[建设网站设计]_为什么使用HTTPS 可以确保网站安

了解建设网站的必备,网站空间或网站服务器

主机与我们一般认识的电脑主机,本质上有点差异,或许翻译为「服务器」更能体验「网站主机」真正在做的事情。网站服务器为了因应大量请求(多人同时上线),线上运算、可能的安全性问题,以及执行之网站程序,在架构上与个人电脑有多处需要去特化

什么是HTTPS?

HTTPS (超文字安全传输通讯协定) 是一种网络通讯协定,可确保资料在使用者的电脑和网站之间传输时,保有完整性和机密性。使用者造访任何网站时,都希望能享有安全而私密的线上体验。因此,无论网站的内容为何,我们都建议您采用HTTPS 来确保网站使用者的连线安全性。

透过HTTPS传送的资料非常安全,因为HTTPS会透过「传输层安全性」通讯协定( TLS )提供以下三道重要的资安防护网:

  • 加密:对交换的资料进行加密,防止资料遭到窃取。也就是说,当使用者在浏览网站时,任何人都无法「窃听」其对话、追踪他们在多个网页之间转换的活动,或窃取其资讯。

  • 资料完整性:系统会侦测出资料在传输过程中是否遭到有意或无意的修改或破坏。

  • 验证:验证您的使用者是否与预期的网站进行通讯。这能预防拦截式攻击并建立使用者的信任感,进而促进其他商业利益。

 

实作HTTPS 的最佳做法

使用可靠的安全性凭证

在您为网站启用HTTPS时,必须取得安全性凭证。此凭证是由凭证授权单位 (CA)所核发,会透过几个步骤来验证您的网址确实是贵机构所有,借此保护客户免于遭受拦截式攻击。设定凭证时请务必选择2048位元金钥,以确保较高等级的安全性。如果您原有的凭证使用安全性较弱的金钥(1024位元),请将金钥升级至2048位元。选择网站凭证时,请注意下列事项:

  • 向可提供技术支援的可靠CA 取得凭证。

  • 决定您需要的凭证种类:

    • 单一安全来源适用的单一凭证(例如www.90it.cn)。

    • 多个知名安全来源适用的多重网域凭证(例如www.ccxcn.com、cdn.ccxcne.com、ccxcn.co.uk)。

    • 拥有多个动态子网域的安全来源适用的万用字元凭证(例如a.ccxcn.com、b.ccxcn.com)。

 

使用伺服器端301 重新导向

透过伺服器端301 HTTP 重新导向将您的使用者和搜寻引擎重新导向至HTTPS 网页或资源。

 

确认Google 能够检索您的HTTPS 网页并建立索引

  • 请勿使用robots.txt 档案禁止搜寻引擎检索您的HTTPS 网页。

  • 请勿在您的HTTPS 网页中加入noindex 中继标记。

  • 您可以使用Google 模拟器测试Googlebot 是否能存取您的网页。

 

支援HSTS

建议您让HTTPS网站支援HSTS ( HTTP严格传输安全性 )。HSTS会让浏览器自动要求HTTPS网页,即使使用者在浏览器网址列中输入http亦然。此外,它也会指示Google在搜寻结果中提供安全网址。这些措施可以尽可能降低使用者接触到不安全内容的风险。

如要支援HSTS,请使用支援HSTS 的网路伺服器,并启用这项功能。

虽然HSTS 的安全性较高,但也会让复原策略变得更为复杂,因此建议您采用下列方法启用HSTS:

  • 先推出HTTPS 网页,再启用HSTS。

  • 开始传送含有简短max-age 的HSTS 标头。监控来自使用者和其他用户端的流量,以及其他相关内容的成效(例如广告)。

  • 慢慢增加HSTS max-age 长度。

  • 如果HSTS不会对您的使用者和搜寻引擎产生负面影响,您就可以视需求让网站加入各大浏览器的HSTS预载清单中。

考虑使用HSTS 预先载入机制

如果您启用了HSTS,可以选择是否要支援HSTS预先载入机制来提高安全性和效能。如要启用预先载入机制,则必须前往hstspreload.org并依照规定提交您的网站

 

避免常见错误

在透过TLS 加强网站安全性的过程中,请避免下列错误:

问题 因应做法
凭证过期 确保您的凭证一律处于最新状态。
凭证的注册网站名称错误 确认您已为放置网站的所有主机名称取得凭证。举例来说,如果您的凭证只适用于www.ccxcn.com,当使用者透过ccxcn.com (不含「www.」前置字串) 载入您的网站时,就会发生凭证名称不符的错误,因而无法存取网站。
缺少伺服器名称指示 (SNI)支援 确认您的网路伺服器支援SNI,而且您的使用者普遍使用支援的浏览器。所有新型浏览器均支援SNI,但如果您必须支援旧型浏览器,则需要一组专属IP。
检索问题 请勿使用robots.txt禁止搜寻引擎检索您的HTTPS网站。
索引问题 尽可能允许搜寻引擎为您的网页建立索引。请避免使用noindex中继标记。
通讯协定版本过旧 过旧的通讯协定版本会有安全性漏洞,请确实使用最新版的TLS 程式库,并实作最新的通讯协定版本。
混合式安全性元素 HTTPS 网页上只能嵌入HTTPS 内容。
HTTP 和HTTPS 网站上的内容不同 请确保您HTTP 网站和HTTPS 网站上的内容一致。
HTTPS的HTTP状态码错误 检查您的网站是否传回正确的HTTP状态码。例如,200 OK代表可存取的网页,404410则代表网页不存在。

 

其他提示

如要进一步了解如何在网站上使用HTTPS网页,请参阅HTTPS迁移常见问题

 

从HTTP 迁移至HTTPS

如果将网站从HTTP迁移至HTTPS,Google会视为变更网址的网站迁移作业,并可能对您的流量带来暂时性影响。详情请参阅网站迁移概要网页的说明。

请将HTTPS 资源新增到Search Console。Search Console 会分别处理HTTP 和HTTPS;上述资源的资料在Search Console 中并不会共用。因此,如果您有分属于这两种通讯协定的网页,必须分别建立不同的Search Console 资源。

 

文章来源:Google


双11您的网站访问速度够吗?提升网站速度的关键方法分享。

回归网站技术的问题。短短几秒钟内,当有成千上万的消费者挤进你的网站,点击加入购物车,意图要结帐。若将这中间过程拆分来看,从消费者主机/手机端,到网路连线的各个线路、节点,以致于主机(每台主机又分为记忆体,各阶层CPU 的缓存),这么多环节,可以做到如此大量的请求,还能继续运行,就归功于虚拟伺服器以及CDN 技术的进步,以及回归最基本的「缓存」这项环节。