Google官方:2018年的7月开始HTTP类型的网站将都会标记为不安全
Google官方博客最近公布的消息,在2018年的7月,Google 将会发布 Chrome 68,自该版本开始,所有使用 http 的网站都会被标识为 not secure ,也就是不安全。
去年一月的时候,Google 的改变是只对有登陆信息的页面,才使用此策略,而现在是所有的页面。
在过去的几年里,https 得到很大的推广,SSL证书的价格也越来越便宜,甚至一些免费证书也可以很容易的自动化部署到网站上。
去年2017年https网站的一些数据:
1、超过68%的安卓和 Windows 上之 Chrome 流量是 https。
2、超过78%的 Chrome OS 和 Mac 上之 Chrome 流量是 https。
3、全球前100名的网站中有81个是默认使用 https的。
况且站长们应该知道,使用 https 的网站同没有使用 https 的网站相比,是有排名优势的。
使用 HTTPS的一些建议:
1、所有站点都要加上 HTTPS,包括第三方内容,如果第三方内容不是 HTTPS 的,那就找其它服务商替换它。
2、尽可能使用 ECC 证书,若必须使用 RSA 证书,请使用双证书。
3、使用 HSTS,如果有条件,可以加入 HSTS Preload。
4、加密协议,禁用 SSL 全系,只使用TLS,但是 TLS 1.0 也可以考虑禁用了。
5、SSL 证书的签名算法,要使用 SHA-2,不要使用已经被证明有严重缺陷的 SHA-1了。
6、前向安全性,Forward Secrecy,就是说要使用 DHE 或者ECDHE 密钥交换。
7、启用 HTTP/2。
8、证书可能的话,就加上 OCSP Stapling。