在HTTPS网页的抓取问题上,百度在2014年9月份的一份公告中表示“百度不会主动抓取HTTPS网页”,谷歌在算法更新中则表示“同等条件下,利用HTTPS加密技能的站点在搜索排名上更具上风”。
那么,在这种大环境下,站长是否该采取“具有风险”的HTTPS协议呢?又该如何搭建HTTPS站点呢?HTTPS与HTTP有什么差异?网站利用HTTPS或HTTP是否对谷歌百度SEO有影响?
一、HTTP和HTTPS的基本观点
HTTP:是互联网上运用最为广泛的一种网络协议,是一个客户端和做事器端要乞降应答的标准(TCP),用于从WWW做事器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少。
HTTPS:因此安全为目标的HTTP通道,大略讲是HTTP的安全版,HTTPS的安全根本是SSL,因此加密的详细内容就须要SSL。HTTPS协议的紧张浸染可以分为两种:一种是建立一个信息安全通道,来担保数据传输的安全;另一种便是确认网站的真实性。详情可查看:图解HTTPS
二、HTTP与HTTPS有什么差异?
HTTP协议传输的数据都是未加密的,也便是明文的,因此利用HTTP协议传输隐私信息非常不屈安。为了担保这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就出身了HTTPS。
HTTPS加密、加密、及验证过程如下图:
大略来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
HTTPS和HTTP的差异紧张如下:
1、https协议须要到ca申请证书,一样平常免费证书较少,因而须要一定用度。
2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
3、http和https利用的是完备不同的连接办法,用的端口也不一样,前者是80,后者是443。
4、http的连接很大略,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
三、SEO优化方面:网站利用HTTPS或HTTP是否对谷歌百度SEO有影响
谷歌曾在2014年8月份调度搜索引擎算法,并称“比起同等HTTP网站,采取HTTPS加密的网站在搜索结果中的排名将会更高”。
安全性
只管HTTPS并非绝对安全,节制根证书的机构、节制加密算法的组织同样可以进行中间情面势的攻击。但HTTPS仍是现行架构下最安全的办理方案,紧张有以下几个好处:
1)利用HTTPS协议可认证用户和做事器,确保数据发送到精确的客户机和做事器;
2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被盗取、改变,确保数据的完全性。
3)HTTPS是现行架构下最安全的办理方案,虽然不是绝对安全,但它大幅增加了中间人攻击的本钱。
缺陷:
SEO优化方面
据ACM CoNEXT数据显示,利用HTTPS协议会使页面的加载韶光延长近50%,增加10%到20%的耗电。此外,HTTPS协议还会影响缓存,增加数据开销和功耗,乃至已有安全方法也会受到影响也会因此而受到影响。
而且HTTPS协议的加密范围也比较有限,在黑客攻击、谢绝做事攻击、做事器挟制等方面险些起不到什么浸染。
最关键的,SSL 证书的信用链体系并不屈安。特殊是在某些国家可以掌握 CA 根证书的情形下,中间人攻击一样可行。
经济方面
1、SSL 证书须要钱。功能越强大的证书用度越高。个人网站、小网站没有必要一样平常不会用。
2、SSL 证书常日须要绑定 IP,不能在同一 IP 上绑定多个域名。IPv4 资源不可能支撑这个花费。( SSL 有扩展可以部分办理这个问题,但是比较麻烦,而且哀求浏览器、操作系统支持。Windows XP 就不支持这个扩展,考虑到 XP 的装机量,这个特性险些没用。)
3、HTTPS 连接缓存不如 HTTP 高效,大流量网站如非必要也不会采取。流量本钱太高。
4、HTTPS 连接做事器端资源占用高很多,支持访客稍多的网站须要投入更大的本钱。如果全部采取 HTTPS,基于大部分打算资源闲置的假设的 VPS 的均匀本钱会上去。
5、HTTPS 协议握手阶段比较费时,对网站的相应速率有负面影响。如非必要,没有情由捐躯用户体验。
搜索引擎对HTTPS的态度
谷歌的态度
谷歌在HTTPS站点的收录问题上与对HTTP站点态度并无什么不同之处,乃至把“是否利用安全加密”(HTTPS)作为搜索排名算法中的一个参考成分,采取HTTPS加密技能的网站能得到更多的展示机会,排名相对同类网站的HTTP站点也更有上风。而且谷歌曾明确表示“希望所有的站长都能将利用HTTPS协议,而非HTTP”更是表明了其对达到“HTTPS everywhere”这一目标的决心。
百度的态度
虽然百度曾表示“不会主动抓取https网页”,但对付“很多https网页无法被收录”也是“铭心镂骨”。去年9月份,百度曾就“https站点如何培植才能对百度友好”问题发布了一篇文章,给出了“提高https站点的百度友好度”的四项建议及详细操作。
此外,近日的“百度全站HTTPS加密搜索”事宜也再次彰显了百度对HTTPS加密的重视。可见,百度并不“反感”HTTPS站点,以是“不主动抓取”该当也只是暂时的吧。
我的网站是否须要采取HTTPS加密?虽然谷歌和百度都对HTTPS“另眼相看”,但这并不虞味着站长们都该当把网站协议转换成HTTPS!
早在去年9月份,Moz就针对“采取HTTPS协议”展开了一项调查,调查开展韶光在谷歌宣告“利用HTTPS协议的网站可以得到更好的排名”后,
在此项调查中,17.24%的站长表示其网站已采取HTTPS协议;24.9%的站长表示正在搭建中;57.85%的站长表示目前仍无此项操持。从这些数据可以看出,当时大部分的站长还是没有选择利用HTTPS协议,那么站长们到底该不该选择有利有弊的HTTPS协议呢?
首先说说谷歌方面,虽然谷歌不断强调“利用HTTPS加密技能的网站能得到更好的排名”,但也不能打消这是“别有用心”之举。
国外剖析师就曾针对这一问题表示:
谷歌之以是做出这一举动(更新算法,将是否采取HTTPS加密技能作为搜索引擎排名的的一个参考成分)大概并非是为了提高用户的搜索体验和互联网安全问题,只是为了挽回在“棱镜门”丑闻中的“丢失”。这是一个范例的打着“捐躯个人”旗号的利我之举。高举“安全影响排名”旗帜、高呼“HTTPS everywhere”口号,然后不费吹灰之力让广大站长们心甘情愿的投入HTTPS协议阵营。
然后是百度方面,虽然百度宣告全站进入HTTPS加密搜索时期,但至今仍“不会主动抓取HTTPS页面”,也从未就“未来是否会调度算法”问题表过态。如果站长在采取HTTPS协议后仍需制作个“http可访问版”、或是通过301重定向“自动跳入https版本”。那么,采取HTTPS协议的代价就不再只是多花money的问题了。
在思考“到底该不该采取HTTPS协议”这个问题时,多考虑考虑若何做对你的用户更友好吧!
如果你的网站属于电子商务、金融、社交网络等领域的话,那最好是采取HTTPS协议;如果是博客站点、宣扬类网站、分类信息网站、或者是新闻网站之类的话,大可不必跟风而行,毕竟HTTPS协议不仅耗钱,摧残浪费蹂躏精力,而且暂时也不利于网站的SEO事情。
站长如何搭建HTTPS站点说到HTTPS站点的搭建,就不得不提到SSL协议。SSL是Netscape公司率先采取的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采取公开密钥技能。SSL广泛支持各种类型的网络,同时供应三种基本的安全做事,它们都利用公开密钥技能。
SSL的浸染:
1)认证用户和做事器,确保数据发送到精确的客户机和做事器;
2)加密数据以防止数据中途被盗取;
3)掩护数据的完全性,确保数据在传输过程中不被改变。
而SSL证书指的是在SSL通信中验证通信双方身份的数字文件,一样平常分为做事器证书和客户端证书,我们常日说的SSL证书紧张指做事器证书。SSL证书由受信赖的数字证书颁发机构CA(如VeriSign,GlobalSign,WoSign等),在验证做事器身份后颁发,具有做事器身份验证和数据传输加密功能。分为扩展验证型(EV)SSL证书、组织验证型(OV)SSL证书、和域名验证型(DV)SSL证书。
SSL证书申请的3个紧张步骤:
1、制作CSR文件。
所谓CSR便是由申请人制作的Certificate Secure Request证书要求文件。制作过程中,系统会产生2个密钥,一个是公钥便是这个CSR文件,其余一个是私钥,存放在做事器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一样平常APACHE等,利用OPENSSL命令行来天生KEY+CSR2个文件,Tomcat,JBoss,Resin等利用KEYTOOL来天生JKS和CSR文件,IIS通过引导建立一个挂起的要乞降一个CSR文件。
2、CA认证。
将CSR提交给CA,CA一样平常有2种认证办法:
1)域名认证:一样平常通过对管理员邮箱认证的办法,这种办法认证速率快,但是签发的证书中没有企业的名称;
2)企业文档认证:须要供应企业的业务执照。一样平常须要3-5个事情日。
也有须要同时认证以上2种办法的证书,叫EV证书,这种证书可以使IE7以上的浏览器地址栏变成绿色,以是认证也最严格。
3、证书的安装。
在收到CA的证书后,可以将证书支配上做事器,一样平常APACHE文件直接将KEY+CER复制到文件上,然后修正HTTPD.CONF文件;TOMCAT等,须要将CA签发的证书CER文件导入JKS文件后,复制上做事器,然后修正SERVER.XML;IIS须要处理挂起的要求,将CER文件导入。
免费证书推举利用SSL证书不仅能让信息的安全性更有保障,还可以提高用户对付网站的信赖度。但鉴于对建站本钱的考虑,很多站长对其望而生畏。在网络上免费始终是一个永久不过时的市场,主机空间有免费的,而SSL证书自然也有免费的,此前,便有称,Mozilla、思科、Akamai、IdenTrust、EFF、以及密歇根大学的研究职员将开启Let’s Encrypt CA项目,操持从今夏开始,为网站供应免费SSL证书以及证书管理做事(注:如需更高等的繁芜证书,则需付费)。同时,还降落了证书安装的繁芜程度,安装韶光仅需20-30秒。
而须要繁芜证书的每每是大中型网站,诸如个人博客之类的小型站点完备可以先考试测验免费SSL证书。如果想要购买低价SSL证书可查看站长之家之前发布的文章:如何购买廉价SSL证书?。
下面再先容几款免费SSL证书:CloudFlare SSL、StartSSL、Wosign沃通SSL、NameCheap等。
CloudFlare SSL:
CloudFlare是美国一家供应CDN做事的网站,在世界各地都有自己的CDN做事器节点,国内外很多大型公司或者网站都在利用CloudFlare的CDN做事,当然海内站长最常用的便是CloudFlare的免费CDN,加速也很好。CloudFlare供应的免费SSL证书是UniversalSSL,即通用SSL,用户无需向证书发放机构申请和配置证书就可以利用的SSL证书,CloudFlare向所有用户(包括免用度户)供应SSL加密功能,web界面5分钟内就设置好证书,24小时内完成自动支配,为网站的流量供应基于椭圆曲线数字署名算法(ECDSA)的TLS加密做事。
详细申请、利用可查看以下教程:
CloudFlare SSL申请开通和安装利用
StartSSL:
StartSSL是StartCom公司旗下的SSL证书,供应免费SSL证书做事,且StartSSL被包括Chrome、Firefox、IE在内的主流浏览器支持,险些所有的主流浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL中申请到免费一年的SSL证书。
详细申请、利用可查看以下教程:
Startssl SSL 证书申请图解
Wosign沃通SSL:
Wosign沃通是海内一家供应SSL证书做事的网站,其免费的SSL证书申请比较大略,在线开通,一个SSL证书只能对应一个域名,支持证书状态在线查询协议(OCSP)。
详细申请、利用可查看以下教程:
CloudFlare SSL和Wosign沃通SSL申请开通和安装利用
WoSign沃通SSL证书免费申请及账户设置教程
NameCheap:
NameCheap是一家领先的ICANN认可的域名注册和网站托管公司,成立于2000年。该公司供应免费DNS解析,网址转发(可隐蔽原URL,支持301重定向)等做事。此外,NameCheap还供应了一年的SSL证书免费做事。
从商业机构到政府部门再到个人家庭,越来越多的用户利用网络来处理事务,互换信息和进行交易活动,这些都不可避免地涉及到网络安全问题,尤其是认证和加密问题。特殊是在网上进行购物交易活动中,必须担保交易双方能够相互确认身份,安全地传输敏感信息,事后不能否认交易行为,同时还要防止他人截获修改宝贵信息或假冒交易方。
那么,我们该如何提高站点信息的安全性呢?目前最大略的办理方案便是利用SSL安全技能来实现WEB的安全访问。
HTTPS站点SEO问题可查看:
HTTPS 网站有利于百度、谷歌SEO优化吗?
https网站百度收录技巧
结语虽然谷歌和百度都对HTTPS“另眼相看”,但这并不虞味着站长们都该当把网站协议转换成HTTPS!一样平常来说,如果网站类型属于电子商务、金融、社交网络等领域的话,采取HTTPS协议自然是更好的;如果是个人博客、宣扬类网站、资讯信息网站、或者是新闻网站之类的话,则可不必跟风而行,毕竟采取HTTPS协议不仅耗钱,摧残浪费蹂躏精力,而且在一定程度上,也不利于网站的SEO事情。总而言之,切勿盲目跟风,如果你也有“到底该不该采取HTTPS协议”这个疑问的话,那就想想若何做对你的用户更友好吧!
