如果您要收集敏感信息或在线进行交易,您应该计划在您的网站上从http更改为https。
为了发现原因,让我们从一些定义开始:
Http(或 超文本传输协议)是数据在Web上移动的方法。通过查看任何Web地址的开头,您可以看到http对于在线世界的整合程度。
$config[code] not found从好的方面来说,http是快速可靠的。在负面,它与猫防盗大会上的钻石一样安全。有很多方法可以破解通过http传输数据的方式,虽然对于许多在线数据传输(例如观看视频,查看网站)来说这不是问题,如果您需要保护正在进行的数据,这是一个问题。发送。
Https(或超文本传输协议安全) 是数据保护问题的答案。用于具有电子商务,银行业务甚至只是登录页面的网站,https通过加密来保护数据,然后通过使用 SSL(安全套接字层)证书.
SSL证书包含公共和私有加密密钥,这些加密密钥是长字母数字字符串,用于以非常难以破解的方式加密数据,因此非常适合保护敏感数据。
从Http转换为Https的过程
从表面上看,从http更改为https非常简单:
- 购买SSL证书,
- 在您网站的托管帐户上安装您的SSL证书,
- 确保所有网站链接都从http更改为https,以便在您翻转https开关后它们不会中断,并且
- 设置从HTTP到HTTPS的301重定向,以便通知搜索引擎您的网站地址已更改,以便在您翻转交换机后,任何已将您网站上的网页加入书签的人都会自动重定向到https地址。
就这么简单。但是,由于SSL证书供应商提供的绝大多数选项和托管公司提供的软件包,这个简单的过程可能会变得非常混乱。
将您的网站从http迁移到https需要处理比大多数小型企业人士更喜欢的技术,这种情况并没有帮助。
这就是为什么我们只需要深入了解上述四个步骤,以便做出需要做出的业务决策,并在基本层面上理解技术细节。
为什么不深入了解技术目标?有一个很好的理由可以使从http更改为https的整个过程更容易:
您的托管公司可以为您管理大部分流程
如果您已具备将站点从http更改为https所需的技术经验,那么无论如何都要端到端地管理整个过程。
然而,许多小型企业的人员没有这个过程的技术方面的经验。正如您很快就会看到的那样,业务端有足够的学习曲线。
作为小型企业所有者,您需要参与制定业务决策。但是,如果有人知道他们正在做什么 - 你可以信任的人 - 处理技术方面,你可能会更好。一种选择可能是您的网站托管公司。
许多托管公司提供的软件包包括SSL证书,您选择的证书的安装以及301重定向设置。这使您只有一项技术任务,即将您的网站链接更改为指向https而非http的简单工作。
购买包装可能会花费更多。但是,通过将流程的技术结束移交给您的托管公司,您节省的时间和您将避免的挫折将超过弥补费用。
以下是一个托管公司的https + SSL证书产品(SiteGround)的示例。以下是一些需要注意的事项:
- 您应该始终联系您的网络托管公司,以确保您完全了解其中包含的内容。例如,尽管未列出,但与SiteGround进行的快速在线聊天确认了设置301重定向 是 包含在所有三个包中。
- 如您所见,您可以使用托管公司提供的SSL证书,也可以使用从单独的供应商处购买的证书。这会稍微改变每个包的定价(如“其他提供商的价格”行所示)。这会更有意义。
如前所述,即使有人处理技术方面,您仍然需要做出业务决策并至少在基本层面上了解技术方面的内容。这是本文其余部分的主题。
准备开始了吗?我们来吧!
购买SSL证书
购买SSL证书有两种方法:
- 来自您的托管公司,或
- 来自SSL证书供应商。
虽然从您的托管公司购买证书更容易(特别是如果它是特价包装的一部分),但有时他们不提供您需要的证书类型。
是的,有许多类型的SSL证书,您应该根据您的业务需求选择一个。下面,不同类型的SSL证书按验证级别(对营销很重要)进行分组,然后按覆盖级别进行分组。您应该尽可能选择在两个领域都符合您目标的证书。
验证级别的SSL证书
当您将网站移至https时,该更改会反映在您的浏览器中,供您的网站访问者查看。有三个级别的验证,每个级别为您的潜在客户提供比下一个更多的保证。这就是为什么您选择的验证级别也是一个营销决策。
所有三个级别都会导致关闭锁定显示在浏览器的地址栏中,表明与您的站点的连接是安全的。除此之外,在浏览器中查看证书时显示的信息和在验证的最高级别,浏览器的地址栏中也存在差异。您可以在下面每个验证级别的描述中包含的图像中看到这些差异。
选择证书的验证级别时,时间和金钱是另外两个要考虑的因素:验证越高,工作越多,接收证书所需的时间越长。这是因为每一步都提供了对域名所有者(即您的业务)的更多验证,而不是之前的步骤。它还需要更多的文书工作以及对发行人的更多审查。此外,验证级别越高,SSL证书的成本就越高
重要说明:所有三个验证级别提供的实际数据安全性数量相同 - 额外验证更多的是客户信任构建器而不是其他任何内容。
SSL证书验证的三个级别是:
- 域验证 - 基本验证级别,经过域验证的SSL证书将使Web浏览器在网站地址旁边显示一个关闭的锁定图像,以证明该站点是安全的。如下所示,当您在浏览器中查看此类证书的详细信息时,“主题名称”部分将显示最基本的信息。它告诉潜在客户,是的,这个域是安全的。但它没有提到哪家公司获得了域名。缺乏公司名称可能是潜在客户的信任问题。例如,它可能导致某人可以设置欺诈域(例如“robowhos.com”而不是“robowhois.com”)并从那些被诡计吸收的人那里获取敏感数据。
- 组织验证(a.k.a公司验证) - 当您获得具有此第二级验证的SSL证书时,颁发者确认请求证书的公司确实拥有对其颁发证书的域的权利。如下所示,当您在浏览器中查看此类证书时,“主题名称”部分会显示更多详细信息 - 包括公司名称。这种额外的细节水平为潜在客户提供了保证,即该网站是合法且安全的。
- 扩展验证 - 扩展SSL证书可提供最高级别的保证,确保站点合法且值得信赖。如您所见,不仅“主题名称”部分中有更多信息,公司名称也会直接显示在浏览器的地址栏中。 (事实上,在某些浏览器中,整个地址栏在查看站点时会变为绿色。)扩展SSL证书声明公司拥有该域的权利,并且符合接收此级别验证所必需的严格审核标准。现在 那是 好营销!
覆盖级别的SSL证书
另一种对SSL证书进行分组的方法是它们支持的覆盖范围。 SSL证书覆盖的三个级别是:
- 单域SSL证书 - 此类SSL证书仅涵盖一个域和一个域。例如,您可以使用单个域SSL证书来保护mysmallbusiness.com,但不能保护support.mysmallbusiness.com。
- 通配符域SSL证书 - 此类型的SSL证书将涵盖一个域以及该域下的所有子域。例如,您可以使用通配符域SSL证书来保护mysmallbusiness.com和support.mysmallbusiness.com以及任何其他子域。
- 多域SSL证书 - 此类SSL证书可用于覆盖多个域。例如,您可以使用多域SSL证书来保护mysmallbusiness.com和任何其他域,例如myothersmallbusiness.com。
安装SSL证书
在您的网站上安装SSL证书需要生成公共和私有加密密钥,并在Web托管控制面板上的正确位置输入它们。
如果您不确定如何执行这些步骤,则有两种选择:
- 允许您的托管服务提供商为您执行此操作。
- 搜索您的托管服务提供商的支持部分,了解分步说明。如果找不到,只需拿起电话并拨打支持热线即可。
搜索引擎优化?是的,搜索引擎优化
早在2014年夏天,谷歌宣布它正在对其算法进行一些小改动,以推动使用https的网站。搜索引擎还暗示,https在搜索排名中的重要性可能会随着时间的推移而缓慢增长。
虽然拥有https的企业在谷歌上没有看到巨大的搜索排名增长,但忽视这家搜索巨头绝不是明智之举。当您从http更改为https时,这意味着什么?
您可能只想继续在整个网站上使用https,而不是仅在网站的敏感部分使用https。这不会以任何方式影响可访问性或性能,并且这是对未来Google算法更改进行套期保值的好方法。
更改您网站的链接
在指向您自己网站其他部分的所有链接中将文本“http”更改为“https”可能是您需要自己完成的一项技术任务。
如果您没有使用相对链接(部分链接仅使用页面的整个网址的一部分,如“/2015/03/update-wordpress.html”),您需要查看所有网站的内容,以查找指向的链接到您自己网站的其他部分。利用这个机会切换到相对链接,而不是仅仅用“https”替换“http”。
如果您使用的是WordPress等内容管理系统,请务必更改永久链接以使用https。
设置301重定向
如上所述,301重定向两个警报搜索引擎,您的网站的地址已更改,并将您网站上的网页书签的任何人自动重定向到新的https地址。
你的托管公司可能会为你做这个改变(不要忘记询问它是否是他们的软件包的一部分),但是如果你想自己做,你需要编辑根文件夹中的.htaccess文件通过增加:
RewriteEngine On
RewriteCond%{HTTPS}关闭
RewriteRule(。*)http://%{HTTP_HOST}%{REQUEST_URI} R = 301,L
结论
如果有一个关于从http更改为https的保证,那么在此过程中您将会在某些时候感到困惑。
如果您可以避免大部分技术工作并专注于您需要做出的业务决策,那么您将获益。这些好处包括更好的客户信任,超紧密的数据安全性,甚至谷歌对您的网站排名更高的可能性。
通过Shutterstock安全站点照片
14评论▼
