實現全站HTTPS的要點

為什麼要實現HTTPS？

1. 數據傳輸的安全性。防止中間人流量劫持和篡改；保護隱私數據防止竊聽和泄露。
2. 網站得到用戶的信任
3. 有利於搜索排名
4. 採用HTTP2，加速網站訪問速度

要解決的關鍵問題？

1. 用戶訪問速度變慢？
2. 消耗伺服器CPU?
3. 免費證書不可靠？購買付費證書增加成本？
4. 證書的瀏覽器兼容性問題
5. 證書分散且落地不安全、軟體版本難以維護、配置過多、難以標準和自動化
6. VIP過多

如何解決性能問題？

1）以域名收斂的方式減少建連；

2）採用HSTS技術去掉80到443的302跳轉

3）通過Session復用來提高建連速度和降低伺服器壓力；

4）對證書鏈進行優化以減少證書的傳輸量等等

5）採用SPDY技術或者HTTP2

申請什麼證書？

考慮到兼容性，建議採用OV證書。OV證書 = Organization Validation SSL Certificate。

優點：支持單域名、多域名、泛域名

缺點：貴

啟用HTTPS後的注意事項

1. 登陸之後必要的頁面也需要使用HTTPS，否則容易造成cookie和session的劫持
2. 使用HTTPS後，cookie和查詢字元串也有可能被劫持所以要保持其內容的複雜性
3. 在真實的商用環境里，HTTPS在建立連接後，速度並不那麼慢
4. 通過生成一個可以轉移的.pfx 文件

理解HSTS

HSTS = HTTP Strict-Transport-Security。

伺服器在返回給瀏覽器的響應頭中，增加Strict-Transport-Security，從而告知瀏覽器當前域名只能通過HTTPS進行訪問。

推薦閱讀：