中山做网站:针对非HTTPS的Chrome安全警告

2019.08.09 mf_web

140

早在2016年9月,谷歌宣布随着Chrome浏览器更新到Chrome版本56,该搜索巨头将要求收集信用卡或密码等个人信息的网站拥有HTTPS连接。

决定不符合并遵守HTTP协议的网站将被Chrome安全措施标记为不安全的网站,访问者将不得不进一步努力访问网站内容。当然,如果谷歌Chrome安全警告某人网站不安全,他们可能会决定不查看该网站的任何内容。中山做网站

Google SSL问题针对非HTTP用户的Chrome安全警告
在Chrome上查看的网站示例,不使用HTTPS。正如您所看到的,您必须单击一个按钮才能获得链接以通过Chrome安全性继续访问该网站。

在他们最初发布有关Chrome安全的声明之后,Google在2017年之前向网站管理员提供了实施此更改的功能,然后才影响了没有HTTPS的网站的Chrome体验

当然,这并不是Google 首次在任何搜索中利用其极端影响力来实现网页设计和功能的重大变化。谷歌近期的另一项重大举措与移动优先搜索有关,电子邮件弹出窗口是他们愤怒的目标。

让我们探讨一下非SSL网站的Google SSL问题和Chrome安全警告的含义。

HTTP与HTTPS

如果您不熟悉HTTPS,那么首先定义HTTP和HTTPS之间的差异可能很有用。

具体地,HTTP(超文本传输协议)和HTTPS(安全超文本传输协议)是两种类型的传输协议。简而言之,这些传输协议是在客户端和Web服务器之间传递信息的语言。

简单地说:HTTPS是安全的; HTTP不是。为了获得更多技术,HTTPS在端口443上运行,HTTP在端口80上运行。

如果你的网站是不是安全的,这意味着任何人都可以阅读或观察您的网站和用户设备之间的交换。这对于收集社会安全号码,密码或信用卡信息等敏感信息的网站来说意义最大。如果没有HTTPS保护(并且通常使用安全性最佳实践),收集的信息很容易落入坏人之手。

使HTTPS安全的原因是使用SSL / TLS协议(安全套接字层和传输层安全性)增加了另一层安全性。SSL通过在两者之间提供已建立的链接来加密从服务器传输到客户端网站的数据。

感谢谷歌把它变得庞大而备受推崇,HTTPS是新的网络标准,Chrome安全措施拒绝让网络用户忘记它。

为什么需要SSL

即使你不正确的收集敏感的用户信息现在,你当然可能在未来。考虑到这一点,使用SSL建立新网站要比以后切换到更容易。

在Google SSL计划之前,电子商务网站是一些担心SSL的在线实体。但话说回来,谷歌关注HTTPS并不是真正的新闻 - 他们宣布他们在2014年将HTTPS网站列为排名因素。

搜索引擎优化大师布莱恩迪恩的研究证实了这一点,发现在超过一百万个网站中,HTTPS网站在谷歌的首页结果中排名更高。一个警告:一个安全的网站只是一个 200搜索排名因素,并不一定有尽可能多的重量等因素的排名。

HTTPS可以保护您网站上收集的数据的完整性,以防止数据传输中的损坏,因为一些入侵者可能会插入可能使您的网站容易受到攻击的恶意软件或广告。它还提供了一种身份验证媒介,以确保客户端仅与网站进行通信。

重要的是,即使您不处理敏感的个人信息,HTTPS也可以保护用户的隐私和安全。如果您需要更有说服力,请考虑使用HTTPS在网站上加载页面的含义。这些网站比没有投诉Google SSL证书的网站加载速度快334%。

SSL加密

传统上让人们重新在其网站上加入SSL证书的一件事与有效这样做的成本有关。

尽管有免费SSL证书的选项,例如Let's Encrypt,但在融资方面(如Web开发时间和其他硬件)还有其他相关的成本,更不用说更改会占用带宽并降低CPU成本周期。

尽管存在这些潜在问题,但网站所有者正在迅速加入保护其网站(以及客户!)的行列,在撰写本文时,所有网站中有一半是SSL加密的。

您需要为Google SSL保护您的网站的事项

要在您的网站上加入HTTPS,第一步是从认可的证书颁发机构(CA)获取SSL证书。

SSL证书允许您做两件事:它通过使用加密的,不可破坏的数据实现两个站点之间的通信,并作为CA保证(或批准)的站点是安全合法的。对于类似的比较,可以将其视为Twitter验证徽章。

有几个CA需要考虑从中获取SSL证书。我们的加密提供免费的SSL / TSL证书,而赛门铁克等热门CA提供商每年收费高达1495美元至1700美元。

使用免费的SSL证书会在地址栏中的URL之前生成绿色挂锁。相反,高级SSL证书将在挂锁右侧显示网站名称。

Google SSL问题针对非HTTP用户的Chrome安全警告

(来源)

内容交付网络CloudFlare提供共享SSL证书及其免费软件包。但共享SSL证书不适用于您自己的域; 对于公众看不到的服务器(如登录页面)更好。

实施SSL时,您还需要:

  • 具有mod_ssl的Web服务器(如Apache),支持SSL加密

  • 一个唯一的IP地址,CA用于验证安全证书

如果您不确定这两个最终项目,可以向您的托管服务提供商咨询相关信息,或者更广泛地询问您是否可以在您的网站上使用HTTPS。

如何为Google SSL保护您的网站

收集完所需内容后,您可以先请求您的托管服务提供商批准SSL证书。这样,当使用https://协议访问您的页面时,它们实际上会访问安全服务器。

之后,您可以开始构建和备份需要保护的网页。这些页面的构建方式与构建普通HTTP页面的方式相同,只是您需要链接到HTTPS-特别是如果您在网站上使用任何绝对链接路径到其他页面。

切换到Google SSL时的其他注意事项:

  • 更新内部链接和指向其他绝对路径的链接,例如指向图像或外部源的路径:如CSS工作表,JS文件或文档

  • 检查代码库

  • 为链接创建301重定向

  • 更新Google Search Console,AdWords和社交媒体配置文件中的网址和设置。您可以使用Social Warfare插件在WordPress中保存社交分享

  • 更新信息后,再次重新抓取站点以检查所有页面和资源是否返回200成功状态代码

Google的Search Console帮助页面提供了一个全面的清单,可帮助您处理切换到HTTPS的任何技术问题。Search Engine Journal还撰写了关于HTTPS迁移的文章,特别关注了对SEO的影响。

Google SSL的更改

在Google强制要求进行这些更改之前,没有HTTPS连接的网站会获得一个中性指示符,并在地址栏中标有信息符号。单击时,信息符号显示“您与此站点的连接不安全”或“您不应在此站点上输入任何敏感信息,因为它可能被黑客窃取”。

根据谷歌安全博客的说法,这个信息标志表明在网站安全方面缺乏紧迫性。2017年1月之后,Chrome安全会将网站标记为不安全,Google希望这些网站能引起用户和网站所有者的注意,从而引发网站创建和使用方式的变化。

Google SSL问题针对非HTTP用户的Chrome安全警告

(来源)

这项Google倡议的效果对每个人来说并不是一件好事,特别是赛门铁克这家据称已经在线发布三分之一SSL证书的公司。原因?一个提案由Chrome浏览器安全团队成员,使赛门铁克颁发的SSL证书不可信在未来12个月,因为赛门铁克还没有正确验证数以千计的签发SSL证书。

如果该提案得以实施,赛门铁克将不得不重新发布数千份SSL证书,给公司及其客户带来麻烦,他们必须再次通过验证流程并安装替换证书。

这个问题经历了两家公司之间的多次讨论。在最新的开发中,谷歌决定在Chrome 66推出时(2018年3月)弃用赛门铁克颁发的证书,但同时会开始添加警告。

Google SSL问题:针对非HTTPS的Chrome安全警告

HTTPS是Web浏览的当前标准,具有许多有用的好处,特别是在SEO和安全性方面。

任何对迁移到此协议犹豫不决的网站所有者不仅有可能在Google Chrome上被标记为“非安全”网站,而且在收集敏感信息时也会主动冒着用户安全的风险。

中山做网站

最新案例

寒枫总监

来电咨询

400-6065-301

微信咨询

寒枫总监

TOP