2017年是HTTPS和SSL的爆发年

在2014年，谷歌宣布将非HTTPS直观提示为不安全我网站，呼吁所有的网站转为HTTPS协议。谷歌之所以采取这一行动，是希望创建一个更加安全的网络空间。下面分析什么是HTTPS和SSL。

什么是HTTPS？
HTTPS是超文本传输安全协议的缩写。它是互联网的安全通信的协议。HTTPS协议是通过客户端和服务器之间进行加密，防止窃听者监听，篡改数据，辨别网站的真实性，网站不被模仿伪造。

什么是SSL？
SSL是安全套接字层的缩写，通常与术语TLS （传输层安全性）互换使用。两者都是对计算机网络的通信进行加密协议。若网站需要在服务器和客户端之间进行数据传输加密，则可以通过购买SSL证书，将加密密钥部署在服务器上。

为什么如此重视HTTPS和SSL？
目前大多数网站的网址通常以“HTTP”开头，但这是网络服务器和计算机或智能手机上的浏览器之间传输数据协议的不安全版本。HTTPS协议与SSL证书会对网络身份验证、保护数据完整性、和对其进行加密。这也是谷歌倡导HTTPS协议的原因。

• 身份验证可解决验证网站所有权的问题。有不少网站被不法分子模仿，模糊访问者的认知度，转移流量。但如果网站采取HTTPS协议，用户可通过浏览器中检查绿色锁，辨别网站的真假，然后才将个人信息输入网站。或验证SSL证书，确认网站身份。
• 数据完整性指的是网站上的数据是否在传输过程中有被篡改。如果网站采用明文传输协议，黑客可在传输过程中窃取传输数据，或篡改服务器回传到客户端的数据。
• 加密是指客户端和服务器之间的通信安全，保证第三方没法读取具体内容。这是商业网站的安全重点。在电子商务网站上加密通信极为重要，同时，加密使用表单提交的数据一样重要。

什么是SSL证书成本？
SSL证书的成本取决于域名的数量以及证书颁发机构，以及他们购买的证书类型。目前有三种类型的证书。

• 单域 -这种类型的SSL证书只适用于一个域URL有效。
• 多域 -也称为通用通信证书（UCC），适用于多个域名和多个主机名。申请者可设置主域，并且可在单个证书中添加多个主题备用名称（SAN）。
• 通配符 -这种类型的证书是确保一个主域及其多个子域名。

申请者可根据自身情况选择适合的SSL证书。
为什么说2017年是HTTPS和SSL的爆发年？
早在2014年，Google表示，如果网站使用的是HTTPS安全协议，则会优先收录，并且在搜索引擎结果中优先排名。对于重视搜索引擎排名的企业来说，这是一件优化网站的好事。Google还表示，他们不会惩罚不安全的网站。
2016年九月，谷歌宣布了在2017年1月，在Chrome版本56，凡是显示密码或涉及金额交易等领域的网页，地址栏将直接显示网站安全性的标识。将所有非HTTPS的页面标识为不安全。

HTTPS vs HTTP Google Chrome通知 – 图片来源：Google

曾经Google进行过一些调查，访问者认为不安全的网站，应该显示“不安全”图标的警告。这就是为什么Google会采取措施来警示用户，若使用谷歌浏览器访问非HTTP页面、输入敏感信息的网站直接提示为不安全。
如何将网站从HTTP更改为HTTPS？
GDCA（数安时代）可以帮助客户正确快捷完成这个过渡，以下是HTTP向HTTPS升级需要前提准备：

• 了解网站域名的属性，选择适合的证书
• 向全球认证的CA机构申请证书，并在网站上正确安装证书。
• 将网站的配置更新指向HTTPS而不是HTTP。
• 将HTTP网站的所有传入请求重定向到HTTPS网站的位置。
• 在Google Search Console中重新验证网站的所有权，并更新网站地图位置。
• 在Google Analytics（分析）中更新网站资源的设定。
• 测试并确认转换成功。

完成HTTPS指向后，虽然网站的域名没有改变，但HTTP和HTTPS请求的是从Web服务器上的两个不同的端口。因此，当Google重新为网站重新建立索引时，网站流量可能出现短暂下降。所以这也是确保重定向的接缝时间是非常重要的。
在完成HTTPS指向时，如果有任何营销工具或数字广告指向网站，则需要更新他们指向的网址。虽然重新定向会被设置为向HTTPS网址发送HTTP请求，但更改指向仍然最佳做法，因为重新定向会减慢请求时间，并可能会降低访问者的转化次数。
下一步该怎么办？
这似乎并不是一个决定，而是一种趋势。目前，网站管理员并不是考虑要不要部署HTTPS,而是考虑何时完成HTTPS安全协议。在2017年，GDCA将为每一个的网站完成SSL证书的部署，完成HTTP指向HTTPS。希望每位用户的网站都是安全的。