本文最初发表在 Nick Janetakis 个人网站上。
如果你有一个站点,或者近期你正在考虑部署自己的站点,那么你有必要考虑使用 HTTPS 来武装你的网站了。
在我们讨论不安全站点的问题之前(红色预警:忽略安全问题可不是个小问题),让我们先来看看截止到 2017 年中期有多少网站部署了 HTTPS。
根据 Firefox 的遥测数据 来看,大约 60% 的页面都部署了 HTTPS:
上图显示,在 18 个月内 HTTPS 部署有 20% 的增幅提升,所以考虑给所有的页面都部署 HTTPS 而不仅仅是在顶级站点上部署是很有必要的。
Chrome 的遥测数据 显示的结果和 Firefox 相同:
为什么安全网站这么备受青睐?
事实是:不安全的网站还不够好…
不安全的页面(HTTP)比安全的页面(HTTPS)在 Google 上的排名要差
- 网站访问者的浏览记录和数据没有被加密、保护
- Chrome 和 Firefox 正在增加可怕的视觉提示来惩罚不安全的网站。这就意味着,即便不是搞技术的在浏览不安全的网站时也会收到警告,提示你的网站并不安全…
最开始提示站点是否安全的方式是一个安全锁图标,但这已经是很早之前的事儿了。浏览器厂商几年前就已经开始搞了。
最近,浏览器厂商又搞出了更加过分的提示,随着时间的推移不安全的网站的处境只会越来越糟。
Chrome 和 Firefox 中一些已存的和即将到来的视觉提示:
右图的 Firefox 显示的就是一个视觉提示,随着红色版本的到来,Chrome 打算在 2017 年 10 月过渡到使用一个非红色的 “Not secure(不安全)” 标签。
在你的网站上会有一个硬生生的提示说你的站点是不安全的。我不清楚你是怎么搞的,但是把敏感信息以一种不安全的方式暴露出来确实不是个事儿。
不安全的站点会让每个窥视你的人查看到你的浏览记录
我甚至不喜欢匿名浏览不安全的网站,因为这意味着你的所有浏览习惯都会被你的 ISP(网络服务提供商)窃取或被他人窥视。随着网络中立原则经常性被攻击,这就是个大问题了,而且最终会影响到全世界的每个人。
作为网站的拥有者,我们可以通过部署 HTTPS 使你的网站摇身一变为一个安全的网站。这并不是一个我们无法取胜的战争。我们正在逐步获取胜利(HTTPS 全球覆盖率已经超过了 50%)。
在 Google 搜索结果中不安全的站点排名更差
在 2014 年中期,Google 公开承认HTTPS 是网站排名的一个参考点。
现在我不是要假装我知道 Google 排名算法的内部工作机制(因为 Google 搜索团队之外的人是没法知道这些东西的),但是事实就是事实。一个 HTTP 的不安全站点的排名权重要比部署了 HTTPS 的安全站点要低,而且上面的那篇文章已经表示,在未来 HTTPS 会碾压 HTTP。
现在已经是 2017 年中期了,上面的那篇文章是 2014 年写的,所以“今天”已经是未来了。据我所知,那篇文章一直没有更新。但是我所知道的是,我可不想让我的竞争对手拥有 SEO 优势,因为我的网站并不安全。
一切的一切都表明,保护流量势在必行,我们正在通往安全网站的道路上快速行进。
不管是什么东西,如果它们正暴露在不安全的连接下,那么你就有必要计划部署 HTTPS 了。
让我们一起高举 HTTPS 的旗帜来武装站点
你有很多选择给你的站点部署 HTTPS,它们都包含 SSL 证书,然后配置下你的 web 服务器来使用这些证书就可以了。
我最喜欢的方式就是使用 Let’s Encrypt。
为什么使用 Let’s Encrypt?
一言以蔽之:免费、自动化以及开放的认证机构。
- SSL 证书可以通过 Let’s Encrypt 免费获取。和每年 10 刀的证书提供商相比——简直不要太便宜!
开源、透明,社区庞大。
- 一旦部署,100% SSL 证书自动化,解放双手。其他的提供商要求你每年手动更新证书,否则你的网站就死翘翘了。
- 拥有超过4,000,000+的证书,而且正在以迅雷不及掩耳之势的速度增长。
如果你想学习怎么使用 Let’s Encrypt 来给你的站点或网站应用部署 HTTPS,可以看看我最近发布的这篇文章:使用 Let’s Encrypt 来部署 HTTPS。
