为什么非全站升级HTTPS不可?

升级HTTPS已经是大势所趋,但仍有大量互联网企业犹豫是否要全站升级HTTPS,为此本文梳理了全站升级HTTPS与部分升级HTTPS的优劣势对比,来判断是否真的有必要进行全站HTTPS升级。

HTTPS拥有更高的用户信息安全度

HTTPS主要通过在SSL上传输数据来区分HTTP,确保传输的数据在传输过程中被加密,只有相应站点服务器或用户浏览器接收时才能被解密,HTTPS通过这种方式避免了第三方拦截。 

同时,HTTPS提供可信的服务器认证,这是一套黑客不能随意篡改的认证信息,使相关用户确定他们正与正确的服务器通信。没有全站升级HTTPS的网站使一些页面在HTTP中可用,而其他页面在HTTPS中可用,或在HTTPS中呈现HTML文档。 

通过HTTP或不安全的CDN服务加载其他资源(例如JS或CSS文件)的网站也存在敏感用户信息暴露的风险。使整个站点只能通过HTTPS访问是防止这种风险最简单的方法。 
网站存在HTTPS和HTTP两种协议时,跳转需对服务器进行了大量的重定向 

仅部分升级为HTTPS的网站,网站内部的HTTP页面在错误的协议中请求页面时要求站点服务器触发301重定向,这是服务器上的漏洞,当这些重定向被触发时会减慢页面加载速度。 

网站存在HTTPS和HTTP两种协议时,搜索可见性降低

运行部分升级HTTPS网站需要以HTTP和HTTPS两种方式管理整个网站,并且需要仔细、精确地控制重定向。网站很容易在两个协议中被一个或多个网页解析,导致搜索引擎抓取和索引出单个网页的两个版本,从而导致网页的搜索可见性降低(因为搜索引擎会认为这两个网页相互竞争)。 

即使没有这种风险,搜索引擎有时会索引某些上文提及的错误协议的网页,从而对点击进入的用户进行不必要的重定向,反过来造成了不必要的服务器压力,稀释了搜索权限并减慢网页加载速度。 

由于处理个人身份信息的网页大多会使用HTTPS,不可避免的会让一个网站同时拥有HTTPS和HTTP两种协议,因此选择全站HTTPS升级而不是仅仅升级个人身份信息网页将避免如上情况发生。 

HTTPS与Google搜索可见度具有关联性

Google在2014年8月宣布在搜索结果中优先显示已升级HTTPS的网页。2015年,HTTPS和搜索结果显示优先级的相关性变得有统计学意义,SearchMetrics当时独立取证分析验证结果如下图:

搜索引擎优化后的HTTPS VS HTTP 网站的 SSL/TLS 加密排名

从上图可以看出,当一个网站完全升级到HTTPS后:HTTPS会向Google发送更高质量的网站信息。 上文描述过混合协议网站的漏洞,因此,选择将整个网站升级为HTTPS,而不是为个人身份信息专用网页保留HTTPS网页,会向公众表明该网站非常重视用户安全。 

这意味着,是否全站升级HTTPS将影响用户对网站权威性的评估,同时拥有更高的搜索可见性。同时,HTTPS是使用HTTP / 2协议的先决条件,HTTP / 2协议仍在不断完善,预计在未来几年会出现爆炸性增长,因为该技术大大降低了页面负载时间和延迟,加快了HTTPS网页加载速度。 

HTTPS可以更准确地传输引用字符串数据

HTTP网站经常被拒绝访问由HTTPS网站引用的字符串数据,因为HTTP网站不是HTTPS网站的数据发送目标网站。 另一方面,HTTPS网站会谨慎对待访问不安全网站获得的可识别信息,来避免引发不必要的故障。因此,HTTP网站的多次推荐访问最终会被网站分析错误地归类为直接访问。而全站升级HTTPS后,推荐访问中将会减少引荐来源为HTTP网址的字符串,使得网站分析更准确。 

posted @ 2017-05-17 21:02  W+7  阅读(165)  评论(0编辑  收藏  举报