HSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议,网站采用 HSTS 后,用户访问时无需手动在地址栏中输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。

HSTS操作原理:

1、需要在服务器响应头中添加 HSTS,只有在 HTTPS访问返回时才生效。

2、之后设置Max-age参数,设置的时间建议是6个月,不要设置时间太长。

3、如果用户访问使用HTTP,客户端会自动进行内部跳转,并且能够看到 307 Redirect Internel 的响应码。

4、网站服务器变成了 HTTPS 访问源服务器。

网站开启HSTS的作用:

1、预防SSLStrip 的中间人攻击,有效避免了中间人对 80 端口的劫持。

2、如果证书出现错误,则显示错误,用户不能回避警告。

3、为浏览器节省来一次 302/301 的跳转请求,大大提升安全系数和用户体验。

4、节省 HTTPS 通信 RT 和强制使用 HTTPS 。

HTTPS与HTTP的区别为以下几点:

1、 Http采用明文传输协议,Https采用加密传输协议。

2、 Https需要在服务器端安装SSL协议证书。

3、 Http采用80端口,Https采用443端口。

4、 Https在浏览器显示绿色的安全锁,Http没有显示。

哪些站点适合用HTTPS?

1、 涉及到重要密码或者银行卡交易信息的网站,例如:支付宝、银行等。

2、 较大型的网站

3、 外贸网站

如何部署HTTPS?

1、 部署Https可以购买SSL证书上传到服务器。

2、 阿里云、腾讯云、百度云提供部署Https证书下载。

将页面里所有的链接,例如:图片、js、css等等链接都改为Https,不然会导致在Https状态下无法加载。

Http切换到Https对于SEO是有好处的,Google方面早表面Https是排名因素之一,虽然涉及的因素概率极小。Baidu不会主动抓取Https页面,Baidu对Https页面优先收录、排名。

百度站长平台目前是建议HTTP的网站将协议改造成HTTPS协议,百度搜索引擎也会优先收录HTTPS的网站。主要HTTPS是建立一个信息安全通道,具有加密传输有效保障了用户隐私数据密文传输,截取后也是无法解密。

网站全站启用HTTPS要如何配置?

一、HTTPS配置

问:为什么站点有的链接是以HTTP的形式来抓取?为什么全站不能以HTTPS的形式来抓取?

答:以前的机制是URL级,HTTPS是抓取完一条后再替换下一条,整站需要全抓取完才能全部替换掉,但是现在站长平台工具栏中多了一项HTTPS认证的功能,通过这个功能可以设置全站支持HTTPS。如果没有开启全站以HTTPS来抓取对网站是有一定的影响的。

二、HTTPS验证

在站长平台上完成配置后,还需要对HTTPS验证,验证是为了确认站长是否会误配,通过检查HTTPS的链接是否可以成功抓取。也会对HTTPS的证书校验,包含它的合法性、是否过期、跟它本身的域名是否一致,从这三个位置来做校验。

三、HTTPS生效

校验成功后,通过这三个地方生效。

1、全站是否以HTTPS的方式来抓取,在抓取上有没做一定的切换。

2、全站的展现样式会自动切换成HTTPS,这个功能的作用有加速的功效,会略过已收录的网页直接到HTTPS。

https常见问题与建议

网站全站启用HTTPS配置降低被劫持的风险,保障用户的体验和站点的收益。

百度已经抓了我的HTTPS页面了,搜索结果还替换成了HTTP链接,我该怎么办?

1、一般24小时内,线上可以实现HTTPS到HTTP的退回效果。

2、设置HTTPS的抓取返回失败码,或者做HTTPS到HTTP的301&302。

3、短期内不打算开放HTTPS的站点,可以直接关闭443端口。

4、使用链接提交工具,把HTTP页面提交,便于百度更快识别页面。

有关HTTPS配置常见问题

1、升级HTTPS会影响爬虫抓取吗?

答:不会的,爬虫对HTTPS合法链接都是能抓取。

2、升级HTTPS会影响排名点击流量吗?

答:不会的,HTTPS改造是不会涉及到域名切换,老域名转变到新域名这个是不涉及的。

3、升级HTTPS会影响索引量吗?

答:不会的,HTTPS的建库是不会有延迟。

4、升级HTTPS会影响站长平台工具吗?

答:不会的,站长平台链接提交工具现在都是支持HTTPS。

5、升级的HTTPS会影响移动适配吗?

答:这种情况是不会有的。

使用HTTPS站点建议

1、从HTTP到HTTPS要转301转向,不要只做HTTPS,而没有做HTTP到HTTPS跳转关系,只用HTTPS访问对用户来说,可能会遇到问题。

2、不建议HTTPS回退到HTTP。比如,用户点击线上展示HTTPS的链接,如果站长设置回退到HTTP,用户在浏览器点开的链接会是死链接的样式,所以站长需要要做这个需要慎重考虑。如果是想设置回退,可以在站长平台提交HTTPS校验,确保浏览器点开的链接不会出现死链接形式。

3、HTTPS和HTTP不建议两种版本并存。首先需要维护两种版本,维护的成本会比较高;其次HTTP超文本传输协议,存在不安全风险;最后两个版本还是会有明显的区别,会影响用户体验,建议站长做了HTTPS要对HTTPS做跳转。

4、HTTPS还没有建设完毕之前,不建议在互联网上提供超链接。主要因为用户通过HTTP访问网站,出现了HTTPS临时性的假页面,影响用户的体验感。

如网站还在做HTTPS的改造,且网站数据未搭建好,建议网站采取以下措施,避免蜘蛛抓取,以免造成网站流量损失。

1、针对一个服务器下有多个域名的情况,建议未做HTTPS的网站,设置HTTPS抓取返回失败码,或将HTTPS站点301/302到HTTP,避免抓取出现问题。

2、做HTTPS到HTTP的301、302。

3、把HTTPS的协议封掉,可把443端口关掉。

4、建议站点在改HTTPS没改造好之前,不要提供超链接指向。

最后编辑:2021年03月02日 ©著作权归作者所有

猜你喜欢

发表评论