为什么要把网站升级到https

如题所述

举报该问题

推荐答案 2018-07-27

防劫持，用户在线传输加密，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议、要比http协议安全。HTTPS对比HTTP可以在很大程度上提供安全的DNS基础设施

温馨提示：答案为网友推荐，仅供参考

当前网址：http://44.wendadaohang.com/zd/YW6Z6Z6K3G6GZVW63KR.html

其他回答

第1个回答 2020-05-09

https证书的作用主要是：防网站被劫持，防内容被篡改，防网站信息被窃取等

因此目前大部分浏览器对不安装https证书的站点提示不安全，小程序连接一般也都要求用https方式连接，主流等搜索引擎明确表示优先收录https站点。

https证书可以点这里自助申请，价格便宜网页链接

第2个回答 2020-03-02

全站升级为https的好处：
1、全网站加https会更安全
https的主要功能之一是确保数据在传输的过程中被加密，只有相应的服务器或用户浏览器接收时才能被解密，避免了被第三方拦截和篡改。https还有另外一个功能是提供可信的服务器认证，这是一套黑客不能随意篡改的认证信息，使相关用户确定他们正在与正确的服务器通信。
如果没有全网站加https，会导致一些页面为https，而一些也页面则还是http，当通过http或不安全的CDN服务加载其他资源（例如JS或CSS文件）时，网站也存在用户信息被泄露的风险，而全网站https是防止这种风险最简单且有效的方法。
2、帮用户识别钓鱼网站
上面提到了https可以进行服务器认证，当服务器的真实身份得到认证之后可以有效的区别于钓鱼网站。全网站加https后，浏览器则会内置安全机制，实时查验证书状态，通过浏览器向用户展示网站的认证信息，让用户能够轻松识别网站的真实身份，防止误入钓鱼、仿冒网站。
3、对搜索引擎更友好
当网站存在https和http两种协议时，需要以https这http两种方式管理整个网站，并且需要仔细、精确的控制重定向。网站很容易在两个协议中被一个或多个网页解析，导致搜索引擎抓取和索引出单个网页的两个版本，从而导致网页的搜索可见性降低（因为搜索引擎会认为这两个网页相互竞争）。即使没有这种风险，搜索引擎有时会索引某些错误协议的网页，从而对点击进入的用户进行不必要的重定向，反而对服务器造成了不必要的压力，稀释了搜索权限并会减慢网页加载速度。

第3个回答 2018-06-10

HTTPS 可以给用户带来更安全、更好隐私保护的网络体验，搜索引擎优先收录网站适合SEO，这些好处大家都耳熟能详，目前各大浏览器都在积极推进 HTTPS 的普及，我们重点来说说这个。

浏览器中的 HTTP/2 必须基于 HTTPS 部署

HTTP/2 通过引入二进制分帧层，将 HTTP 的请求和响应报文拆分为二进制帧，从而实现了多路复用、优先级、Server Push 等诸多新特性，大大提升了 WEB 性能。HTTP/2 还引入了基于静态字典和动态字典的头部压缩算法 —— HPACK，有效减少了 HTTP 协议头部开销。现阶段，所有浏览器都只支持 HTTP/2 Over TLS，也就是说浏览器中的 HTTP/2 必须基于 HTTPS 部署。

API 将在安全环境（Secure Contexts）中才能使用

一些 HTML5 API 可以用来获取用户地理位置、摄像头音视频等隐私数据。尽管网站在使用这些权限前需要获得用户授权，但由于 HTTP 很容易被劫持，通过 HTTP 传输这些隐私数据将会十分危险。

于是，Chrome 启用了 Deprecating Powerful Features on Insecure Origins 计划，今后以下 API 必须在安全环境（Secure Contexts）中才能使用：

GeolocationDevice motion / orientationEMEgetUserMediaAppCache

其中，列表中的 Geolocaiton 和 getUserMedia 在 Chrome 50 中已经只能用于安全环境。也就是说在最新的 Chrome 中，要想通过 HTML5 API 获取用户位置，或者要用 WebRTC 实现视频聊天，都需要先部署 HTTPS。

EME 全称是 Encrypted Media Extensions（加密媒体扩展），它扩展了 HTMLMediaElement，提供了一组 API 用于控制受保护的文档，实现 HTML 媒体的数字版权保护能力。EME 是一个比较冷门的 API。

AppCache 功能已经被废弃，不推荐继续使用，类似需求建议用 Service Workers 来实现。

什么是安全环境（Secure Contexts）

至于什么是安全环境（Secure Contexts），W3C 这份文档进行了详细的解释。简而言之，HTTP 页面一定不是安全环境；HTTPS 页面不一定是安全环境。尤其需要注意的是，在 HTTP 页面中打开的 HTTPS 页面，如果 window.opener 不为空，不属于安全环境。

至于大家担心的本地调试问题，Chrome 也有考虑：

localhost会被认为是安全的环境，所以可以继续使用localhost域名测试上述 API；通过--user-data-dir=/test/only/profile/dir参数创建一个新的 Profile 后，可以通过--unsafely-treat-insecure-origin-as-secure="http://example.com参数让 Chrome 信任指定的网站；

另外，Mozilla 公司在一年前也明确表态会逐步淘汰不安全的 HTTP，详见：Deprecating Non-Secure HTTP。

HTTPS 迁移过程中的一些疑问

在往 HTTPS 迁移的过程中，大家普遍有一些担心，我挑选了一些有代表性的看法进行讨论。

HTTPS 会增加系统复杂性？

首先，部署 HTTPS 确实会引入很多新工作，例如证书、SSL 配置、全站资源替换等等，确实会给开发和运维同学增加工作量。从 HTTP 切换到 HTTPS 的过程是比较麻烦，但一旦完成了切换，之后就不需要投入太多精力在这上面。通常，部署 HTTPS 只需要改造直接跟用户打交道的 HTTP 接入层，内部系统之间的调用无需改造。

HTTPS 证书会增加成本？

首先，对于个人及小公司来说，有很多零费用的证书方案可供选择，其中以 Let's Encrypt 最为出名，足够简单好用。而对于中大型公司来说，相比其他开销，HTTPS 证书采购成本基本可以忽略不计。

HTTPS 会导致性能下降？

HTTPS 增加了 TLS 握手环节，再加上 HTTPS 应用数据传输需要经过对称加密，HTTPS 确实给性能优化提出了更大的挑战。好在随着服务器、浏览器以及 SSL 库在性能上的大幅提升，经过良好优化后 HTTPS 带来的性能损耗完全可以接受。更重要的是，部署了 HTTPS 意味着可以使用 HTTP/2，从而带给用户更好的性能体验。

非敏感内容不需要 HTTPS？

很多人觉得只有银行、电商等跟钱打交道的网站才需要部署 HTTPS，其实不然。首先，非 HTTPS 网站很容易被劫持并插入广告，影响用户体验；其次，即使你的网站上没有交易支付等敏感功能，但只要有用户登录，帐号密码被第三方盗取也可以用来社工或撞库；最后，一些流量很大的网站，如果不部署 HTTPS 很容易被别有用心的人利用，例如 2015 年某大型网站的 JS 就被人劫持用来 DDoS 攻击 Github。

一个误区

最后纠正一个误区：并不是说部署了 HTTPS，安全方面就可以高枕无忧。HTTPS 解决的只是数据传输过程的安全性和保密性，如果 WEB 程序或者服务器有安全漏洞，或者用户电脑中病毒了，那安全性无从谈起。最后，要让 HTTPS 发挥最大作用，往往还需要结合其它技术一起使用，例如 HSTS、HPKP 等。

本回答被网友采纳

第4个回答 2018-04-21

安装配置ssl证书，调试网站，如果有些因为ssl证书加密导致数据无法正常调用显示的，进行局部修改即可，还不会再找额帮忙本回答被网友采纳

相似回答

大家正在搜