HTTPS(超文本传输协议安全)是一种互联网通信协议,可保护用户计算机与站点之间数据的完整性和机密性。用户希望在使用网站时获得安全的私人在线体验。我们建议您采用HTTPS以保护用户与您网站的关联,无论网站上的内容如何。
使用HTTPS发送的数据通过传输层安全协议(TLS)得到保护,该协议提供三个关键的保护层:
您必须获取安全证书,作为为您的站点启用HTTPS的一部分。证书由证书颁发机构(CA)颁发,它采取措施验证您的Web地址实际上属于您的组织,从而保护您的客户免受中间人攻击。设置证书时,请通过选择2048位密钥来确保高级别的安全性。如果您已经拥有较弱密钥(1024位)的证书,请将其升级到2048位。选择站点证书时,请注意以下事项:
www.example.com
)。www.example.com, cdn.example.com, example.co.uk
)。a.example.com, b.example.com
)。使用服务器端301 HTTP重定向将您的用户和搜索引擎重定向到HTTPS页面或资源。
noindex
在HTTPS页面中包含元标记。我们建议HTTPS站点支持HSTS(HTTP严格传输安全性)。HSTS告诉浏览器自动请求HTTPS页面,即使用户进入http
浏览器位置栏也是如此。它还告诉Google在搜索结果中提供安全的网址。所有这些都可以 null 大限度地降低向用户提供不安全内容的风险。
要支持HSTS,请使用支持HSTS的Web服务器并启用该功能。
虽然它更安全,但HSTS增加了回滚策略的复杂性。我们建议以这种方式启用HSTS:
如果启用HSTS,则可以选择支持HSTS预加载,以提高安全性并提高性能。要启用预加载,您必须访问hstspreload.org并遵循您网站的提交要求。
在使用TLS确保您的网站安全的整个过程中,请避免以下错误:
问题 | 行动 |
---|---|
过期的证书 | 确保您的证书始终是 null 新的。 |
证书注册到错误的网站名称 | 检查您是否获得了站点所服务的所有主机名的证书。例如,如果您的证书仅涵盖www.example.com,则仅使用example.com(没有“www。”前缀)加载您网站的访问者将被证书名称不匹配错误阻止。 |
缺少服务器名称指示(SNI)支持 | 通常,确保您的Web服务器支持SNI,并且您的受众通常使用支持的浏览器。虽然所有现代浏览器都支持SNI ,但如果您需要支持旧浏览器,则需要专用IP。 |
爬行问题 | 不要阻止您的HTTPS站点使用爬网robots.txt 。 |
索引问题 | 允许搜索引擎尽可能为您的网页编制索引。避免使用noindex 元标记。 |
旧协议版本 | 旧协议版本易受攻击; 确保您拥有 null 新和 null 新版本的TLS库并实施 null 新的协议版本。 |
混合安全元素 | 仅在HTTPS页面上嵌入HTTPS内容。 |
HTTP和HTTPS上的内容不同 | 确保HTTP站点上的内容和HTTPS相同。 |
HTTPS上的HTTP状态代码错误 | 检查您的网站是否返回正确的HTTP状态代码。例如200 OK 对于访问的网页,或404 或410 用于网页不存在的。 |
有关在您的站点上使用HTTPS页面的更多提示,请参阅HTTPS迁移常见问题解答。
如果您将网站从HTTP迁移到HTTPS,Google会将此视为带有网址更改的 网站移动。这可能会暂时影响您的部分流量。请参阅站点移动概述页面以了解更多信息。
将新的HTTPS属性添加到Search Console: Search Console分别处理HTTP和HTTPS:Search Console中的属性之间不共享数据。