相关用户确定他们正与正确的服务器通信。没有全站升级HTTPS的网站使一些页面在HTTP中可用,而其他页面在HTTPS中可用,或在HTTPS中呈现HTML文档。
通过HTTP或不安全的CDN服务加载其他资源(例如JS或CSS文件)的网站也存在敏感用户信息暴露的风险。使整个站点只能通过HTTPS访问是防止这种风险简单的方法。
网站存在HTTPS和HTTP两种协议时,跳转需对服务器进行了大量的重定向 。仅部分升级为HTTPS的网站,网站内部的HTTP页面在错误的协议中请求页面时要求站点服务器触发301重定向,这是服务器上的漏洞,当这些重定向被触发时会减慢页面加载速度。
非全站https导致搜索可见性降低
运行部分升级HTTPS网站需要以HTTP和HTTPS两种方式管理整个网站,并且需要仔细、精确地控制重定向。网站很容易在两个协议中被一个或多个网页解析,导致搜索引擎抓取和索引出单个网页的两个版本,从而导致网页的搜索可见性降低(因为搜索引擎会认为这两个网页相互竞争)。
即使没有这种风险,搜索引擎有时会索引某些上文提及的错误协议的网页,从而对点击进入的用户进行不必要的重定向,反过来造成了不必要的服务器压力,稀释了搜索权限并减慢网页加载速度。
由于处理个人身份信息的网页大多会使用HTTPS,不可避免的会让一个网站同时拥有HTTPS和HTTP两种协议,因此选择全站HTTPS升级而不是仅仅升级个人身份信息网页将避免如上情况发生。
HTTPS可以更准确地传输引用字符串数据
HTTP网站经常被拒绝访问由HTTPS网站引用的字符串数据,因为HTTP网站不是HTTPS网站的数据发送目标网站。 另一方面,HTTPS网站会谨慎对待访问不安全网站获得的可识别信息,来避免引发不必要的故障。因此,HTTP网站的多次推荐访问最终会被网站分析错误地归类为直接访问。而全站升级HTTPS后,推荐访问中将会减少引荐来源为HTTP网址的字符串,使得网站分析更准确。
个人站长如何选择SSL证书?
http与https之间就是相差个SSL证书。那么个人站长如何选择SSL证书呢?
我以前推荐过个人站长选择免费的SSL证书:Typecho个人博客SSL证书不够用的N种免费解决方案
现在个人站长常用的证书莫过于有数量限制的TrustAsia和有时间限制的Let's Encrypt。
现在一些国产的SSL证书厂家也在开始崛起。
如果你不放心上面的那些免费的SSL证书(毕竟有句话叫“免费的就是最贵的”),可以试试这款国产自主品牌JoySSL证书,个人觉得算是所有证书里面最便宜的了,只要一百多一年,看了看那些主流的SSL证书,动不动就几千块钱甚至上万一年,感觉实在是伤不起呀。并且支持90天免费试用(偷偷告诉你个秘密,可以免费无限续签,有点像Let's Encrypt的操作),甚至包括多域名证书和通配符证书(真的是很不容易了,一般免费的不会有这个套餐,都是针对单域名可以免费)。
免费SSL申请地址:https://www.joyssl.com/certificate/select/free.html
