升級HTTPS已經是大勢所趨,但仍有大量互聯網企業猶豫是否要全站升級HTTPS,為此本文梳理了全站升級HTTPS與部分升級HTTPS的優劣勢對比,來判斷是否真的有必要進行全站HTTPS升級。
HTTPS擁有更高的用戶信息安全度
HTTPS主要通過在SSL上傳輸數據來區分HTTP,確保傳輸的數據在傳輸過程中被加密,只有相應站點服務器或用戶瀏覽器接收時才能被解密,HTTPS通過這種方式避免了第三方攔截。
同時,HTTPS提供可信的服務器認證,這是一套黑客不能隨意篡改的認證信息,使相關用戶確定他們正與正確的服務器通信。沒有全站升級HTTPS的網站使一些頁面在HTTP中可用,而其他頁面在HTTPS中可用,或在HTTPS中呈現HTML文檔。
通過HTTP或不安全的CDN服務加載其他資源(例如JS或CSS文件)的網站也存在敏感用戶信息暴露的風險。使整個站點只能通過HTTPS訪問是防止這種風險最簡單的方法。
網站存在HTTPS和HTTP兩種協議時,跳轉需對服務器進行了大量的重定向
僅部分升級為HTTPS的網站,網站內部的HTTP頁面在錯誤的協議中請求頁面時要求站點服務器觸發301重定向,這是服務器上的漏洞,當這些重定向被觸發時會減慢頁面加載速度。
網站存在HTTPS和HTTP兩種協議時,搜索可見性降低
運行部分升級HTTPS網站需要以HTTP和HTTPS兩種方式管理整個網站,並且需要仔細、精確地控制重定向。網站很容易在兩個協議中被一個或多個網頁解析,導致搜索引擎抓取和索引出單個網頁的兩個版本,從而導致網頁的搜索可見性降低(因為搜索引擎會認為這兩個網頁相互競爭)。
即使沒有這種風險,搜索引擎有時會索引某些上文提及的錯誤協議的網頁,從而對點擊進入的用戶進行不必要的重定向,反過來造成了不必要的服務器壓力,稀釋了搜索權限並減慢網頁加載速度。
由於處理個人身份信息的網頁大多會使用HTTPS,不可避免的會讓一個網站同時擁有HTTPS和HTTP兩種協議,因此選擇全站HTTPS升級而不是僅僅升級個人身份信息網頁將避免如上情況發生。
HTTPS與Google搜索可見度具有關聯性
Google在2014年8月宣布在搜索結果中優先顯示已升級HTTPS的網頁。2015年,HTTPS和搜索結果顯示優先級的相關性變得有統計學意義,SearchMetrics當時獨立取證分析驗證結果如下圖:
搜索引擎優化后的HTTPS VS HTTP 網站的 SSL/TLS 加密排名
從上圖可以看出,當一個網站完全升級到HTTPS后:HTTPS會向Google發送更高質量的網站信息。 上文描述過混合協議網站的漏洞,因此,選擇將整個網站升級為HTTPS,而不是為個人身份信息專用網頁保留HTTPS網頁,會向公眾表明該網站非常重視用戶安全。
這意味着,是否全站升級HTTPS將影響用戶對網站權威性的評估,同時擁有更高的搜索可見性。同時,HTTPS是使用HTTP / 2協議的先決條件,HTTP / 2協議仍在不斷完善,預計在未來幾年會出現爆炸性增長,因為該技術大大降低了頁面負載時間和延遲,加快了HTTPS網頁加載速度。
HTTPS可以更准確地傳輸引用字符串數據
HTTP網站經常被拒絕訪問由HTTPS網站引用的字符串數據,因為HTTP網站不是HTTPS網站的數據發送目標網站。 另一方面,HTTPS網站會謹慎對待訪問不安全網站獲得的可識別信息,來避免引發不必要的故障。因此,HTTP網站的多次推薦訪問最終會被網站分析錯誤地歸類為直接訪問。而全站升級HTTPS后,推薦訪問中將會減少引薦來源為HTTP網址的字符串,使得網站分析更准確。