总是在SSL上,或默认SSL——不管你把它叫做什么,你应当在使用它。
这是一个小小的建议:如果你拥有一个SSL证书,那么确保它在你的所有网站上都得到了部署,有时,我们把这种情况称作“总是在SSL上”或“默认SSL。”尽管对有些人来说这是一件显而易见的事,但如果你知道尽管安装了SSL证书,但还有很多网站是通过HTTP协议来提供页面的,你可能会感到十分惊讶。
不管你是否使用了SSL证书来加密网站上的一个页面,或所有的页面,你都会为该SSL证书负同等的费用。因此,你为什么不对所有页面都进行加密呢?
没有总是使用SSL是没有理由的
过去,人们认为使用SSL证书加密整个网站可能会导致性能问题。现在我可以告诉你,早在很久以前,这个问题就得到了解决。
目前,有大量例子证明,通过HTTPS协议服务一个网站事实上比通过HTTP协议更快。2015年,随着HTTP/2协议的发布——记住,HTTP/2要求安全的连接——HTTPS变得更快速了。因此,如果你因纠结于性能问题而没有总是使用SSL,那么是时候重新考虑一下了。
为什么每个页面都需要HTTPS协议?
首先,截止2017年,当浏览器——Chrome、Firefox、Safari和Edge/IE——访问到未经加密的网站时,它们会开始警告用户。在试图要求对网站进行加密方面,谷歌的态度是最为强硬的,它们甚至会把没有SSL证书的网站标记为“不安全。”
接下来几个月,其他一些浏览器有望效仿这一做法。
很显然,将你的网站标记为“不安全”是有影响的,因为它可能会影响你的流量和跳出率。此外,从搜索引擎优化角度来说也不利的。截止到2016年,一些专家提出,使用SSL可能会使一个网站的搜索引擎排名增长多达5%。坦白来说,我一直认为这个数字有点偏高,但背后的逻辑却是合理的。
对安全性的整体分析
把你的网站的安全想象成为一个免疫系统,你不会做削弱你自己的免疫系统的事情,对吧?但是,当你只加密某个部分,而使其他部分采用HTTP协议时,你就是在这样做。
首先,在加密和未加密的连接中跳来跳去会使你的服务器不堪负荷——尤其是如果你采用了正向加密方法时,因为在每一次终止一个安全的连接时,这种方法会要求一次新的握手和会话密钥。随着攻击者可能进行降级攻击,并极力试图卸除SSL的保护时,你也很有可能会面临一个新的攻击。
关于总是在SSL上的最后一点建议
整个网络都想要你进行加密。不只是你的主页,或者你的结算页面,或者文本区页面——而是所有的一切。你的整个网站不进行加密,谷歌是不会感到满意的。所有页面,所有图像,所有资产。
此外,如果你不使用SSL证书,像它应当做的那样,你又为什么要购买它呢?SSL证书本该用来加密你的整个网站,而不是它的一部分。因此记得一定要这样做。总是在SSL上,或默认SSL,或在任何地方使用HTTPS——不管你把它叫做什么,只要确保你在使用它。
