你与网站建立的链接并非完全安全?建议全站开启https

   日期:2024-12-25    作者:liujiangzhao 移动:http://oml01z.riyuangf.com/mobile/quote/14214.html

新手站长即便安装了SSL证书,可能在用谷歌浏览器打开网站有个灰色警告,提示“您与此网站之间建立的连接并非完全安全”,甚至有人会出现红色警告“不安全”,提示“您与此网站之间建立的连接不安全”,出现这种情况的原因每个人的都可能不一样,因此我们需要提供这类问题的通用方法,而不是针对某一种原因的具体方法。

如果HTTPS页面包含通过常规明文HTTP检索的内容,则连接仅被部分加密:嗅探者可以访问未加密的内容,并且中间人攻击者可以修改未加密的内容,因此该连接不再受保护。 。 当网页显示此行为时,它称为混合内容页面。也就是说,可能在你的这个页面里既有https也有http这两种混搭的情况。为什么会出现这样的情况呢

例如,大家都知道大名鼎鼎的七牛云,在国内算是一个老牌子的CDN/云存储的厂家了。本站也是用七牛云当图床的。在七牛云的一个免费额度里,就有http和https的价格区分。想要使用免费的额度,就不能配置https域名,我个人觉得这一点也是比较坑人的。

之前我就是用的http链接,然后总是提示“你与网站建立的链接并非完全安全”,虽然没有什么影响,但是看着还是有点奇怪和不舒服。

这里就自然说到了https和http的问题。之前我也写过相关的文章,介绍https加密的事情,这里不再赘述

站长应该知道的http和https知识_个人博客站长如何选择免费的SSL证书

如何判断SSL证书的安全性高低?越贵越好?懂点原理会少花冤枉钱

这里,我建议全站的所有链接都开始https,下面我详细说说原因。

HTTPS主要通过在SSL上传输数据来区分HTTP,确保传输的数据在传输过程中被加密,只有相应站点服务器或用户浏览器接收时才能被解密,HTTPS通过这种方式避免了第三方拦截。

同时,HTTPS提供可信的服务器认证,这是一套黑客不能随意篡改的认证信息,使相关用户确定他们正与正确的服务器通信。没有全站升级HTTPS的网站使一些页面在HTTP中可用,而其他页面在HTTPS中可用,或在HTTPS中呈现HTML文档。

通过HTTP或不安全的CDN服务加载其他资源(例如JS或CSS文件)的网站也存在敏感用户信息暴露的风险。使整个站点只能通过HTTPS访问是防止这种风险简单的方法。

网站存在HTTPS和HTTP两种协议时,跳转需对服务器进行了大量的重定向 。仅部分升级为HTTPS的网站,网站内部的HTTP页面在错误的协议中请求页面时要求站点服务器触发301重定向,这是服务器上的漏洞,当这些重定向被触发时会减慢页面加载速度。

运行部分升级HTTPS网站需要以HTTP和HTTPS两种方式管理整个网站,并且需要仔细、精确地控制重定向。网站很容易在两个协议中被一个或多个网页解析,导致搜索引擎抓取和索引出单个网页的两个版本,从而导致网页的搜索可见性降低(因为搜索引擎会认为这两个网页相互竞争)。

即使没有这种风险搜索引擎有时会索引某些上文提及的错误协议的网页,从而对点击进入的用户进行不必要的重定向,反过来造成了不必要的服务器压力,稀释了搜索权限并减慢网页加载速度。

由于处理个人身份信息的网页大多会使用HTTPS,不可避免的会让一个网站同时拥有HTTPS和HTTP两种协议,因此选择全站HTTPS升级而不是仅仅升级个人身份信息网页将避免如上情况发生。

HTTP网站经常被拒绝访问由HTTPS网站引用的字符串数据,因为HTTP网站不是HTTPS网站的数据发送目标网站。 另一方面,HTTPS网站会谨慎对待访问不安全网站获得的可识别信息,来避免引发不必要的故障。因此,HTTP网站的多次推荐访问最终会被网站分析错误地归类为直接访问。而全站升级HTTPS后,推荐访问中将会减少引荐来源为HTTP网址的字符串,使得网站分析更准确。

http与https之间就是相差个SSL证书。那么个人站长如何选择SSL证书呢?

我以前推荐过个人站长选择免费的SSL证书:Typecho个人博客SSL证书不够用的N种免费解决方案

现在个人站长常用的证书莫过于有数量限制的TrustAsia和有时间限制的Let's Encrypt。

现在一些国产的SSL证书厂家也在开始崛起。

如果你不放心上面的那些免费的SSL证书(毕竟有句话叫“免费的就是最贵的”,可以试试这款国产自主品牌JoySSL证书,个人觉得算是所有证书里面最便宜的了,只要一百多一年,看了看那些主流的SSL证书,动不动就几千块钱甚至上万一年,感觉实在是伤不起呀。并且支持90天免费试用(偷偷告诉你个秘密,可以免费无限续签,有点像Let's Encrypt的操作),甚至包括多域名证书和通配符证书(真的是很不容易了,一般免费的不会有这个套餐,都是针对单域名可以免费)。 

免费SSL申请地址:永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL


 

版权声明


特别提示:本信息由相关用户自行提供,真实性未证实,仅供参考。请谨慎采用,风险自负。


举报收藏 0评论 0
0相关评论
相关最新动态
推荐最新动态
点击排行
{
网站首页  |  关于我们  |  联系方式  |  使用协议  |  隐私政策  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  鄂ICP备2020018471号