使用 HTTPS 部署你的站点势在必行

本文最初发表在 Nick Janetakis 个人网站上。

如果你有一个站点，或者近期你正在考虑部署自己的站点，那么你有必要考虑使用 HTTPS 来武装你的网站了。

在我们讨论不安全站点的问题之前（红色预警：忽略安全问题可不是个小问题），让我们先来看看截止到 2017 年中期有多少网站部署了 HTTPS。

根据 Firefox 的遥测数据 来看，大约 60% 的页面都部署了 HTTPS：

上图显示，在 18 个月内 HTTPS 部署有 20% 的增幅提升，所以考虑给所有的页面都部署 HTTPS 而不仅仅是在顶级站点上部署是很有必要的。

Chrome 的遥测数据 显示的结果和 Firefox 相同：

为什么安全网站这么备受青睐？

事实是：不安全的网站还不够好...

• 不安全的页面（HTTP）比安全的页面（HTTPS）在 Google 上的排名要差
• 网站访问者的浏览记录和数据没有被加密、保护
• Chrome 和 Firefox 正在增加可怕的视觉提示来惩罚不安全的网站。这就意味着，即便不是搞技术的在浏览不安全的网站时也会收到警告，提示你的网站并不安全...

最开始提示站点是否安全的方式是一个安全锁图标，但这已经是很早之前的事儿了。浏览器厂商几年前就已经开始搞了。

最近，浏览器厂商又搞出了更加过分的提示，随着时间的推移不安全的网站的处境只会越来越糟。

Chrome 和 Firefox 中一些已存的和即将到来的视觉提示：

右图的 Firefox 显示的就是一个视觉提示，随着红色版本的到来，Chrome 打算在 2017 年 10 月过渡到使用一个非红色的 “Not secure(不安全)” 标签。

在你的网站上会有一个硬生生的提示说你的站点是不安全的。我不清楚你是怎么搞的，但是把敏感信息以一种不安全的方式暴露出来确实不是个事儿。

不安全的站点会让每个窥视你的人查看到你的浏览记录

我甚至不喜欢匿名浏览不安全的网站，因为这意味着你的所有浏览习惯都会被你的 ISP（网络服务提供商）窃取或被他人窥视。随着网络中立原则经常性被攻击，这就是个大问题了，而且最终会影响到全世界的每个人。

作为网站的拥有者，我们可以通过部署 HTTPS 使你的网站摇身一变为一个安全的网站。这并不是一个我们无法取胜的战争。我们正在逐步获取胜利（HTTPS 全球覆盖率已经超过了 50%）。

在 Google 搜索结果中不安全的站点排名更差

在 2014 年中期，Google 公开承认HTTPS 是网站排名的一个参考点。

现在我不是要假装我知道 Google 排名算法的内部工作机制（因为 Google 搜索团队之外的人是没法知道这些东西的），但是事实就是事实。一个 HTTP 的不安全站点的排名权重要比部署了 HTTPS 的安全站点要低，而且上面的那篇文章已经表示，在未来 HTTPS 会碾压 HTTP。

现在已经是 2017 年中期了，上面的那篇文章是 2014 年写的，所以“今天”已经是未来了。据我所知，那篇文章一直没有更新。但是我所知道的是，我可不想让我的竞争对手拥有 SEO 优势，因为我的网站并不安全。

一切的一切都表明，保护流量势在必行，我们正在通往安全网站的道路上快速行进。

不管是什么东西，如果它们正暴露在不安全的连接下，那么你就有必要计划部署 HTTPS 了。

让我们一起高举 HTTPS 的旗帜来武装站点

你有很多选择给你的站点部署 HTTPS，它们都包含 SSL 证书，然后配置下你的 web 服务器来使用这些证书就可以了。

我最喜欢的方式就是使用 Let's Encrypt。

为什么使用 Let's Encrypt？

一言以蔽之：免费、自动化以及开放的认证机构。

• SSL 证书可以通过 Let's Encrypt 免费获取。和每年 10 刀的证书提供商相比——简直不要太便宜！
• 开源、透明，社区庞大。
• 一旦部署，100% SSL 证书自动化，解放双手。其他的提供商要求你每年手动更新证书，否则你的网站就死翘翘了。
• 拥有超过4,000,000+的证书，而且正在以迅雷不及掩耳之势的速度增长。