现在网站启用HTTPS已经是标配了。搜索引擎明确表示HTTPS是排名因素,而且用户浏览器也会对非HTTPS网站显示不安全提示。所以给网站配置HTTPS很有必要。
HTTPS简单来说就是HTTP的安全版,在HTTP和TCP之间加了一层SSL/TLS加密。用户浏览器和服务器之间的通信会被加密传输,数据不会被第三方窃取或篡改。
申请SSL证书是第一步。有免费的和付费的可以选择。Let's Encrypt提供免费证书,有效期三个月,可以用工具自动续期。商业证书有OV和EV级别,提供更高的安全等级和担保。
申请好证书后,要在服务器上配置。Nginx、Apache等主流服务器都支持配置SSL。配置时注意使用安全的协议版本和加密套件,禁用不安全的SSL版本和老旧的加密算法。
配置完成后,可以用SSL Labs的测试工具检测SSL配置是否正确,打分A+是最好的。
做好301重定向,把HTTP请求都跳转到HTTPS。同时检查站内资源引用,确保没有引用HTTP资源,否则会出现混合内容警告。