使用 HTTPS 确保网站安全

HTTPS(超文本传输安全协议)是一种互联网通信协议,可保护用户计算机与网站之间传输的数据的完整性和机密性。用户在访问网站时都希望获得安全私密的在线体验。因此,无论您的网站提供什么内容,我们都建议您采用 HTTPS 来保护用户与您网站之间的连接。

使用 HTTPS 发送的数据可通过 TLS(传输层安全协议)得到保护,该协议可提供三重关键保护:

  1. 加密 - 对所交换的数据进行加密,使其免受窥探。这意味着,当用户浏览某个网站时,没有人能够“听到”其会话内容,也无法跟踪其在多个网页上的活动,或窃取其信息。
  2. 数据完整性 - 只要数据在传输期间被修改或损坏(无论有意或无意),都会被检测出来。
  3. 身份验证 - 证明用户是在与目标网站进行通信,从而保护用户免遭中间人攻击并建立用户信任,进而带来其他商业效益。

实施 HTTPS 时的最佳做法

使用强大的安全证书

在为网站启用 HTTPS 的过程中,您必须获得安全证书。证书由 CA(证书授权机构)颁发,该机构会采取措施,确认您的网址确实属于您的组织,从而保护访问者免受中间人攻击。在设置证书时,请选择 2048 位密钥,以确保高级别的安全性。如果所持证书的密钥安全性较弱(1024 位),请将其升级到 2048 位。选择网站证书时,请注意以下几点:

  • 从提供技术支持的可靠 CA 处获取证书。
  • 确定所需证书的类型:
    • 适用于单个安全源 (www.example.com) 的单个证书。
    • 适用于多个知名安全源(例如 www.example.com, cdn.example.com, example.co.uk)的多网域证书。
    • 适用于具有多个动态子网域的安全源(例如 a.example.com, b.example.com)的通配符证书。

使用永久服务器端重定向

使用永久服务器端重定向将用户和搜索引擎重定向到 HTTPS 网页或资源。

确认 Google 能抓取您的 HTTPS 网页并将其编入索引

  • 使用网址检查工具测试 Googlebot 能否访问您的网页。
  • 请勿使用 robots.txt 文件阻止 Google 抓取您的 HTTPS 网页。
  • 请勿在您的 HTTPS 网页中包含 noindex 标记。

支持 HSTS

我们建议 HTTPS 网站支持 HSTS(HTTP 严格传输安全协议)。HSTS 不仅会告知浏览器自动请求 HTTPS 网页(即使用户在浏览器地址栏中输入的是 http),还会告知 Google 在搜索结果中提供安全网址,从而最大限度地降低了向用户提供不安全内容的风险。

若要支持 HSTS,请使用支持 HSTS 的网络服务器并启用 HSTS。

HSTS 虽然更安全,但会让回滚策略更复杂。我们建议您按照以下方式启用 HSTS:

  1. 先推出未采用 HSTS 的 HTTPS 网页。
  2. 开始发送 max-age 较短的 HSTS 标头。监控来自用户和其他客户端的流量,以及广告相关内容的效果。
  3. 逐步增加 HSTS max-age
  4. 如果 HSTS 未对您的用户和搜索引擎产生负面影响,则可以将您的网站添加到大多数主流浏览器使用的 HSTS 预加载列表中。这可提高安全性并改善性能。

避免以下常见问题

在使用 TLS 保护网站安全的整个过程中,请避免以下错误:

常见错误及其解决方案
证书过期 确保证书始终是最新的。
证书注册的网站名称不正确 确认您的证书涵盖与您网站对应的所有主机名。例如,如果您的证书仅涵盖 www.example.com,则仅使用 example.com(不带 www. 前缀)加载您网站的访问者将会因证书名称不匹配错误而被禁止访问。
缺少 SNI(服务器名称指示)支持 确保您的网络服务器支持 SNI,且您的用户通常使用支持的浏览器。虽然所有现代浏览器都支持 SNI,但如果您需要支持旧版浏览器,则需要一个专用的 IP。
抓取问题 请勿使用 robots.txt 禁止 Google 抓取您的 HTTPS 网站。 了解详情
索引编制问题 尽可能允许搜索引擎将网页编入索引。请勿使用 noindex 标记。
旧版协议 旧版协议易受攻击;请务必使用最新版 TLS 库并实施最新版协议。
混合型安全元素 在 HTTPS 网页上只嵌入 HTTPS 内容。
HTTP 和 HTTPS 上的内容不同 确保 HTTP 网站和 HTTPS 网站上的内容相同。
HTTPS 网站上的 HTTP 状态代码错误 确认网站返回正确的 HTTP 状态代码。例如,200 OK 表示网页可访问,而 404410 表示网页不存在。

从 HTTP 迁移到 HTTPS

如果您将网站从 HTTP 迁移到 HTTPS,则 Google 会认为这是一次涉及网址更改的网站迁移。这可能会暂时影响您的部分流量数据。详细了解适用于所有网站迁移的建议

请务必在 Search Console 中添加新的 HTTPS 资源。Search Console 会分别处理 HTTP 和 HTTPS 资源;数据不会在 Search Console 中的资源之间共享。

有关在网站上使用 HTTPS 网页的更多技巧,请参阅 HTTPS 迁移常见问题解答

有关实施 TLS 的更多资源

下面提供了一些有关如何在您的网站上实施 TLS 的其他资源:

如果您是 Search Console 用户,并且您的网站存在持续出现或无法解决的安全问题,请告诉我们。

报告安全问题