部署全站HTTPS加密的7個建議

時間：2023-02-19 02:32:01 | 來源：建站知識

時間：2023-02-19 02:32:01 來源：建站知識

部署全站HTTPS加密的7個建議：新聞自由基金會采訪了部署全站HTTPS的知名新聞機構(gòu)人員，總結(jié)出部署全站HTTPS之前需要知道潛在問題、陷阱和建議。

1.重寫不安全的URL

部署HTTPS后，您將不得不面對這樣事實，網(wǎng)站的現(xiàn)有內(nèi)容和其他部分都充滿了指向舊的、不安全站點的URL。不過你仍然可以做些處理，以確保不論用戶從哪里來，都能連接到新的、安全的站點。

通過301重定向?qū)⒂脩魪腍TTP重定向到HTTPS版本的URL。警惕302重定向，它們可能會對你的搜索引擎排名產(chǎn)生負(fù)面影響。

最終，你需要重寫內(nèi)部URL以使用HTTPS，這基本上只需要一次大規(guī)模的搜索和替換。考慮用內(nèi)容安全策略及升級不安全請求作為臨時過渡。

2.CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）

許多大型網(wǎng)站不是直接給用戶訪問，它們的內(nèi)容通過內(nèi)容分發(fā)網(wǎng)絡(luò)傳遞交付。CDN通常在全球運營服務(wù)器，有助于優(yōu)化全球用戶的網(wǎng)頁內(nèi)容分發(fā)效率。

華盛頓郵報表示，它們最初的障礙之一就是它們舊的CDN供應(yīng)商希望收取高額費用將分發(fā)內(nèi)容從HTTP遷移到HTTPS，此外還增加了持續(xù)使用HTTPS的費用，其他新聞機構(gòu)也面對同樣的問題，不過現(xiàn)在CDN市場也在發(fā)生變化。

3.混合內(nèi)容

在現(xiàn)代互聯(lián)網(wǎng)中，網(wǎng)頁通常會加載許多子資源——圖像、音頻、視頻、腳本等。子資源可能從本站或其他不同的來源加載。

為了使網(wǎng)站真正安全，網(wǎng)站本身及所有子資源都必須從安全的HTTPS來源加載。安全頁面加載的不安全內(nèi)容成為混合內(nèi)容。混合內(nèi)容涉及風(fēng)險，瀏覽器將阻止混合內(nèi)容?；蛟试S加載混合內(nèi)容，但降級顯示HTTPS鎖圖標(biāo)，以指示潛在的安全風(fēng)險。具體響應(yīng)形式取決于混合內(nèi)容的類型和瀏覽器的策略。

4.嵌入式媒體、廣告

混合內(nèi)容阻止在有廣告的情況下尤其成問題，今天大多數(shù)的在線廣告比普通的圖片banner廣告要復(fù)雜得多，通常依賴于嵌入式iframes，javascript或插件內(nèi)容，即可以創(chuàng)建更多吸引人的廣告，也可以用于分析。不過，這些類型（被稱為“主動內(nèi)容”）的混合內(nèi)容可以輕易被利用來顛覆其他網(wǎng)站的安全性，最終被所有主流瀏覽器完全阻止。這是新聞出版業(yè)過渡到HTTPS的一個重要問題，如果不妥善處理，可能會影響到廣告收入。

對于嵌入式媒體和廣告，最佳解決方案就是從根本上解決問題，與內(nèi)容和廣告提供商合作，確保其內(nèi)容可通過HTTPS使用，并使用自己網(wǎng)站上的HTTPS 網(wǎng)址。對于大型內(nèi)容提供商及廣告商而言情況就是這樣。

如果你發(fā)現(xiàn)有內(nèi)容提供商或廣告商合作伙伴根本不支持HTTPS，最好的辦法是聯(lián)系它們并要求提供HTTPS支持。在轉(zhuǎn)型過程中，從最開始就和內(nèi)部廣告及內(nèi)容團隊溝通、開發(fā)審查內(nèi)容的協(xié)議并協(xié)助與內(nèi)容和廣告合作伙伴溝通是非常重要的。

5.內(nèi)容安全策略報告

很多網(wǎng)站的廣告內(nèi)容是由第三方控制的，而且可能在廣告系列周期或廣告購買周期內(nèi)發(fā)生改變。實際上，這意味著通過HTTPS驗證或批準(zhǔn)的廣告，可能因為混合內(nèi)容阻止而停止工作，或毫無預(yù)警的突然改變。

雖然不能完全預(yù)防這種情況，不過可以通過發(fā)送Content-Security-Policy-Report-Only頭部和設(shè)置CSP報告端點來檢測。CSP報告只登錄用戶瀏覽器查找違反制定安全策略的違規(guī)情況，并在策略發(fā)生沖突時發(fā)送細(xì)節(jié)報告給提供的端點。

Content-Security-Policy-Report-Only不僅用于捕捉行為不當(dāng)?shù)那度雰?nèi)容，而且用于識別大型網(wǎng)站中不安全的子資源和鏈接長尾。

6.SEO

谷歌表示網(wǎng)站使用HTTPS有利于網(wǎng)站排名，一般來說大部分網(wǎng)站在過渡到HTTPS期間沒有遇到任何嚴(yán)重的SEO問題。建議實施全站HTTPS前，查看搜索引擎的相關(guān)指南。

7.子域名

大型和長期運行的網(wǎng)站通常有許多專用于不同專業(yè)用途的子域名。這些子域名可能與主域名基礎(chǔ)架構(gòu)分開運行。這意味著需要額外的工作將其轉(zhuǎn)換成HTTPS。

如果你考慮部署HSTS以加強HTTPS部署，那么子域名將是一個主要問題。HSTS有一個可選的標(biāo)示“包含子域名”，它允許您指定是否強制所有子域名提供HSTS頭部。設(shè)置“包含子域名”可以使您的部署更安全，但必須仔細(xì)部署。如果您的任何子域名實際上不支持HTTPS，使用“包含子域名”的HSTS設(shè)置將會使這些子域名無法訪問。

立即聯(lián)系沃通咨詢?nèi)綡TTPS加密方案

銷售熱線：0755-86008688