使用HTTPS保护您的网站|Google官方文档

什么是HTTPS?

HTTPS(超文本传输​​协议安全)是一种互联网通信协议,可保护用户计算机与站点之间数据的完整性和机密性。用户希望在使用网站时获得安全的私人在线体验。我们建议您采用HTTPS以保护用户与您网站的关联,无论网站上的内容如何。

使用HTTPS发送的数据通过传输层安全协议(TLS)得到保护,该协议提供三个关键的保护层:

  1. 加密 –加密交换的数据以保护其免受窃听者的侵害。这意味着,当用户浏览网站时,没有人可以“倾听”他们的对话,跨多个页面跟踪他们的活动,或窃取他们的信息。
  2. 数据完整性 –在传输期间,无论是有意还是无意,都不能修改或损坏数据,而不会被检测到。
  3. 身份验证 – 确保您的用户与目标网站进行通信。它可以防止中间人攻击并建立用户信任,从而转化为其他商业利益。

实施HTTPS时的佳做法

使用强大的安全证书

您必须获取安全证书,作为为您的站点启用HTTPS的一部分。证书由证书颁发机构(CA)颁发,它采取措施验证您的Web地址实际上属于您的组织,从而保护您的客户免受中间人攻击。设置证书时,请通过选择2048位密钥来确保别的安全性。如果您已经拥有较弱密钥(1024位)的证书,请将其升级到2048位。选择站点证书时,请注意以下事项:

  • 从提供技术支持的可靠CA获取证书。
  • 确定您需要的证书类型:
    • 单个安全来源的单一证书(例如www.example.com)。
    • 用于多个众所周知的安全起源的多域证书(例如www.example.com, cdn.example.com, example.co.uk)。
    • 具有许多动态子域的安全源的通配符证书(例如a.example.com, b.example.com)。

使用服务器端301重定向

使用服务器端301 HTTP重定向将您的用户和搜索引擎重定向到HTTPS页面或资源。

确认您的HTTPS页面可以被Google抓取并编入索引

  • 请勿通过robots.txt文件阻止您的HTTPS页面。
  • 不要noindex 在HTTPS页面中包含元标记。
  • 使用Google抓取方式测试Googlebot是否可以访问您的网页。

支持HSTS

我们建议HTTPS站点支持HSTS(HTTP严格传输安全性)。HSTS告诉浏览器自动请求HTTPS页面,即使用户进入http浏览器位置栏也是如此。它还告诉Google在搜索结果中提供安全的网址。所有这些都可以大限度地降低向用户提供不安全内容的风险。

要支持HSTS,请使用支持HSTS的Web服务器并启用该功能。

虽然它更安全,但HSTS增加了回滚策略的复杂性。我们建议以这种方式启用HSTS:

  1. 首先不使用HSTS推出您的HTTPS页面。
  2. 开始发送短期大年龄的HSTS标头。监控来自用户和其他客户端的流量,以及依赖者的性能,例如广告。
  3. 慢慢增加HSTS大年龄。
  4. 如果HSTS不会对您的用户和搜索引擎产生负面影响,您可以根据需要将您的网站添加到 大多数主流浏览器使用的  HSTS预加载列表中

考虑使用HSTS预加载

如果启用HSTS,则可以选择支持HSTS预加载,以提高安全性并提高性能。要启用预加载,您必须访问hstspreload.org并遵循您网站的提交要求

避免这些常见的陷阱

在使用TLS确保您的网站安全的整个过程中,请避免以下错误:

问题行动
过期的证书确保您的证书始终是新的。
证书注册到错误的网站名称检查您是否获得了站点所服务的所有主机名的证书。例如,如果您的证书仅涵盖www.example.com,则仅使用example.com(没有“www。”前缀)加载您网站的访问者将被证书名称不匹配错误阻止。
缺少服务器名称指示(SNI)支持通常,确保您的Web服务器支持SNI,并且您的受众通常使用支持的浏览器。虽然所有现代浏览器都支持SNI ,但如果您需要支持旧浏览,则需要专用IP。
爬行问题不要阻止您的HTTPS站点使用爬网robots.txt
索引问题允许搜索引擎尽可能为您的网页编制索引。避免使用noindex元标记。
旧协议版本旧协议版本易受攻击; 确保您拥有新和新版本的TLS库并实施新的协议版本。
混合安全元素仅在HTTPS页面上嵌入HTTPS内容。
HTTP和HTTPS上的内容不同确保HTTP站点上的内容和HTTPS相同。
HTTPS上的HTTP状态代码错误检查您的网站是否返回正确的HTTP状态代码。例如200 OK对于访问的网页,或404410用于网页不存在的。

更多提示

有关在您的站点上使用HTTPS页面的更多提示,请参阅HTTPS迁移常见问题解答

从HTTP迁移到HTTPS

如果您将网站从HTTP迁移到HTTPS,Google会将此视为带有网址更改的  网站移动。这可能会暂时影响您的部分流量。请参阅站点移动概述页面以了解更多信息。

将新的HTTPS属性添加到Search Console:  Search Console分别处理HTTP和HTTPS:Search Console中的属性之间不共享数据。

滚动至顶部
扫描微信二维码联系我们 关闭