近两年来HTTPS取代HTTP已经成为大势所趋。早在2014年google Chromium安全团队提议将所有的HTTP协议网站标注为不安全。现在,Chrome浏览器已经开始执行这一标准了。从 Chrome 56 开始,任何网页,如果有输入密码或者信用卡资料的,却没有使用 HTTPS,将被 Chrome 浏览器标识为不安全;逐步的,任何没有使用 HTTPS 协议的网页chrome浏览器都会被标识为”不安全”,或者 “Not Secure”。
从chrome 56 版本开始,查看网站的SSL证书的方式做了调整,原来的版本可以点击绿色的小锁进入查看页面,新版本的进入方式:按F12 ,打开开发者工具窗口,进入Security选项卡,然后点击View certificate,如下图所示:
HTTP是目前互联网上使用最广泛的传输协议,但是它没有安全加密功能,很容易遭遇劫持,导致用户流量、隐私被窃。HTTPS则会全程加密传输,并有第三方安全机构认证的数字证书。特别在中国,某些ISP服务商会通过宽带上网服务,进行流量劫持,插入广告代码,使用HTTPS后,这些损招就无计可施了。
搜索引擎逐步支持HTTPS网站的收录,HTTPS作为排名的因素之一,在SEO方面越来越重要。google搜索会把HTTPS作为排名的因素之一,虽然当前只是比较小的因素。2015年百度站长平台发布消息,百度对https页面优先收录、优先排名:
1、从相关性的角度,百度搜索引擎认为权值相同的站点,采用https协议的页面更加安全,排名上会优先对待。 2、此次技术升级之后,百度搜索将同一个域名的HTTP版和HTTPS版作为一个站点来处理,优先收录HTTPS页面。
2017年1月1日,苹果将对Apple Store里所有应用启用一项名为ATS的重要安全功能(App Transport Security,应用程序安全传输,简称 ATS),在启用 ATS 之后,它会强制开发者的应用通过 HTTPS(而不是 HTTP)连接网络服务。
我的网站是基于wordpress构建的,整站转换成HTTPS,可以轻松搞定。
SSL证书的选择1、对于国内用户来说,可以实用与百度云、腾讯云、阿里云合作的赛门铁克签署的证书,一年免费,申请和使用都很方便。
2、自从Let’s Encrypt免费签发证书后,SSL证书的价格就开始平民化了,有不少付费和收费的SSL可以选择。Let’s Encrypt的证书虽然只有90的天,不过自动续期也很方便,对于小站来说,是很不错的选择。Let’s Encrypt的申请安装方法可以参考文章:为你的Blog快速开启https支持。在安装证书的过程中要注意:需要停止web 服务器,比如 Nginx 、Apache ,否则可能报端口占用的错误。
3、因为篡改、伪造等问题,慎重选择沃通、StartCom颁发的证书。
1)2016年9月30日,苹果 Apple于iOS可信根证书列表中宣布:屏蔽其对中级CA WoSign CA Free SSL Certificate G2( CA 沃通免费 SSL 证书 G2)的信任。
2)2016年10月24日,Mozilla在其安全博客公布了对沃通CA和StartCom的最终处理措施:Mozilla 决定不再信任目前包含在 Mozilla 根证书项目中的沃通根证书(Root certificate)和StartCom 根证书今后颁发的服务器证书。即:它不再信任在10月21日之后签发的沃通CA证书,并从 Firefox 51 起移除对4个沃通根证书的信任。
3)2016年10月31日,Google在其安全博客中宣布了:从Chrome 56开始,不再信任WoSign和StartCom在2016年10月21日后颁发的证书。
4.SSL 要用 ECC 证书,即使因为某种原因必须要用 RSA 证书的,那么也要用双证书,就是 ECC + RSA两个证书。在加密算法上,要去掉 RC4。
5.只使用 TLS 协议,包括 TLSv1.0, TLSv1.1,TLSv1.2。禁止 SSL 协议。
6.SSL 证书的签名算法,要使用 SHA-2,不要使用已经被证明有严重缺陷的 SHA-1了。
调整wordpress网站配置1.修改wordpress后台配置中的地址改为https版本
注意:一定要保证https和http两种方式都能正常访问网站,才能改这个配置,否则可能导致网站无法访问。
通过上面的设置,绝大部分导航中的