首页>安全资讯>部署全站HTTPS加密的7大建议

部署全站HTTPS加密的7大建议

新闻自由基金会采访了部署全站HTTPS的新闻机构人员,总结出部署全站HTTPS之前需要知道的潜在问题、陷阱和建议。

1.重写不安全的URL

部署HTTPS后,您将不得不面对这样事实,网站的现有内容和其他部分都充满了指向旧的、不安全站点的URL。不过你仍然可以做些处理,以确保不论用户从哪里来,都能连接到新的、安全的站点。

通过301重定向将用户从HTTP重定向到HTTPS版本的URL。警惕302重定向,它们可能会对你的搜索引擎排名产生负面影响。

最终,你需要重写内部URL以使用HTTPS,这基本上只需要一次大规模的搜索和替换。考虑用内容安全策略及升级不安全请求作为临时过渡。

2.CDN(内容分发网络)

许多大型网站不是直接给用户访问的,它们的内容通过内容分发网络传递交付。CDN通常在全球运营服务器,有助于优化全球用户的网页内容分发效率。

华盛顿邮报表示,它们最初的障碍之一就是它们旧的CDN供应商希望收取高额费用将分发内容从HTTP迁移到HTTPS,此外还增加了持续使用HTTPS的费用,其他新闻机构也面对同样的问题,不过现在CDN市场也在发生变化。

3.混合内容

在现代互联网中,网页通常会加载许多子资源——图像、音频、视频、脚本等。子资源可能从本站或其他不同的来源加载。

为了使网站真正安全,网站本身及所有子资源都必须从安全的HTTPS来源加载。安全页面加载的不安全内容成为混合内容。混合内容涉及风险,浏览器将阻止混合内容。或允许加载混合内容,但降级显示HTTPS锁图标,以指示潜在的安全风险。具体响应形式取决于混合内容的类型和浏览器的策略。如何处理带有“混合内容警告”的HTTPS页面

4.嵌入式媒体、广告

混合内容阻止在有的广告情况下尤其成问题,今天大多数的在线广告比普通的图片banner广告要复杂的多,通常依赖于嵌入式iframes,javascript或插件内容,即可以创建更多吸引人的广告,也可以用于分析。不过,这些类型(被称为“主动内容”)的混合内容可以轻易被利用来颠覆其他网站的安全性,最终被所有主流浏览器完全阻止。这是新闻出版业过渡到HTTPS的一个重要问题,如果不妥善处理,可能会影响到广告收入。

对于嵌入式媒体和广告,最佳解决方案就是从根本上解决问题,与内容和广告提供商合作,确保其内容可通过HTTPS使用,并使用自己网站上的HTTPS 网址。对于大型内容提供商及广告商而言情况就是这样。

如果你发现有内容提供商或广告商合作伙伴根本不支持HTTPS,最好的办法是联系它们并要求提供HTTPS支持。在转型过程中,从最开始就和内部广告及内容团队沟通、开发审查内容的协议并协助与内容和广告合作伙伴沟通是非常重要的。

5.内容安全策略报告

很多网站的广告内容是由第三方控制的,而且可能在广告系列周期或广告购买周期内发生改变。实际上,这意味着通过HTTPS验证或批准的广告,可能因为混合内容阻止而停止工作,或毫无预警的突然改变。

虽然不能完全预防这种情况,不过可以通过发送Content-Security-Policy-Report-Only头部和设置CSP报告端点来检测。CSP报告只登录用户浏览器查找违反制定安全策略的违规情况,并在策略发生冲突时发送细节报告给提供的端点。

Content-Security-Policy-Report-Only不仅用于捕捉行为不当的潜入内容,而且用于识别大型网站中不安全的子资源和链接长尾。

6.SEO

谷歌表示网站使用HTTPS有利于网站排名,一般来说大部分网站在过渡到HTTPS期间没有遇到任何严重的SEO问题。建议实施全站HTTPS前,查看搜索引擎的相关指南。

7.子域名

大型和长期运行的网站通常有许多专用于不同专业用途的子域名。这些子域名可能与主域名基础架构分开运行。这意味着需要额外的工作将其转换成HTTPS。

如果你考虑部署HSTS以加强HTTPS部署,那么子域名将是一个主要问题。HSTS有一个可选的标示“包含子域名”,它允许您指定是否强制所有子域名提供HSTS头部。设置“包含子域名”可以使您的部署更安全,但必须仔细部署。如果您的任何子域名实际上不支持HTTPS,使用“包含子域名”的HSTS设置将会使这些子域名无法访问。

 

相关资讯:

谷歌给站长的HTTPS升级建议,网站升级HTTPS建议

为适应谷歌搜索引擎的规则,升级HTTPS时应注意哪些问题,HTTPS升级的常见问题有哪些?看谷歌官方给站长的HTTPS升级建议。

为什么要全站HTTPS,全站HTTPS 有哪些好处

百度、谷歌、天猫、淘宝等大型互联网企业都实现了全站HTTPS。在全站HTTPS改造中,面临的要解决的问题也会更多更复杂,那么为什么要全站HTTPS呢?全站HTTPS有...

转载-为什么WEB服务要尽快升级到HTTPS

HTTPS真的有那么好吗,我的WEB服务需要迁移到HTTPS 吗?对此我的观点是:HTTPS早就不是锦上添花的可有可无项,它已经逐渐成为WEB服务的标配,推荐大家尽早迁移。

哪些网站必须启用HTTPS加密

在越来越重视信息安全的今天,HTTPS加密站点无疑将成为主流。那么就目前形势而言,哪些网站必须启用HTTPS加密呢?

使用HTTPS加密的7大理由

人们认为我不需要HTTPS加密通常基于两个理由,不是说我们没有登录界面呀,就是说我们没有什么敏感数据啊。这篇文章将介绍,即使你的网站没有敏感数据,仍然需要支持...