本文最初发表在 Nick Janetakis 个人网站上。
如果你有一个站点,或者近期你正在考虑部署自己的站点,那么你有必要考虑使用 HTTPS 来武装你的网站了。
在我们讨论不安全站点的问题之前(红色预警:忽略安全问题可不是个小问题),让我们先来看看截止到 2017 年中期有多少网站部署了 HTTPS。
根据 Firefox 的遥测数据 来看,大约 60% 的页面都部署了 HTTPS:
上图显示,在 18 个月内 HTTPS 部署有 20% 的增幅提升,所以考虑给所有的页面都部署 HTTPS 而不仅仅是在顶级站点上部署是很有必要的。
Chrome 的遥测数据 显示的结果和 Firefox 相同:
事实是:不安全的网站还不够好...
最开始提示站点是否安全的方式是一个安全锁图标,但这已经是很早之前的事儿了。浏览器厂商几年前就已经开始搞了。
最近,浏览器厂商又搞出了更加过分的提示,随着时间的推移不安全的网站的处境只会越来越糟。
Chrome 和 Firefox 中一些已存的和即将到来的视觉提示:
右图的 Firefox 显示的就是一个视觉提示,随着红色版本的到来,Chrome 打算在 2017 年 10 月过渡到使用一个非红色的 “Not secure(不安全)” 标签。
在你的网站上会有一个硬生生的提示说你的站点是不安全的。我不清楚你是怎么搞的,但是把敏感信息以一种不安全的方式暴露出来确实不是个事儿。
我甚至不喜欢匿名浏览不安全的网站,因为这意味着你的所有浏览习惯都会被你的 ISP(网络服务提供商)窃取或被他人窥视。随着网络中立原则经常性被攻击,这就是个大问题了,而且最终会影响到全世界的每个人。
作为网站的拥有者,我们可以通过部署 HTTPS 使你的网站摇身一变为一个安全的网站。这并不是一个我们无法取胜的战争。我们正在逐步获取胜利(HTTPS 全球覆盖率已经超过了 50%)。
在 2014 年中期,Google 公开承认HTTPS 是网站排名的一个参考点。
现在我不是要假装我知道 Google 排名算法的内部工作机制(因为 Google 搜索团队之外的人是没法知道这些东西的),但是事实就是事实。一个 HTTP 的不安全站点的排名权重要比部署了 HTTPS 的安全站点要低,而且上面的那篇文章已经表示,在未来 HTTPS 会碾压 HTTP。
现在已经是 2017 年中期了,上面的那篇文章是 2014 年写的,所以“今天”已经是未来了。据我所知,那篇文章一直没有更新。但是我所知道的是,我可不想让我的竞争对手拥有 SEO 优势,因为我的网站并不安全。
一切的一切都表明,保护流量势在必行,我们正在通往安全网站的道路上快速行进。
不管是什么东西,如果它们正暴露在不安全的连接下,那么你就有必要计划部署 HTTPS 了。
你有很多选择给你的站点部署 HTTPS,它们都包含 SSL 证书,然后配置下你的 web 服务器来使用这些证书就可以了。
我最喜欢的方式就是使用 Let's Encrypt。
一言以蔽之:免费、自动化以及开放的认证机构。