標籤:

部署SSL證書啟用HTTPS一周後的體驗總結

自從上周明月心血來潮給博客(blog.ymanz.com)啟用了SSL至今也有一周的時間了,今天就抽個時間出來簡單的總結一下HTTPS後的個人體會。希望可以幫助到還沒有部署SSL的站長們儘快加入HTTPS哦!

安全性

那麼說起HTTPS的話,安全性是個不可避免的,這也是HTTPS主要的一個優勢表現。但是從使用HTTPS這一周多時間來看,可以說「安全」方面的表現真的是表現平平,或者說失望大於期望都不算過分。當然,也可能是因為明月目前使用HTTPS時間周期太短的原因吧,相關的數據還是比較匱乏一些的,這個只能是以後拭目以待了!

不過,在啟用了HTTPS後類似於 WPScan 的漏洞掃描程序不能直接的掃描了,必須要加上「代理」才可以(具體請參考【知己知彼百戰不殆:WPScan一個掃描 WordPress 漏洞工具】一文)。甚至一些Linux下的「壓力測試」都無法使用過了。看來HTTPS在安全方面的強化還是有一定的提升的,不給你掃描的機會也就少了漏洞被利用的風險。

明月發現在啟用了HTTPS後,以前那種通過反向代理的「惡意鏡像」好像有一定的遏製作用,我分析可能就是HTTPS無法做「框架引用」了,同時也無法通過「鏡像」來變相的「盜用」權重,畢竟在啟用了HTTPS後,搜索引擎對真實源站的識別更加準確和高效了,發現不是真實域名直接就給忽略和排除了。這樣一來「鏡像」也就失去其意義了。當然,這點兒是明月自己的主觀臆斷的,僅供大家參考。

性能速度

有關HTTPS延長了網頁載入速度這一說,也是很多人不喜歡HTTPS的一個主要原因。那麼,明月的體驗是「這個影響目前來看幾乎是可以忽略不計的」。一般只要是支持HTTP/2的瀏覽器你在瀏覽HTTPS站點的時候,幾乎沒有什麼很明顯的載入速度慢的體驗的。說白了,這個所謂的HTTPS影響網站速度之說「心理作用」大於「實際情況」的。不要有過於誇張的認知,再說OpenSSL的TLS 1.3正在加緊優化HTTPS通訊握手的性能,未來HTTPS影響速度之說肯定會「消聲滅跡」的。

兼容性

關於HTTPS的兼容性應該從兩方面說,一是客戶端(特指瀏覽器),二是搜索引擎(收錄以及HTTPS前綴替換和權重影響)。

先說說瀏覽器也就是客戶端

微軟的IE目前來看早起版本對HTTPS的支持,最多也就是在」支持「這個水準,該有的小綠鎖的還是有的,至於說其他方面,我只能說IE也就是湊合著用的東西,有條件的話還是自己安裝自己喜歡的瀏覽器為最好的方案了。

瀏覽器對HTTPS支持最好的,目前應該算是谷歌 Chrome 瀏覽器火狐 FireFox 了。可以說在這兩個瀏覽器下HTTPS的優勢才能最大化的顯現出來。所以在啟用自己站點HTTPS的時候,用戶瀏覽器使用習慣也是要作為一個重要的參考依據的。

再說說搜索引擎

目前來看,谷歌對HTTPS絕對是青睞有加,可以說谷歌自己的智能判斷很給力,只要你啟用了SSL並且部署成功,谷歌就會自動替換收錄網址的前綴為HTTPS,一般響應時間我感覺也就是24個小時就有變化了。國內搜索引擎里來說百度最近對HTTPS的支持也開始加快了識別和修正已收錄鏈接的速度,我當天啟用SSL後,就在百度站長平台里提交了HTTPS認證後,48個小時不到百度搜索結果里已收錄鏈接都已經替換成HTTPS前綴了,可以說對HTTPS認證的響應速度國內搜索引擎裡面百度是走在前列的。

至於說HTTPS後,搜索引擎的「權重」、「關鍵詞排名」、「自然搜索流量」這些的效果,我感覺目前時間周期太短了,看不出來具體的效果變化。不過,從百度統計里獲取的數據看,HTTPS後有些關鍵詞排名有提升的跡象,搜索展示次數有一定的提升變化,但這些目前僅僅算是明月自己的主觀臆斷的,沒有具體的數據體現的。

從HTTPS自身特點來看,未來搜索引擎對其支持和關注會越來越大的,畢竟從理論上來說HTTPS站點相對來說可以減少搜索引擎不少的判斷分析處理,HTTPS優於HTTP收錄這點兒感覺還是很明顯的,從我的博客新近出現的「搜索關鍵詞」來看,排名和展示次數都有小幅的提升。至少從百度那裡看HTTPS對提升「權重」還是有一定幫助的。

總結

本來還是想加入一些不足、遺憾啥的總結的,但是細想了一下沒有很清晰的思路。目前來看,啟用HTTPS後最大的糾結就是免費 CDN 的使用和選擇了,使用 CDN 對於明月來說絕不是簡簡單單」加速「這麼簡單的需求的(具體大家可以參考【互聯網世界裡的「黑暗森林法則」】一文),所以,對於 CDN 的需求明月還是很強烈的。但是在啟用HTTPS後在 CDN 方面就面臨著可用選擇有限、免費 CDN 更少的尷尬局面了。目前可以正常使用的、可以免費的 CDN 明月用的是騰訊雲 CDN +又拍雲結合使用的,魔門雲因為其免費版的國內節點穩定性較差,只能是當個」備用方案「來使用了。雖然騰訊雲 CDN +又拍雲可以免費使用,但是其提供的免費HTTPS流量都是很有限的,如果你的網站流量在600-1000IP/日以上的話,無成本的免費使用幾乎是不可能的,所以奉勸各位在啟用SSL之前一定要考慮「成本」這個問題的。這也是關於HTTPS最近一周使用以來我感觸最大的地方了,希望可以幫助到大家!

推薦閱讀:

如何看待 CNNIC 官方網站的證書改換成了 DigiCert 簽發的證書?
為什麼SSL證書那麼貴?
HTTPS必須在每次請求中都要先在SSL層進行握手傳遞秘鑰嗎?
白話解釋 對稱加密演算法 VS 非對稱加密演算法

TAG:SSL | HTTPS | 博客 |