Hi Jason
  • About
  • Keywords
    • keywords - 2021/01
    • Keywords - 2020/08
    • Keywords - 2020/07
  • Note
    • 2021
    • 2020
      • 伊拉克域名.IQ被美国删除的背后以及早期的根域名管理
      • 美国如果把根域名服务器封了,中国会从网络上消失?
      • The Technical Data Guidance
    • 缓慢收藏, 小心整理
      • 泰戈尔诗句节选
    • 金刚经 原文 | 抄经
  • Read
    • 符号
    • 段永平投资问答录
      • 符号的设计
      • 符号形式探寻
      • 作为符号的设计(上篇)
      • 作为符号的设计(下篇)
      • 符号化设计之符号形式探寻
    • Dark Mode
      • Dark Mode的设计要点
      • 一篇吃透 Dark Mode ,搞定“暗黑/深色”适配
    • Apple
      • Apple “无缝”设计之历程
      • Apple 那些“无关紧要”的设计改进
      • HomePod 的设计
      • 解决方案、设计、好设计,Apple UI 设计中的 Tuning
      • Apple 的 Logo 设计
      • J 的艺术,R 的艺术
      • 从圆角到圆角
      • Apple 颜色设计的历程
      • 欲望、逻辑和习惯
      • 反“建筑学”的 Apple Park 将刺激建筑的发展
      • 螺钉,还是胶水?
      • 关于苹果设计的书籍和文章推荐
      • 正面冲撞习惯
      • 从 iOS 7 的电话图标到 polyoxybenzyl…
      • Affordance(可供性)和设计
      • 美的感知力
      • 2010: A Design Odyssey
      • iPad,从 niche 到 mass
  • Source
    • Nginx
      • 前言
      • Nginx入门
      • Nginx 配置文件
      • Nginx 内存池管理
      • Nginx 基本数据结构
      • Nginx 数组结构 ngx_array_t
      • Nginx 链表结构 ngx_list_t
      • Nginx 队列双向链表结构 ngx_queue_t
      • Nginx 哈希表结构 ngx_hash_t
      • Nginx 红黑树结构 ngx_rbtree_t
      • Nginx 模块开发
      • Nginx 启动初始化过程
      • Nginx 配置解析
      • Nginx 中的 upstream 与 subrequest 机制
      • Nginx 源码结构分析
      • Nginx 事件模块
      • Nginx 的 epoll 事件驱动模块
      • Nginx 定时器事件
      • Nginx 事件驱动模块连接处理
      • Nginx 中 HTTP 模块初始化
      • Nginx 中处理 HTTP 请求
      • Untitled
      • Untitled
    • Part 1
      • curl
  • Google Dev
    • 重要概念
      • Google 搜索的工作方式
      • 什么是展示次数、排名和点击次数?
      • 关于我们的统计信息和数据
    • Search Console帮助
      • 指南概览
      • 网站站长指南
      • 常规指南
        • 搜索引擎优化 (SEO) 新手指南
        • 使用 HTTPS 确保网站安全
        • 保持简单的网址结构
        • 向 Google 说明您的出站链接的用意
        • 将网站标记为面向儿童的内容
        • 浏览器兼容性
        • 避免创建重复内容
        • 确保链接可供抓取
        • 借助 Google 搜索进行网站测试的最佳做法
      • 专门面向内容的指南
        • 与 Google 搜索中的 AMP 网页相关的准则
        • AJAX 增强网站
        • 图片和视频
          • Google 图片最佳做法
          • 图片站点地图
          • Google 图片中的图片权限元数据
          • 视频最佳做法
          • 视频 Sitemap 及其替代方案
          • 有关富媒体文件的最佳做法
        • 播客
        • Google 移动
          • 在功能手机上进行移动浏览
          • Web Light:在搜索结果中提供更快速且更精简的移动版网页
          • Google 搜索中的 Web Light 网页对广告网络的支持
          • Google 探索和您的网站
          • 实用资源:面向适合在移动设备上显示的网页的开发者
          • 将移动网络结算费用明确告知用户
          • 将 Android 应用与网站相关联
      • 质量指南
    • Google Cloud CDN
      • 使用拖管实例组设置 Cloud CDN
      • 使用后端存储分区设置 Cloud CDN
      • 使用缓存键
      • 查看日志
  • Guidebook
    • Color Guide
    • Material.io
  • Navigation
    • Google
    • Social & Study
    • Working Tools
Powered by GitBook
On this page
  • 什么是 HTTPS?
  • 实施 HTTPS 时的最佳做法
  • 从 HTTP 迁移到 HTTPS
  • 更多信息

Was this helpful?

  1. Google Dev
  2. Search Console帮助
  3. 常规指南

使用 HTTPS 确保网站安全

保护您的网站和用户

什么是 HTTPS?

HTTPS(超文本传输安全协议)是一种互联网通信协议,可确保在用户的计算机与网站之间所传递的数据的完整性和机密性。每当访问网站时,用户都希望自己的在线体验安全无虞且具有私密性。因此,我们建议您采用 HTTPS 来保护用户与您网站之间的连接(无论您网站上提供了什么内容)。

所有使用 HTTPS 发送的数据都可通过传输层安全协议 (TLS) 得到保护。该协议可提供三重关键保护:

  1. 加密 - 对所交换的数据进行加密,以使其免受窥探。这意味着在用户浏览网站期间,没有人能够“听到”其会话内容,也无法在多个网页上跟踪其活动或窃取其信息。

  2. 数据完整性 - 不管是有意还是无意,在数据传输期间数据都无法被修改或损坏,也不会被检测。

  3. 身份验证 - 证明用户可与目标网站通信,这有助于保护用户免遭中间人攻击并建立用户信任,进而带来其他商业效益。

实施 HTTPS 时的最佳做法

使用强大的安全证书

在为网站启用 HTTPS 的过程中,您必须获得安全证书。证书由数字证书认证机构 (CA) 颁发,该机构会采取有关措施,确认您的网站地址是否确实属于您的组织,从而保护访问者免受中间人攻击。在设置证书时,您可以选择 2048 位密钥,来确保高级别的安全性。如果所持证书的密钥(1024 位)安全性较弱,请将其升级到 2048 位。选择网站证书时,请注意以下几点:

  • 从提供技术支持的可靠 CA 处获取证书。

  • 确定所需证书的类型:

    • 适用于单个安全源的单个证书(例如:www.example.com)。

    • 适用于多个已知安全源的多网域证书(例如www.example.com、cdn.example.com、example.co.uk)。

    • 适用于具有多个动态子域名的安全源的通配型证书(例如:a.example.com、b.example.com)。

使用服务器端 301 重定向

使用服务器端 301 HTTP 重定向将用户和搜索引擎重定向至 HTTPS 网页或资源。

确认 Google 能否抓取您的 HTTPS 网页并将其编入索引

  • 请勿通过 robots.txt 文件阻止抓取您的 HTTPS 网页。

  • 请勿在您的 HTTPS 网页中包含 noindex 元标记。

  • 使用“网址检查”工具来测试 Googlebot 能否访问您的网页。

支持 HSTS

我们建议 HTTPS 网站支持 HSTS(HTTP 严格传输安全协议)。HSTS 不仅会告知浏览器自动请求 HTTPS 页面(即使用户在浏览器地址栏中输入的是 http),还会告知 Google 在搜索结果中提供安全网址,从而最大限度地降低了向用户提供不安全内容的风险。

要支持 HSTS,请使用支持 HSTS 的网络服务器并启用该功能。

虽然 HSTS 更安全,但它会增加回滚策略的复杂性。我们建议您按照以下方式启用 HSTS:

  1. 首先,滚动未启用 HSTS 的 HTTPS 页面。

  2. 开始发送 max-age 较短的 HSTS 标头。通过用户和其他客户端监控您的流量,并监控相关内容的效果,如广告。

  3. 逐步增加 HSTS 的 max-age。

  4. 如果 HSTS 不会对您的用户和搜索引擎产生负面影响,您便可请求系统将您的网站添加到被大多数主要浏览器使用的 HSTS 预加载列表中(如果您愿意的话)。

考虑使用 HSTS 预加载

如果您启用了 HSTS,则可选择支持 HSTS 预加载,以进一步提高安全性并改善性能。要启用预加载,您必须访问 hstspreload.org 并按照其中所述的提交要求对您的网站执行相应操作。

避免以下常见问题

在使用 TLS 保护网站安全的整个过程中,请避免以下错误:

问题

措施

过期的证书

确保证书始终最新。

注册了错误网站名称的证书

检查您是否已获得可涵盖与您网站对应的所有主机名的证书。例如,如果您的证书仅涵盖 www.example.com,则仅使用 example.com(不带“www.”前缀)加载您的网站的访问者将会因证书名称不匹配错误而被禁止访问。

抓取问题

请勿使用robots.txt屏蔽抓取HTTPS网站。

索引编制问题

尽可能允许通过搜索引擎将网页编入索引。避免使用 noindex 元标记。

旧版协议

旧版协议易受攻击;请务必使用最新版 TLS 库并实施最新版协议。

并非只含安全元素

在 HTTPS 网页上只嵌入 HTTPS 内容。

HTTP 和 HTTPS 上的内容不同

确保HTTP网站和HTTPS上的内容相同。

确认网站是否返回正确的HTTP状态代码。例如,200 OK(页面可访问)或 404/410(页面不存在)。

更多提示

有关在网站上使用 HTTPS 网页的更多提示,请参阅 HTTPS 迁移常见问题解答。

从 HTTP 迁移到 HTTPS

如果您将网站从 HTTP 迁移到 HTTPS,则 Google 只会将其视为包含网址更改的网站迁移。这可能会暂时影响您的部分流量。有关详情,请访问网站迁移概览页面。

在 Search Console 中添加新的 HTTPS 资源:Search Console 会分别处理 HTTP 和 HTTPS;数据不会在 Search Console 中的资源之间共享。

请参阅站点地图迁移的问题排查页面,以排查迁移问题。

更多信息

要详细了解如何在您的网站上实施 TLS,请参阅以下资源:

  • Qualys SSL/TLS 最佳做法

  • SSL/TLS Mozilla wiki

Previous搜索引擎优化 (SEO) 新手指南Next保持简单的网址结构

Last updated 4 years ago

Was this helpful?

缺少 (SNI) 支持

确保网络服务器支持SNI且您的受众通常使用支持的浏览器。所有都支持SNI,但如果您需要支持旧版浏览器,则需要一个专用的IP。

HTTPS上的错误

服务器名称指示
新式浏览器
HTTP状态代码