文|Google Chrome 安全团队 Adrienne Porter Felt 和 Emily Schechter
安全性对于网络一直都至关重要,但多年来,HTTPS 的采用一直为网站迁移过程中所涉及的难题所阻碍。为了给所有用户打造一个更加安全的网络,我们 Google 和在线生态系统中的众多其他相关方合作,以更好地了解和解决这些难题,从而实现真正的变革。HTTPS 无所不在的网络并非遥远的未来。它当下正在发生,安全浏览已经成为 Chrome 用户的一项标准要求。
我们将向《透明度报告》中的“HTTPS 报告卡”新增一个部分,其中包括有关 HTTPS 使用率随着时间的推移而增加的情况的数据。半数以上加载的页面以及 Chrome 桌面用户所花费时间的三分之二都是通过 HTTPS 发生,我们期望这些指标继续保持强劲的上升轨迹。
▲ Chrome 中通过 HTTPS 加载的页面百分比
随着网络剩余部分向 HTTPS 的过渡,我们将继续努力,以确保向 HTTPS 的迁移可以轻而易举地完成,从而在提高安全性之外还带来业务收益。HTTPS 当前可以实现网络提供的最佳性能和益于提高网站转化率的强大功能,其中包括服务工作线程(提供离线支持)和网站推送通知等新功能,以及信用卡自动填充和 HTML5 geolocation API 等现有功能,现有功能太过强大,不能通过非安全 HTTP 使用。
在处理所有重要网站迁移工作时,网站站长应采取相应的措施来确保向 HTTPS 迁移时搜索排名过渡顺畅进行。
据我们所见,很多网站已成功完成过渡,且过渡对其搜索排名和流量的影响可以忽略不计。大型零售网站 Wayfair 的搜索引擎优化营销总监 Brian Wood 表示:“我们得以在不严重影响 Google 排名或 Google 自然搜索流量的情况下将 Wayfair.com 迁移至 HTTPS。我们很高兴地说,所有 Wayfair 网站现在都完全是 HTTPS。”
大型科技新闻网站 CNET 也有类似的体验:CNET 技术工程部副总裁 John Sherwood 表示,“我们上个月成功完成了 CNET.com 向 HTTPS 的迁移工作。自那时起,我们的 Google 排名或 Google 自然搜索流量没有发生任何变化。”
对于含有广告的网站,网站站长还应仔细监控大型网站迁移期间的广告效果和收入。过去三年来,通过 HTTPS 提供的 Google 广告流量已大幅增加。所有来自任何 Google 来源的广告都一律支持 HTTPS,包括 AdWords、AdSense 或 DoubleClick Ad Exchange;直接销售的广告,例如通过 DFP 广告管理系统销售的广告,仍需设计为支持 HTTPS。这意味着在迁移到 HTTPS 之后,源自 Google 的广告在网站上的显示不会有任何变化。
很多发布合作伙伴在成功完成 HTTPS 过渡后都切实见证了这一点。Washington Post 程序化广告总监 Jason Tollestrup 表示,“向 SSL 过渡对 AdX 收入没有任何实质性影响。”
随着向 HTTPS 迁移的流程变得越来越简单,我们将继续努力打造默认安全无虞的网络。不要犹豫,立即开始制定您的 HTTPS 迁移规划吧!
引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
引用来自“MikeManilone”的评论
CA 是以贩卖自己公信力来提供认证的。设想,假如有一个假冒腾讯的抽奖钓鱼网站,他几乎不会去申请 SSL 证书,1. 要花钱 2. 无法获取与腾讯完全相同的证书,易于鉴别。假如你有和 CA 一样的公信力,你完全可以自己建一个 CA 公司。这也是为什么 Wosign 受到那么严厉惩罚的缘故。另外,早就有不收费的 CA(Let's Encrypt,StartSSL 等)了,基本上只能用来加密信息而不能鉴别身份,所以这种证书的可信度较低。你连这些免费 CA 都不知道,就在那阴谋论,我也是无语了……
引用来自“rommelzhan”的评论
他大概是不太了解ssl的原理吧,应该是不知道ssl的破绽就在于证书,谁都能颁发证书,那么ssl就不存在安全性可言了。换句话说你ssl的安全性就是那些CA本着自己的职业道德以及信誉来维护的。引用来自“eechen”的评论
我看你是不懂SSL工作过程吧,谁跟你说自己签发的证书不安全?我在Ubuntu桌面上用openssl生成证书并自己签名,然后把crt证书导入Firefox.
然后通过ssh把crt/key传到Ubuntu Server上并给Nginx配置加载.
Firefox和Nginx都有一本我自己签发的同样的证书,就能保证通信安全.
比如个人管理Web程序后台的时候就可以这样干,避免后台登录密码和cookie被劫持.
引用来自“honey_fansy”的评论
这。。。我我给你发个免费的证书,你觉得很安全,然后你就导入并使用了,你心真宽,你智商可以引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
引用来自“MikeManilone”的评论
CA 是以贩卖自己公信力来提供认证的。设想,假如有一个假冒腾讯的抽奖钓鱼网站,他几乎不会去申请 SSL 证书,1. 要花钱 2. 无法获取与腾讯完全相同的证书,易于鉴别。假如你有和 CA 一样的公信力,你完全可以自己建一个 CA 公司。这也是为什么 Wosign 受到那么严厉惩罚的缘故。另外,早就有不收费的 CA(Let's Encrypt,StartSSL 等)了,基本上只能用来加密信息而不能鉴别身份,所以这种证书的可信度较低。你连这些免费 CA 都不知道,就在那阴谋论,我也是无语了……
引用来自“rommelzhan”的评论
他大概是不太了解ssl的原理吧,应该是不知道ssl的破绽就在于证书,谁都能颁发证书,那么ssl就不存在安全性可言了。换句话说你ssl的安全性就是那些CA本着自己的职业道德以及信誉来维护的。引用来自“eechen”的评论
我看你是不懂SSL工作过程吧,谁跟你说自己签发的证书不安全?我在Ubuntu桌面上用openssl生成证书并自己签名,然后把crt证书导入Firefox.
然后通过ssh把crt/key传到Ubuntu Server上并给Nginx配置加载.
Firefox和Nginx都有一本我自己签发的同样的证书,就能保证通信安全.
比如个人管理Web程序后台的时候就可以这样干,避免后台登录密码和cookie被劫持.
引用来自“honey_fansy”的评论
这。。。我我给你发个免费的证书,你觉得很安全,然后你就导入并使用了,你心真宽,你智商可以引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
引用来自“MikeManilone”的评论
CA 是以贩卖自己公信力来提供认证的。设想,假如有一个假冒腾讯的抽奖钓鱼网站,他几乎不会去申请 SSL 证书,1. 要花钱 2. 无法获取与腾讯完全相同的证书,易于鉴别。假如你有和 CA 一样的公信力,你完全可以自己建一个 CA 公司。这也是为什么 Wosign 受到那么严厉惩罚的缘故。另外,早就有不收费的 CA(Let's Encrypt,StartSSL 等)了,基本上只能用来加密信息而不能鉴别身份,所以这种证书的可信度较低。你连这些免费 CA 都不知道,就在那阴谋论,我也是无语了……
引用来自“rommelzhan”的评论
他大概是不太了解ssl的原理吧,应该是不知道ssl的破绽就在于证书,谁都能颁发证书,那么ssl就不存在安全性可言了。换句话说你ssl的安全性就是那些CA本着自己的职业道德以及信誉来维护的。引用来自“eechen”的评论
我看你是不懂SSL工作过程吧,谁跟你说自己签发的证书不安全?我在Ubuntu桌面上用openssl生成证书并自己签名,然后把crt证书导入Firefox.
然后通过ssh把crt/key传到Ubuntu Server上并给Nginx配置加载.
Firefox和Nginx都有一本我自己签发的同样的证书,就能保证通信安全.
比如个人管理Web程序后台的时候就可以这样干,避免后台登录密码和cookie被劫持.
引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
引用来自“MikeManilone”的评论
CA 是以贩卖自己公信力来提供认证的。设想,假如有一个假冒腾讯的抽奖钓鱼网站,他几乎不会去申请 SSL 证书,1. 要花钱 2. 无法获取与腾讯完全相同的证书,易于鉴别。假如你有和 CA 一样的公信力,你完全可以自己建一个 CA 公司。这也是为什么 Wosign 受到那么严厉惩罚的缘故。另外,早就有不收费的 CA(Let's Encrypt,StartSSL 等)了,基本上只能用来加密信息而不能鉴别身份,所以这种证书的可信度较低。你连这些免费 CA 都不知道,就在那阴谋论,我也是无语了……
引用来自“rommelzhan”的评论
他大概是不太了解ssl的原理吧,应该是不知道ssl的破绽就在于证书,谁都能颁发证书,那么ssl就不存在安全性可言了。换句话说你ssl的安全性就是那些CA本着自己的职业道德以及信誉来维护的。我在Ubuntu桌面上用openssl生成证书并自己签名,然后把crt证书导入Firefox.
然后通过ssh把crt/key传到Ubuntu Server上并给Nginx配置加载.
Firefox和Nginx都有一本我自己签发的同样的证书,就能保证通信安全.
比如个人管理Web程序后台的时候就可以这样干,避免后台登录密码和cookie被劫持.
引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
引用来自“MikeManilone”的评论
CA 是以贩卖自己公信力来提供认证的。设想,假如有一个假冒腾讯的抽奖钓鱼网站,他几乎不会去申请 SSL 证书,1. 要花钱 2. 无法获取与腾讯完全相同的证书,易于鉴别。假如你有和 CA 一样的公信力,你完全可以自己建一个 CA 公司。这也是为什么 Wosign 受到那么严厉惩罚的缘故。另外,早就有不收费的 CA(Let's Encrypt,StartSSL 等)了,基本上只能用来加密信息而不能鉴别身份,所以这种证书的可信度较低。你连这些免费 CA 都不知道,就在那阴谋论,我也是无语了……
引用来自“554330833a”的评论
tomcat怎么切换成https?要买一个证书放在服务器那里的吗?引用来自“Holt_Vong”的评论
TOMCAT文档就有说。引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
引用来自“MikeManilone”的评论
CA 是以贩卖自己公信力来提供认证的。设想,假如有一个假冒腾讯的抽奖钓鱼网站,他几乎不会去申请 SSL 证书,1. 要花钱 2. 无法获取与腾讯完全相同的证书,易于鉴别。假如你有和 CA 一样的公信力,你完全可以自己建一个 CA 公司。这也是为什么 Wosign 受到那么严厉惩罚的缘故。另外,早就有不收费的 CA(Let's Encrypt,StartSSL 等)了,基本上只能用来加密信息而不能鉴别身份,所以这种证书的可信度较低。你连这些免费 CA 都不知道,就在那阴谋论,我也是无语了……
引用来自“554330833a”的评论
tomcat怎么切换成https?要买一个证书放在服务器那里的吗?引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
另外,早就有不收费的 CA(Let's Encrypt,StartSSL 等)了,基本上只能用来加密信息而不能鉴别身份,所以这种证书的可信度较低。你连这些免费 CA 都不知道,就在那阴谋论,我也是无语了……
引用来自“eechen”的评论
除了OpenSSL偶尔爆出的严重的Bug,HTTPS最让人恶心的就是坐地收钱的CA.既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?
既然都是浏览器内置受信任的CA证书,那浏览器厂商为什么不提供免费的证书签名?
是不是浏览器厂商收了CA厂商的钱?不敢动CA厂商的奶酪呢?