互联网使企业主很容易接触到他们的客户。但是有黑客、病毒、恶意软件等,正等着攻击您的网站或系统。这些邪恶势力进入我们系统的最常见方式之一是通过不安全的连接。如果您想保护自己免受这些入侵者的侵害,是时候切换到HTTPS!继续阅读有关从HTTP流量迁移到更安全的HTTPS连接的完整指南,并尽量减少麻烦。
这篇博文将引导您了解有关从HTTP成功迁移到HTTPS的所有信息。
什么是HTTPS,为什么要关心从HTTP迁移?
HTTPS是您的浏览器和您访问的每个站点之间数据通信中底层协议的受保护和加密版本。另一方面,HTTP是协议的纯文本版本。每当您使用HTTP访问站点时,任何嗅探您的网络流量的人都可以监视、跟踪和记录您的活动。
每当您传输信用卡号或密码等敏感数据时,出于安全原因,HTTPS都是必需的。HTTPS确保只有服务器才能解密您的浏览器和网站之间发送的信息。如果没有HTTPS,您的浏览器将以纯文本形式向服务器发送请求,这使您容易受到中间人(MITM)等攻击。中间人(MITM)攻击基本上发生在肇事者进入用户和应用程序之间的通信,监听其中一方,使其看起来好像正在进行常规信息交换时。选择能够保护您的传输免受窃听、中间人攻击以及篡改您发送或接收的任何数据的站点非常重要。
如何从HTTP迁移到HTTPS
转向HTTPS是一个相对简单的过程,尽管在进行切换之前需要仔细规划和测试。与与您网站的安全性相关的大多数事情一样,这既是为未来做好准备,也是为了进行转换。
1、如何获取HTTPS证书
Gworg获得SSL认证是在您的网站上启用HTTPS的第一步。有几种类型的SSL可用,但始终建议使用具有“扩展验证”状态的证书。虽然这些证书的成本高于经过域验证的证书,但它们向站点访问者提供了最明显的视觉指示,表明您的站点将使用HTTPS。
2、具有专用IP地址的主机
所有主要的Web服务器,如Apache和NGINX都可以使用SSL/TLS而不会出现任何问题。如果您计划仅使用证书支持一个域,则必须使用专用IP地址。这意味着具有多个字段的证书将是有限的不兼容。您网站的DNS记录也需要更新,以便访问者重定向到新的HTTPSURL。
3、购买SSL证书
在您的网站上使用HTTPS之前,您需要从Gworg受信任的证书颁发机构(CA)购买SSL证书。您的网络托管服务商可能会为您提供SSL证书作为其服务的一部分。如果他们不这样做,或者如果所有主要浏览器和操作系统不接受他们的证书,您可能希望选择专用SSL证书,而不是使用您的网络主机的内部证书。
您还应该确保所有主要浏览器和操作系统都信任您选择的证书颁发机构——否则,您网站的访问者将无法通过HTTPS访问它。
4、申请SSL证书
申请过程GWORG自助系统生成SSL证书,该证书必须由SSL证书安装在您的Web服务器上。
5、HTTP严格传输安全(HSTS)
在您的网站上启用HTTPS后,帮助HTTPStrict-Transport-Security标头是确保访问者通信安全的第二步。它将确保Web浏览器自动使用加密连接来访问您的网站——只要它们满足特定标准,例如支持TLS1.2并且正确设置时钟——即使您的网站是通过HTTP访问的。
6、安装证书解析库
本页介绍在PHP中安装SSL证书解析库。如今,验证SSL/TLS证书的首选方法是使用证书颁发机构文件,也称为捆绑包。它包含所有重要的Web浏览器信任的用于服务器身份验证的CA证书。但是,某些网站可能具有仅信任CA子集的自定义要求,或者希望生成其CA签名证书而不是证书包。
6、更新您的站点以启用仅HTTPS连接
一旦您将网站上的域更改为HTTPS,下一步就是对其进行配置,以便访问者只能通过加密连接(即“仅HTTPS”)访问内容。如果用户尝试在您的站点中加载他们无法通过HTTPS访问的任何URL,他们的浏览器将显示一条错误消息。但是,如果他们仍在使用不安全的HTTP版本,他们将收到混合内容警告,并且页面将按预期加载。
7、重定向到HTTPS
如果您在网站上启用了SSL,最后一步是配置重定向,以便搜索引擎和其他用户可以通过HTTPS轻松找到您的内容。否则,他们将无法通过HTTP进行连接,这是不安全的。如果您使用的是缓存插件(缓存插件会生成您网站的静态HTML页面并将其保存在您的服务器上)。W3TotalCache,配置重定向非常简单,以便您网站上的所有内容请求都重定向到HTTPS而不是HTTP。
从HTTP迁移到HTTPS时常犯的错误以及如何避免这些错误
成功将您的站点从HTTP迁移到HTTPS的关键是准备——如果您不小心,很容易错过某些内容并继续使用错误的协议。以下是人们在迁移网站时最常犯的一些错误,以及一些避免这些错误的简单方法。
不编辑您网站的.htaccess文件
.htaccess文件类似于Apache的HTTPd.conf文件,因为它们包含.htaccess文件本身的许多配置设置以及嵌入其中的任何内容。仔细编辑您网站的.htaccess文件可以让您控制在使用不安全的HTTP连接发出请求时,您的网站如何处理访问者。
忘记更新您的内部链接和表格
当您将网站的协议从HTTP更改为HTTPS时,很容易忘记此信息嵌入您网站的所有不同位置,例如内部链接、表单、JavaScript代码等。如果您不更新这些,如果用户迁移到HTTPS,他们将收到混合内容警告,并且您将失去使用SSL的安全优势。
未设置HSTS标头
HSTS(HTTP严格传输安全)标头是浏览器告诉Web服务器他们必须始终使用HTTPS的一种方式——即使用户尝试通过键入HTTP版本来访问您的站点。
结论
最后,迁移到HTTPS是您和您的网站访问者相互进行安全交互的一种方式。如果您当前使用的是HTTP,则必须迁移到HTTPS。它将确保您的网站与最新的浏览器和设备兼容,这也会极大地影响Google的SEO排名。我们建议您严格遵循本指南以获得最佳效果!