网站使用HTTPS协议利弊及如何搭建HTTPS站点

大家都知道现在随着互联网的高速发展，互联网、手机已经成为人们生活依赖度相当高的工具，但就像一把双刃剑，互联网也是一个“黑白”都存在的世界。

最近互联网的安全问题被多次提起，我们每天使用互联网，通过浏览器在网页上的所有操作行为都会通过http协议进行传输，这种传输是没有加密的，简单说就是你在浏览器的上网记录，这些信息是可以在传输的过程中被截取的，所以就存在着一定的不安全性。

最近百度搜索引擎启动了史上规模最大的一次“迁徙”，目标就是从HTTP切换到HTTPS上去，通俗来讲，就是用户搜索关键词的数据请求和页面访问，会增加一个“数据加密”的技术，中间一些“传输”过程都被加密和认证，第三方无法获取，这样就轻松化解了数据被劫持、篡改的隐患。

今天笔者就跟大家分享一下做网站时使用HTTPS协议利弊及如何搭建HTTPS站点。

第一：我们先认识一下什么是HTTPS

SSL（Security   Socket   Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

HTTPS其实是有两部分组成：HTTP + SSL / TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据。具体是如何进行加密，解密，验证的，且看下图。

第二：做网站时采用HTTPS协议对网站推广有何好处？

1、使用HTTPS协议有利于搜索引擎排名

去年8月份，谷歌曾发布公告表示将把“是否使用安全加密协议（即HTTPS）”作为搜索引擎排名的一项参考因素。同等情况下，HTTPS站点能比HTTP站点获得更好的搜索排名。不过得说明下，影响谷歌搜索引擎排名的因素已有逾200项，因而HTTPS协议的影响到底几何目前尚不清楚。因而，与其他谷歌排名影响因素一样的是，HTTPS协议也并非独立存在的。

建议：

如果只是为了搜索引擎排名的话，那有很多因素的影响力比HTTPS协议大。

2、可以保护安全隐私

不少站长都认为，只有诸如电子商务、金融、社交网络等存在敏感信息安全问题的站点才有采用HTTPS协议的必要，其实不然。任何类型的站点都可以从中获益。

1）使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。

3）HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

建议：

在成本费用允许情况下，还是建议站长采用HTTPS加密协议，毕竟网站安全也是用户体验的一个重要环节，而且还有利于搜索引擎排名，何乐而不为呢！

第三：做网站时使用HTTPS协议有何挑战？

1、网站加载速度问题

HTTPS协议的握手过程比较费时，对网站的响应速度有负面影响。据ACM CoNEXT数据显示，使用HTTPS协议很可能会使页面的加载时间延长近50%。而网站加载速度也是影响搜索引擎排名的一个很重要的因素。

2、容易忽略的问题

将站点由HTTP转为HTTPS协议涉及到很多问题，有时候会忽略了一些重要的细节问题：

1）robots.txt文件中是否屏蔽了重要的URL链接？

2）Canonical标签指向的URL是否正确？

3）当用户访问你的网站时，是否会出现浏览器安全警告提示窗口？

3、HTTPS兼容性问题

这里所说得“兼容性”包括很多方面，比如现有的Web应用要尽可能无缝地迁移到HTTPS、浏览器对HTTPS的兼容性问题、HTTPS协议解析以及SSL证书管理等。

4、成本

据数据显示，很多站长每年花在SSL证书上的费用在100美元-200美元之间，这对于个人博客、或是小型站点来说是一笔不小的开支。

第四：如何搭建HTTPS站点

说到HTTPS站点的搭建，就不得不提到SSL协议。SSL是Netscape公司率先采用的网络安全协议。它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。SSL广泛支持各种类型的网络，同时提供三种基本的安全服务，它们都使用公开密钥技术。

SSL的作用：

1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）加密数据以防止数据中途被窃取；

3）维护数据的完整性，确保数据在传输过程中不被改变。

而SSL证书指的是在SSL通信中验证通信双方身份的数字文件，一般分为服务器证书和客户端证书，我们通常说的SSL证书主要指服务器证书。SSL证书由受信任的数字证书颁发机构CA（如VeriSign，GlobalSign，WoSign等），在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。分为扩展验证型(EV)SSL证书、组织验证型(OV)SSL证书、和域名验证型（DV）SSL证书。

SSL证书申请的3个主要步骤：

1、制作CSR文件。

所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

2、CA认证。

将CSR提交给CA，CA一般有2种认证方式：

1）域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称；

2）企业文档认证：需要提供企业的营业执照。一般需要3-5个工作日。

也有需要同时认证以上2种方式的证书，叫EV证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以认证也最严格。

3、证书的安装。

在收到CA的证书后，可以将证书部署上服务器，一般APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPD.CONF文件；TOMCAT等，需要将CA签发的证书CER文件导入JKS文件后，复制上服务器，然后修改SERVER.XML；IIS需要处理挂起的请求，将CER文件导入。