全球主机交流论坛

标题: MJJ们的网站上启用HTTPS了吗？谷歌要增加https权重了 [打印本页]

作者: QuaintJade 时间: 2014-8-9 20:19
标题: MJJ们的网站上启用HTTPS了吗？谷歌要增加https权重了
本帖最后由 QuaintJade 于 2014-8-9 20:24 编辑

谷歌宣布网站加密今后将影响搜索排名

谷歌将开始把网站加密（或HTTPS）作为一种排名信号——该举措应该会促使部分网站开发者作出改变，这些开发者不愿加强安全措施或者争议自己的网站是否具有“足够”重要性而要进行加密。谷歌称，一开始，HTTPS将只是一种轻量级的信号，影响不到1%的全球搜索。

这意味着，新信号的权重不及其他因素，如内容的质量，因为谷歌希望为网站管理员提供时间使他们转换至HTTPS。

不过，随着时间过去，加密对搜索排名的影响将加强，因为该公司将更多重要性放到网站安全上。

谷歌还承诺发布一系列围绕安全传输层协议（TLS）的最佳做法，因此网站开发者可以更好地理解他们需要做什么才能执行这项技术以及他们应该避免什么错误。这些提示将包括各种东西，如需要什么类型的证书，如何利用相对URL以获得位于相同安全域的资源，有关允许网站索引的最佳做法等。

此外，谷歌表示，网站开发者可以利用Qualys Lab工具测试目前的HTTPS网站，并且可以将进一步的问题引导至谷歌的网站管理员帮助论坛（WebmasterHelp Forums），该公司已经在这个论坛上与更广泛的社区进行积极磋商。

这则消息吸引了来自网站开发者以及搜索引擎优化行业人士的很多反馈——例如，谷歌自己的博客文章已经吸引了接近1000条评论。在很大程度上，该社区似乎支持这种调整，或者至少承认她们认为类似的事情正在推进之中并且对此不感到惊讶。

近几个月，谷歌一直采取措施以更好地保护自己的流量，如加密服务器之间的流量。Gmail现在一直都使用加密的HTTPS连接，因而邮件在从消费者的机器转移到谷歌的数据中心的过程中不会被窃取窥探。

虽然多年来，HTTPS和网站加密一直是安全社区一种最好的做法，但是有关**局**用户以直接获取信息的爆料，促使很多科技公司考虑加强自己的安全措施。例如，雅虎也在去年11月宣布计划对其数据中心流量进行加密。

现在，谷歌正帮助推动网络世界其他地方采取同样的措施。

（翻译：何文伟）

原文：
Google Says Website Encryption – Or Lack Thereof – Will Now Influence Search Rankings
http://techcrunch.com/2014/08/07/google-says-website-encryption-or-lack-thereof-will-now-influence-search-rankings/?ncid=rss

谷歌官方博客：
HTTPS as a ranking signal
http://googlewebmastercentral.blogspot.jp/2014/08/https-as-ranking-signal.html

文中提到的Qualys Lab工具：
https://www.ssllabs.com/ssltest/

作者: QuaintJade 时间: 2014-8-9 20:20
本帖最后由 QuaintJade 于 2014-8-9 20:22 编辑

忘了应该发一个投票贴。。。

作者: cannianue 时间: 2014-8-9 20:22
提示: 作者被禁止或删除内容自动屏蔽

作者: 极客族 时间: 2014-8-9 20:25
不打算完全Https，不过会使用Https

作者: 来自未来的家伙 时间: 2014-8-9 20:27
打不开谷歌是个问题

作者: QuaintJade 时间: 2014-8-9 20:30

极客族发表于 2014-8-9 20:25
不打算完全Https，不过会使用Https

不完全的https的安全性和普通http差别不大，可以通过劫持非https的部分进行中间人攻击，比如将非加密部分替换为恶意的js。

作者: 晓白 时间: 2014-8-9 20:57
提示: 作者被禁止或删除内容自动屏蔽

作者: 极客族 时间: 2014-8-9 21:01

QuaintJade 发表于 2014-8-9 20:30
不完全的https的安全性和普通http差别不大，可以通过劫持非https的部分进行中间人攻击，比如将非加密部分 ...

一个小博客还要怎样。。。

作者: 我很帅 时间: 2014-8-9 21:08
提示: 作者被禁止或删除内容自动屏蔽

作者: andywxb 时间: 2014-8-9 21:15
我正在等StartSSL的确认邮件中呢，就见到这个贴了！

作者: 我买主机 时间: 2014-8-9 21:16
提示: 作者被禁止或删除内容自动屏蔽

作者: QuaintJade 时间: 2014-8-9 21:56

我很帅发表于 2014-8-9 21:08
https明显慢用户体验差多了

明显是偏见。
同一个网站http和https不会有多大差别，除非主机性能太低或者配置方法不对

作者: QuaintJade 时间: 2014-8-9 22:09

极客族发表于 2014-8-9 21:01
一个小博客还要怎样。。。

浏览器的“页面上部分内容不安全”提示会很难看

作者: opelnic 时间: 2014-8-9 22:18
HTTPS开销很大的，且不说CPU这些消耗，传输的消耗也很多，碰到网络不好的时候就更加明显。频繁的reload也会导致CPU变高

在HTTP头上还要用上Cache-Control来控制缓存。

作者: 冰剑 时间: 2014-8-9 22:19

晓白发表于 2014-8-9 20:57
已经在用https的撸过
那个啥评测ssl的还拿了个A+

晓白你菊花不见了

作者: 雨宫音羽 时间: 2014-8-9 22:25
早已配置了HTTPS两年即使是一个小博客测试成绩A（A+不兼容IE6等老浏览器）

不过目前是HTTP和HTTPS并存 HTTPS是可选但是登录后台是强制HTTPS

通过黑科技并存情况下 HTTPS不会提示页面有混合信息且工作正常

作者: 我很帅 时间: 2014-8-9 22:43
提示: 作者被禁止或删除内容自动屏蔽

作者: SKIDROW 时间: 2014-8-9 23:33

我很帅发表于 2014-8-9 22:43
理论是理论实际是实际

方校长恨不得没有https……

作者: jiajieit 时间: 2014-8-9 23:37
目前登陆或后台部分使用ssl。全站都可以使用ssl，但是只有后台或登陆注册页强制使用。

作者: QuaintJade 时间: 2014-8-9 23:44

我很帅发表于 2014-8-9 22:43
理论是理论实际是实际

大防火墙的问题。
而且实际情况是两者都上不去

作者: QuaintJade 时间: 2014-8-9 23:48

jiajieit 发表于 2014-8-9 23:37
目前登陆或后台部分使用ssl。全站都可以使用ssl，但是只有后台或登陆注册页强制使用。 ...

现在确实不少网站都这样搞。

但是这样是有风险的。登陆前可以把http页面里登陆相关的链接或js替换掉，这样如果不仔细看地址栏的话，就会在钓鱼页面登陆。

作者: 捷讯网络 时间: 2014-8-9 23:52
客户管理中心搞了SSL

作者: QuaintJade 时间: 2014-8-9 23:53

雨宫音羽发表于 2014-8-9 22:25
早已配置了HTTPS两年即使是一个小博客测试成绩A（A+不兼容IE6等老浏览器）

不过目前是HTTP和HTTPS并存 H ...

不提示混合信息？这个怎么做到的？

作者: 雨宫音羽 时间: 2014-8-10 00:06

QuaintJade 发表于 2014-8-9 23:53
不提示混合信息？这个怎么做到的？

一系列方法，Patch一些硬写入HTTP连接的插件。对静态资源（JS CSS）中硬写的HTTP连接用NGINX的替换功能在HTTPS输出时去掉。一些外部资源不支持HTTPS的话用Javascript做判断 HTTPS的时候不加载广告的JS。。等等。。

作者: QuaintJade 时间: 2014-8-10 01:56

雨宫音羽发表于 2014-8-10 00:06
一系列方法，Patch一些硬写入HTTP连接的插件。对静态资源（JS CSS）中硬写的HTTP连接用NGINX的替换功能 ...

哦，那最后和浏览器的传输其实都是https

作者: 气味 时间: 2014-8-10 02:08
国外网站还差不多国内连谷歌都打不开还谈啥权重

作者: 极客族 时间: 2014-8-10 08:35

QuaintJade 发表于 2014-8-9 22:09
浏览器的“页面上部分内容不安全”提示会很难看

只在后台启用HTTPS。。。。。。。前台的可以把静态资源丢到又拍，用HTTPS

作者: 月の天使 时间: 2014-8-10 17:58
我现在所有站点都开通了http和https两种方式，涉及到数据交换（比如注册，发帖，评论）强制走https，其他则是http

欢迎光临全球主机交流论坛 (https://loc.imgfree.eu.org/)