为什么网站应当使用HSTS来提高安全性和SEO?
如果你希望提高网站的安全性、快速加载时间和SEO,John Lincoln将向你讲述为什么和你如何应当使用HSTS来提高用户和排名体验。
网站用户和搜索引擎不会对网站的安全性掉以轻心,这可能就是为什么你可能听说过像HTTPS这样的附加安全措施。
但较少有人知道的、名为HTTP强制安全传输协议(HSTS)的安全协议也是可用的,它能够帮助保护你的网站和搜索引擎优化(SEO)。让我们来看一看何为HSTS以及它的工作原理。
HSTS
HSTS是一个响应头,它能够通知浏览器它只能使用HTTPS连接到特定的网站。HSTS提高了HTTPS网站的速度和安全性。要完全理解何为HSTS,你需要对HTTPS有一定的了解。
HTTPS
HTTPS(超文本安全传输协议)是HTTP的一个安全版本。当用户使用HTTPS连接到网站时,网站就会使用安全套接层(SSL)证书对会话进行加密。用外行的话说,它给网站会话增加了一层额外的安全层,并能够抵御黑客,防止他们窃取网络用户的信息。
正如你可以想象的,这对电子商务、银行业或其他诸如PayPal等的交易是尤其有用的,因为它们都要求用户输入敏感信息。
用户可以清楚地看出网站是否使用了HTTPS。那些安全的网站在URL旁都会有一个绿色的安全标志。
反过来说,那些仍旧依赖HTTP的网站都将会在统一资源定位符(URL)框中被标记为“不安全”。
自2004年以来,HTTPS就被谷歌确认成为了一个排名因素,尽管它不会立即让你的网站飙升到搜索引擎页面(SERP)的前列,但是它能够帮助提高排名,并为网站访问者提供一层额外的可信度。我倾向于认为拥有HTTPS可以促进网页,并且通常会提升HTTPS页面在SERP中的排名。
尽管HTTPS相对于它的前身来说是一个巨大的改进,但它并不是毫无缺陷的,这就需要用到HSTS。
HSTS是如何提高网站安全性的?
HTTPS的一个缺陷是它不能完全阻止黑客。它使得你的网站存在SSL证书剥落的风险。当黑客把连接从加密的连接更改为一个更老版本的连接时,这种情况就会发生。
这通常发生在301重定向中——如果网站依赖的是301重定向来从HTTPS切换到HTTPS。301重定向通常是这样发生的:
某人在其浏览器中键入examplesite.com。
因为examplesite.com使用了301重定向,所以浏览器最初就会试图加载http://examplesite.com。这是由于浏览器不能提前知道特定的网站在使用HTTPS。
一旦它遇到了重定向并被告知网站使用了HTTPS,浏览器之后就会加载https://examplesite.com。
尽管这看起来不是什么大问题,但你真正需要担心的就是这几毫秒,因为它会让你的网站容易受到那些试图剥离你的SSL证书的黑客的攻击。
当服务器最初调用HTTP版本时,黑客就会悄悄潜入并通过不安全的HTTP拦截请求,这将阻止网站使用HTTPS。随着越来越多的网站切换到HTTPS,更多的黑客就会学习如何破解更新的安全代码,这是合乎道理的。
针对这种情况有一种解决方案,即通过应用HSTS使你的网站更加安全。
HSTS会强迫网站通过HTTPS加载,无论一开始是否存在试图进行HTTP连接的调用,就像在301重定向的情形中一样。通过迫使浏览器记住该网站确实支持HTTPS,HSTS从本质上避免了最初的HTTP加载。这样,浏览器就可以立即加载安全的版本,消除黑客截获连接的可能性。
HSTS是如何帮助提高页面加载速度和SEO的?
除了给你的网站添加一层额外的安全层之外,使用HSTS还有可能提高你的SEO排名,因为使用HSTS可以使你的网页加载地更快。
我们知道当谈到搜索排名和用户体验时,加载时间是一件非常重要的事情。移动使用只会有增无减,谷歌的移动优先计划也在全力进行中,这些都使得页面加载速度比以往任何时候都更加重要了。
今年早些时候,谷歌发布了一份研究报告,结论如下:
每个移动页面的平均加载时间是15.3秒。
然而,研究也表明,如果加载时间超过3秒,53%的人会离开移动页面。
很显然,当涉及到加载时间时,网络用户的容忍度并没有那么高。
而且,对于那些似乎最有动机应用HSTS的电子商务网站来说,以下这条新闻无疑是雪上加霜。考虑到来自谷歌的一条购物统计数据:
“考虑到30%的在线购物行为都发生在移动手机上,对于零售商来说,风险从来没有这么高。”
在平均访问时间、每个访问的平均访问页面数和跳出率等参与指标方面,移动网站落后于电脑版网页。大量的购物都发生在网上,但是那些落在后面的网站是不会做成买卖的。
这些参与指标也是在你的整体SEO中的关键因素。那些拥有良好指标的页面可以向谷歌发出讯号,表明自己拥有高质量和好的用户体验,从而便会获取更高的排名。因为页面加载速度如此重要,所以企业想要尽一切可能确保其网站加载速度如闪电一般快速就说得通了。他们能做的一件事就是启用HSTS。
记住,如果你试图只使用HTTPS加载网站,那么浏览器将首先尝试调用HTTP版本,然后才会意识到页面支持HTTPS。这个最初的HTTP连接尝试将会导致你的网站的加载时间存在一些延迟。尽管只是几毫秒,但当涉及到页面加载速度时,每一毫秒都十分重要。只要启用了HSTS,浏览器就会知道只使用HTTPS,从而使重定向即刻进行并消除任何滞后时间。
如何应用HSTS?
在启用HSTS之前,你必须安装一个有效的SSL证书。用户的浏览器在知道立刻重定向到某个页面之前,必须至少看见HSTS标头一次。这意味着当用户首次访问某个域名时,将仍旧必须从HTTP过渡到HTTPS流程。
为了尽可能消除这一隐患,Chrome创建了一个HSTS预加载列表。这是一个域名列表,可以自动启用HSTS,因此用户便可以使用HSTS自动连接。
只要满足一些条件,Chrome就能让所有人将其域名提交到HSTS列表。
如果DNS记录存在,那么HTTPS就需要在根域名和所有子域名(尤其是www.子域名)上进行启用。这包括只在企业内部网路中使用的所有子域名。HSTS政策包括了所有子域名,并且包括了一个很长的内容缓存时间和一个“预先加载”标志,该标志能够表明域名所有者同意预先加载。
截止目前,Firefox、Safari、Opera和Edge也使用了Chrome的预先加载列表,因此该选项对在大多数主要浏览器上的域名都是可用的。
若要在你的网站上启用HSTS,你将需要添加激活的HSTS标头。你可以通过你的主机网址或你自己激活它来达到这一目的。
总结
你应当使用HSTS吗?我认为你应当,除非你是一个内容发布者,并且在切换到HTTPS方面存在困难。
在HTTPS网站上提供广告是很困难的,因此许多发布者都在为切换到HTTPS而挣扎。他们将很有可能也会挣扎于使用HSTS提供广告。
每个网站都可以受益于额外一层的安全性,不仅是从SEO角度,也是从客户的角度。如果你运行着一个电子商务或交易网站,HSTS正迅速成为必须。
这样来想一想吧:额外的安全性和更快速的加载时间等于更高的SEO,最终更好的用户体验。