百度搜索:网站防劫持HTTPS改造全解析
HTTPS 主要由两部分组成:HTTP + SSL / TLS,是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性,HTTPS 能有效的防止网站被劫持,HTTPS 是公认的防止被劫持的有力手段。百度搜索也对 HTTPS 站点给予一定的优待和扶持。对 SEO 优化的朋友来说是一个值得选择的加分项。
HTTPS 改造的必要性
网站安全问题其实是触目惊心的,主要表现在以下方面:1、首页会被篡改,非法跳转;2、网站被灌入广告,但收入不归自己网站所有。HTTPS 是公认可有效的防止网站被黑被篡改的认证协议。
HTTPS 的优点:
安全性方面:
在目前的技术背景下,HTTPS 是现行架构下最安全的解决方案:
- 使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
- HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 http 协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
- HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
网站收益:
- 网站更安全,对应网站评价会相对高一些;
- 网站更安全,对应网站落地体验也是更加优质的;
- 在搜索展示端,做 HTTPS 改造的网站,在搜索改造下会出现 HTTPS 的展现样式。
HTTPS 的缺点:
- SSL 的专业证书可能需要花费一定费用,,功能越强大的证书费用越高。
- 阿里云的《SSL 证书服务》有免费的 SSL 证书,选择单域名 -> DV SSL ->免费版即可。
- 需要站点投入人力成本,技术改造视站点情况而定。
百度对 HTTPS 站点的扶持态度
出于 HTTPS 的安全性,百度对 HTTPS 一直持支持态度。预计在 2018 年下半年,HTTPS 将作为优质特征之一影响搜索排序。
此外,百度对 HTTPS 站点有以下几个维度的支持。
1、平台支持
百度搜索资源平台目前已经完美支持 HTTPS 验证,并为 HTTPS 准备了相应的数据提交接口,第一时间对 HTTPS 进行数据接收。
2、抓取支持
对于 HTTPS 站点,百度蜘蛛和百度收录策略都进行了相应升级。
3、展现支持
根据不同情况,百度会对 HTTPS 站点进行一定程度的优先展现。
4、其他支持
目前百度各方面也在全力支持 HTTPS,已经推出的 HTTPS 服务有百度云加速和百度云存储等。
HTTPS 改造通用解决方案
搭建 HTTPS 网站的准备工作
简单来说,HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,所以 HTTPS 网站搭建中比较重要的内容都是围绕着 SSL 证书进行的。那我们应该做什么准备工作,
如下图:
网站选型:HTTPS 会提升网站安全性,同样也拉高技术成本,所以我们建议一些涉及到用户隐私信息的网站进行 HTTPS 建设,公开性的内容是根据网站自身情况进行选择;
证书申请:
1、CSR 文件制作。
申请 SSL 证书之前,需要制作 CSR 文件,CSR,Certificate Signing Request,是制作 SSL 证书的必要步骤。一个 CSR 文件中描述了 SSL 证书持有人的信息(如个人姓名或公司名称)、联系地址等,用于验证 SSL 证书和域名是同一个人持有,以确保网站的合法性。制作完成后向 SSL 证书提供商上传这个文件,以获得最终的 SSL 证书。
在申请服务器证书时,不要出现某些特殊字符,否则在您提交 CSR 后,会出现"105"的错误代码。这个错误是由于在您生成 CSR 时,输入的信息中包含一些特殊字符,如:(@,#,&,!,等等,例如:您可以将"&"用"and"代替)。
在您生成 CSR 时,公用名(Common Name)是必须填写的,但许多客户填写这一项时,经常填错或不符合标准。
公用名(Common Name) 是您的主机名+域名,比如:www.willrey.com 维瑞的服务器证书是颁发给某一台主机的,而不是一个域,您的公用名(Common Name)必须与您要使用服务器证书的主机的全名完全相同,因为 www.domain.com 与 domain.com 是不同的。
要生成 CSR 文件,你必须为服务器创建一对密钥对。密钥对和证书是不可分开的,一旦您遗失了公钥、私钥或密码,重新生成密钥对后,和原来的证书就不匹配了。如果您申请的是全球信 SSL 证书,可以重新提交 CSR 免费重发证书;如果您申请的是闪快 SSL 证书,就必须重新付费申请证书。
2、CA 认证证书申请
将 CSR 提交给 CA,CA 一般有 2 种认证方式:
- 域名认证:一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称。
- 企业文档认证:需要提供企业的营业执照
也有需要同时认证以上 2 种方式的证书,叫 EV ssl 证书,这种证书可以使 IE7 以上的浏览器地址栏变成绿色,所以认证也最严格。
3、证书安装
在收到 CA 的证书后,可以将证书部署上服务器,一般 APACHE 文件直接将 KEY+CER 复制到文件上,然后修改 httpD.CONF 文件;TOMCAT 等,需要将 CA 签发的证书 CER 文件导入 JKS 文件后,复制上服务器,然后修改 SERVER.XML;IIS 需要处理挂起的请求,将 CER 文件导入。
鉴于对建站成本的考虑,需要高级别 ssl 证书的往往是大中型网站,如网上银行、购物网站、金融证券、政府机构等,诸如个人博客之类的小型站点完全可以先尝试免费 ssl 证书。
服务器选购:考虑到 CSR 和 SSL 证书与服务器的环境配置及功能支持有必不可分的联系,建议在再选购服务器之前做好充分的考虑。尤其是对服务器是否支持 SSL 功能,是否与证书匹配等功能需要重视;
网站开发:由于网站功能与开发语言各不相同,在这就不详细说明网站开发的准备工作了,HTTPS 网站与 HTTP 网站在开发期间基本是一致的,只是使用协议不同。
HTTPS 网站搭建中的注意事项
HTTPS 网站的加密功能决定了在搭建过程中一定要注意一些问题:
- 衡量投入与产出:无论是做一个新的 HTTPS 站还是从 HTTP 转成 HTTPS 的网站,都需要投入硬件、软件、人力等新的成本,所以在未评估之前建议不要做;一旦做好,轻易不要关闭 HTTPS 网站倒退回 HTTP,这种倒退行为很容易造成不利影响;
- 证书申请机构:在选择申请机构之前一定要考察核对该机构是否有可信资质,有些机构没有被国际机构认可(浏览器上会没有小绿锁),也有些机构在访问地域上有所限制,还有的机构出现过公钥泄露的情况,所以请慎重选择;
- 证书的选择:因为网站的开发语言、使用功能和服务器环境不同,证书的选择也不同,所以在选择时要考虑好需要什么证书,避免浪费成本;
- 网站路径方式:在 HTTP 网站上绝对路径和相对路径并没有明显的区别,但是在 HTTPS 和 HTTP 共存的情况如果使用绝对路径容易出现协议混淆的情况,如果混淆后可能会出现链接打不开,或者蜘蛛抓取失败等现象,这个应该十分注意!
- 服务器的访问速度:由于 HTTPS 多次握手的特性,网站速度是一定会受到影响的,所以在搭建网站的同时要注意网站速度的优惠,可以适当考虑使用 CDN 等产品。
百度 HTTPS 认证工具介绍
HTTPS 配置
搜索资源平台左边工具栏有 HTTPS 认证的功能,平台已经全站支持 HTTPS,点击选择此功能后会有提示引导我们如何认证 HTTPS。需要提醒是需要全站支持 HTTPS,才可以进行点击,如果不是全站支持的话对站点会有一些副作用。
HTTPS 验证
当站长在平台上做了配置以后首先会有 HTTPS 验证,验证确认站长是否误配,具体会检查 HTTPS 链接是不是可抓取的。另外会对 HTTPS 的证书校验,包括它的合法性、是否过期、跟它本身的域名是否一致,从这三个角度做校验。
HTTPS 生效
校验通过后,生效方式从这两个角度进行
- 全站抓取以 HTTPS 的方式来抓,这会在抓取上做一定的切换
- 全站的展现样式也会直接切换成 HTTPS,用了这个功能的好处是会比以前快很多,会略过已收录的网页直接到 HTTPS,一个小时内整个站点就能全部生效。
HTTPS 改造全流程常见 Q&A
HTTPS 改造前
(1)Q:站点是否一定要做 HTTPS
A:从网站安全和用户体验上来讲,HTTPS 站点更为安全优质,而百度搜索在索引的时候会考虑优先展现用户体验较好的页面;预计在 2018 年下半年,HTTPS 将作为优质特征之一影响搜索排序。如果您的条件允许,百度建议您做 HTTPS,以便于网站获取更多流量。
(2)Q:HTTPS 改造的优点是什么?
A:HTTPS 是公认的防止被劫持的有力手段。
(3)Q:HTTPS 改造的缺点是什么?
A:需要站点投入人力成本,技术改造视站点情况而定,且 HTTPS 协议证书可能会产生费用。
(4)Q:站点使用平台 HTTPS 认证工具,有什么收益?
A:通过 HTTPS 认证后,站点在百度搜索的所有快照都会变成 HTTPS 格式,蜘蛛会优先抓取 HTTPS 的链接,让用户在搜索中获得更安全的链接,站点也能享受到 HTTPS 站点在搜索优待方面的权益。
(5)Q:我们的 H5 站点是 HTTP 和 HTTPS 兼容的,在进行 HTTPS 认证时需要注意什么?
A:需要把 HTTP 301 到 HTTPS。(302 也支持,但我们仍然建议 301)
(6)Q:我的站点没有做 HTTPS 改造,为什么会展现成 HTTPS?
A: 百度会从全网超链上来解析提链,有的站点在其他网页上以 https 方式进行超链,百度爬虫会尝试去访问 HTTPS,如果站点不支持 HTTPS,也不希望展现 HTTPS,建议把 443 端口进行关闭,不然容易被抓错。
HTTPS 改造中
(7)Q:百度 HTTPS 认证要求网站必须完全切换到 HTTPS,但是有些 API 接口只兼容 HTTPS,会导致网站部分服务出问题,怎么办?
A:建议站长升级 API 接口。从站长的用户体验出发,是需要页面内的元素都是 https 的,否则容易引起页面局部体验差的问题。
(8)Q:站点使用平台 HTTPS 认证工具,有什么要求?
A:
- 1. 保证 HTTPS 站点正常访问,且页面内引入资源为 HTTPS 格式,包括引入的视频、图片、CSS、JS 等元素。
- 2. 如果站点存在 HTTP 和 HTTPS 两种协议的页面,必须将 HTTP 的 URL 301 到 HTTPS 的 URL 上,仅有 HTTPS 站点的可以直接认证;(目前也支持 302)
(9)Q:站点没有全站 HTTPS,搜索引擎会如何表现?是否影响线上展现和流量?
A:现在百度支持站点下部分链接改 HTTPS,是根据抓取行为来判定的,如果抓取时支持 HTTPS,我们会展示 HTTPS ;反之,则展示 HTTP。
(10)Q:HTTPS 站点在搜索资源平台如何提交数据?
A:搜索资源平台已经全面支持 HTTPS 站点,HTTPS 站点使用平台工具与 HTTP 站点没有任何不同。
(11)Q:如果网站未全站做 HTTPS 改造,新产生的 HTTPS 内容如何被搜索快速抓取?线上的 HTTP 是否会被替换成 HTTPS?
A:新产生的 HTTPS 内容,会自动被搜索引挚抓到,展现也会是 HTTPS;线上的 HTTPS 页面,如果已经支持 HTTPS 并进行了跳转,会逐步切换为 HTTPS, 如果是不支持 HTTPS 的页面,不会进行替换。这个会根据实际的抓取行为来进行区分
HTTPS 改造后
(12)Q:网站做了 HTTPS,原来的 HTTP301 到了 HTTPS,这样影响大吗?
A:这么做属于正常情况,且必须要这么做。
(13)Q:HTTPS 站点如何能被百度快速收录?
A:
- 1. 确认站点全站都是 HTTPS 之后,请使用 HTTPS 认证工具,此工具可加快搜索对网站的识别。
- 2. 纯 HTTPS 站点,请先使用 HTTPS 认证工具,然后使用链接提交工具向百度提交数据
(14)Q:HTTPS 页面收录速度太慢
A:请站长通过反馈中心进行反馈。
(15)Q:HTTPS 改造会不会带来流量损失?
A:流量损失和 HTTPS 改造无关,出现流量损失情况请站长通过反馈中心进行反馈。
(16)Q:HTTPS 页面是否也会被百度转码?
A:是否会转码和 HTTPS 无关
(17)Q:站点使用平台 HTTPS 认证工具后,如果不想做 HTTPS 站了,如何退回?
A:站点通过认证后,只需要点击退场按钮,就可以退回到 HTTP 站点了;需要强调的是,点击回退按钮后,要等到显示回退成功了再做其他操作,否则有可能导致网站产生死链接。
(18)Q:网站做了 HTTPS 改造后,是否需要重新提交移动适配?
A:不需要。
(19)Q:网站 HTTPS 改造后,友情链接是不是必须也做 HTTPS 改造?
A: 这个不是必须的,外链跳转不受影响。