关于启用 HTTPS 的一些经验分享-阿里云资讯网
关于启用 HTTPS 的一些经验分享
发布时间：
更新时间：
来源：网络
上传者：用户
随着国内网络环境的持续恶化，各种篡改和劫持层出不穷，越来越多的网站选择了全站 HTTPS。就在今天，免费提供证书服务的Let's Encrypt&项目也正式开放，HTTPS 很快就会成为 WEB 必选项。HTTPS 通过 TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能，可以有效防止数据被查看或篡改，以及防止中间人冒充。本文分享一些启用 HTTPS 过程中的经验，重点是如何与一些新出的安全规范配合使用。至于 HTTPS 的部署及优化，之前写过很多，本文不重复了。 理解 Mixed Content
HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content（混合内容），不同浏览器对 Mixed Content 有不一样的处理规则。 早期的 IE
早期的 IE 在发现 Mixed Content 请求时，会弹出「是否只查看安全传送的网页内容？」这样一个模态对话框，一旦用户选择「是」，所有 Mixed Content 资源都不会加载；选择「否」，所有资源都加载。 比较新的 IE
比较新的 IE 将模态对话框改为页面底部的提示条，没有之前那么干扰用户。而且默认会加载图片类 Mixed Content，其它如 JavaScript、CSS 等资源还是会根据用户选择来决定是否加载。 现代浏览器
现代浏览器（Chrome、Firefox、Safari、Microsoft Edge），基本上都遵守了 W3C 的&Mixed Content&规范，将 Mixed Content 分为&Optionally-blockable&和Blockable&两类：
Optionally-blockable&类 Mixed Content 包含那些危险较小，即使被中间人篡改也无大碍的资源。现代浏览器默认会加载这类资源，同时会在控制台打印警告信息。这类资源包括： 通过&&img&&标签加载的图片（包括 SVG 图片）； 通过&&video&&/&&audio&&和&&source&&标签加载的视频或音频； 预读的（Prefetched）资源；
除此之外所有的 Mixed Content 都是&Blockable，浏览器必须禁止加载这类资源。所以现代浏览器中，对于 HTTPS 页面中的 JavaScript、CSS 等 HTTP 资源，一律不加载，直接在控制台打印错误信息。 移动浏览器
前面所说都是桌面浏览器的行为，移动端情况比较复杂，当前大部分移动浏览器默认都允许加载 Mixed Content。也就是说，对于移动浏览器来说，HTTPS 中的 HTTP 资源，无论是图片还是 JavaScript、CSS，默认都会加载。
一般选择了全站 HTTPS，就要避免出现 Mixed Content，页面所有资源请求都走 HTTPS 协议才能保证所有平台所有浏览器下都没有问题。 合理使用 CSP
CSP，全称是 Content Security Policy，它有非常多的指令，用来实现各种各样与页面内容安全相关的功能。这里只介绍两个与 HTTPS 相关的指令，更多内容可以看我之前写的《Content Security Policy Level 2 介绍》。 block-all-mixed-content
前面说过，对于 HTTPS 中的图片等&Optionally-blockable&类 HTTP 资源，现代浏览器默认会加载。图片类资源被劫持，通常不会有太大的问题，但也有一些风险，例如很多网页按钮是用图片实现的，中间人把这些图片改掉，也会干扰用户使用。
通过 CSP 的&block-all-mixed-content&指令，可以让页面进入对混合内容的严格检测（Strict Mixed Content Checking）模式。在这种模式下，所有非 HTTPS 资源都不允许加载。跟其它所有 CSP 规则一样，可以通过以下两种方式启用这个指令：
HTTP 响应头方式：
Content-Security-Policy: block-all-mixed-content
&meta&&标签方式：
&meta http-equiv=&Content-Security-Policy& content=&block-all-mixed-content&&
upgrade-insecure-requests
历史悠久的大站在往 HTTPS 迁移的过程中，工作量往往非常巨大，尤其是将所有资源都替换为 HTTPS 这一步，很容易产生疏漏。即使所有代码都确认没有问题，很可能某些从数据库读取的字段中还存在 HTTP 链接。
而通过&upgrade-insecure-requests&这个 CSP 指令，可以让浏览器帮忙做这个转换。启用这个策略后，有两个变化： 页面所有 HTTP 资源，会被替换为 HTTPS 地址再发起请求； 页面所有站内链接，点击后会被替换为 HTTPS 地址再跳转；
跟其它所有 CSP 规则一样，这个指令也有两种方式来启用，具体格式请参考上一节。需要注意的是&upgrade-insecure-requests&只替换协议部分，所以只适用于 HTTP/HTTPS 域名和路径完全一致的场景。 合理使用 HSTS
在网站全站 HTTPS 后，如果用户手动敲入网站的 HTTP 地址，或者从其它地方点击了网站的 HTTP 链接，依赖于服务端 301/302 跳转才能使用 HTTPS 服务。而第一次的 HTTP 请求就有可能被劫持，导致请求无法到达服务器，从而构成 HTTPS 降级劫持。 HSTS 基本使用
这个问题可以通过 HSTS（HTTP Strict Transport Security，RFC6797）来解决。HSTS 是一个响应头，格式如下：
Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]
max-age，单位是秒，用来告诉浏览器在指定时间内，这个网站必须通过 HTTPS 协议来访问。也就是对于这个网站的 HTTP 地址，浏览器需要先在本地替换为 HTTPS 之后再发送请求。
includeSubDomains，可选参数，如果指定这个参数，表明这个网站所有子域名也必须通过 HTTPS 协议来访问。
preload，可选参数，后面再介绍它的作用。
HSTS 这个响应头只能用于 HTTPS 响应；网站必须使用默认的 443 端口；必须使用域名，不能是 IP。而且启用 HSTS 之后，一旦网站证书错误，用户无法选择忽略。 HSTS Preload List
可以看到 HSTS 可以很好的解决 HTTPS 降级攻击，但是对于 HSTS 生效前的首次 HTTP 请求，依然无法避免被劫持。浏览器厂商们为了解决这个问题，提出了 HSTS Preload List 方案：内置一份列表，对于列表中的域名，即使用户之前没有访问过，也会使用 HTTPS 协议；列表可以定期更新。
目前这个 Preload List 由 Google Chrome 维护，Chrome、Firefox、Safari、IE 11 和 Microsoft Edge 都在使用。如果要想把自己的域名加进这个列表，首先需要满足以下条件： 拥有合法的证书（如果使用 SHA-1 证书，过期时间必须早于 2016 年）； 将所有 HTTP 流量重定向到 HTTPS； 确保所有子域名都启用了 HTTPS； 输出 HSTS 响应头： max-age 不能低于 18 周（ 秒）； 必须指定 includeSubdomains 参数； 必须指定 preload 参数；
即便满足了上述所有条件，也不一定能进入 HSTS Preload List，更多信息可以看这里。通过 Chrome 的&chrome://net-internals/#hsts&工具，可以查询某个网站是否在 Preload List 之中，还可以手动把某个域名加到本机 Preload List。
对于 HSTS 以及 HSTS Preload List，我的建议是只要你不能确保永远提供 HTTPS 服务，就不要启用。因为一旦 HSTS 生效，你再想把网站重定向为 HTTP，之前的老用户会被无限重定向，唯一的办法是换新域名。 CDN 安全
对于大站来说，全站迁移到 HTTPS 后还是得用 CDN，只是必须选择支持 HTTPS 的 CDN 了。如果使用第三方 CDN，安全方面有一些需要考虑的地方。 合理使用 SRI
HTTPS 可以防止数据在传输中被篡改，合法的证书也可以起到验证服务器身份的作用，但是如果 CDN 服务器被入侵，导致静态文件在服务器上被篡改，HTTPS 也无能为力。
W3C 的&SRI（Subresource Integrity）规范可以用来解决这个问题。SRI 通过在页面引用资源时指定资源的摘要签名，来实现让浏览器验证资源是否被篡改的目的。只要页面不被篡改，SRI 策略就是可靠的。
有关 SRI 的更多说明请看我之前写的《Subresource Integrity 介绍》。SRI 并不是 HTTPS 专用，但如果主页面被劫持，攻击者可以轻松去掉资源摘要，从而失去浏览器的 SRI 校验机制。 了解 Keyless SSL
另外一个问题是，在使用第三方 CDN 的 HTTPS 服务时，如果要使用自己的域名，需要把对应的证书私钥给第三方，这也是一件风险很高的事情。
CloudFlare 公司针对这种场景研发了 Keyless SSL 技术。你可以不把证书私钥给第三方，改为提供一台实时计算的 Key Server 即可。CDN 要用到私钥时，通过加密通道将必要的参数传给 Key Server，由 Key Server 算出结果并返回即可。整个过程中，私钥都保管在自己的 Key Server 之中，不会暴露给第三方。
CloudFlare 的这套机制已经开源，如需了解详情，可以查看他们官方博客的这篇文章：Keyless SSL: The Nitty Gritty Technical Details。
好了，本文先就写到这里，需要注意的是本文提到的 CSP、HSTS 以及 SRI 等策略都只有最新的浏览器才支持，详细的支持度可以去&CanIUse&查。切换到 HTTPS 之后，在性能优化上有很多新工作要做，这部分内容我在之前的博客中写过很多，这里不再重复，只说最重要的一点：既然都 HTTPS 了，赶紧上 HTTP/2 才是正道。原文：https://imququ.com/post/sth-about-switch-to-https.html
本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容，欢迎发送邮件至：zixun-group@service.aliyun.com 进行举报，并提供相关证据，工作人员会在5个工作日内联系你，一经查实，本站将立刻删除涉嫌侵权内容。
在当今高速发展的中国，嫦娥已奔月、高铁已运转、杀人已不犯法、苹果当红的形势下，IE6浏览器本应受到极大重创，然而自2001年10月IE6问世以来，中国网民数量对此浏览器的喜爱却有增无减，原因何在： XP系统的成功引进。经济高速发展，贫富差距加大，人民生活水平虽有提高，但架不住物价上涨，故系统已无力更新。 银行和政府大力扶持IE6。部分官员贪污腐败，挥霍无度，却无钱用于浏览器更新。 基于IE内...
SEO外链增加流量
SEO的最高境界
&博客类网站推荐：1、新浪博客 blog.sina.com.cn2、网易博客 blog.163.com3、博客网 bokee.com4、搜狐博客 blog.sohu.com5、腾讯博客 blog.qq.com6、和讯博客 blog.hexun.com7、51博客 51.com8、博客大巴 blogbus.com9、凤凰博报 blog.ifeng.com10、天涯博客 blog.ti...
DIV+CSS布局
好处和意义
业界越来越关注DIV+CSS的标准化设计，大到各大门户网站，小到不计其数的个人网站，在Div+CSS标准化的影响下，网页设计人员已经把这一要求作为行业标准。那么什么是Div+CSS标准？Div+CSS的标准化设计到底有什么好处？ Div 全称 division 意为“区分”使用 DIV 的方法跟使用其他 tag 的方法一样。 如果单独使用 DIV 而不加任何 CSS, 那么它在网页中的效...
复制代码代码如下: &!DOCTYPE HTML PUBLIC &-//W3C//DTD HTML 4.0 Transitional//EN&& &HTML& &HEAD& &TITLE& New Document &/TITLE& &style tyep=&text/css&& ...
很多初学制作网页的朋友，可能会遇到的一个常见问题，就是在CSS中加了margin:0却没有效果，不能居中的问题！margin:0的意思就是：上下边界为0，左右根据宽度自适应！其实就是~~水平居中的意思，呵呵！小一在这里说两个典型的错误引起的不能居中的问题： 1、没有设置宽度&div style=&margin:0&&&...
web开发，IE9的一个很重要的更新就是可以把一个网站拉到任务栏里，把一个网站当作一个web应用程序。同时一个网站也可以在开始菜单栏里面，当作一个应用程序，但应用程序需要网络的支持。 web开发里面，数据库的内容我们可以不改，但我们可以按我们的意愿去改动一个web应用程序外观等内容。页面里面的内容，我们不需要改动，当然也可以改动。 1，我们可以改动头元素（meta） 添加代码 &met...
若您要投稿、删除文章请联系邮箱：zixun-group@service.aliyun.com，工作人员会在5个工作日内回复。
售前咨询热线
支持与服务
资源和社区
关注阿里云
International启用https 相关的博客
引言 目前主流的网站都要求 HTTPS 安全访问，Google Chrome 浏览器、微信内置浏览器打开非 HTTPS 的网页，都会提示不安全。如果做微信端开发，也是必须要 HTTPS 的网址才可以，可见 HTTPS 越来越重要了。 还不了解什么是 Orac
Linux-PHP安全要点 我在本文中将为Linux管理员介绍几个PHP安全要点。这些要点将帮助你确保Web应用程序安全，能来看正常运行。 下面是我环境的配置路径： 默认的Web服务器：**Apache** DocumentRoot：**/var/www/h
Credit: [Justin Kenneth Rowley](https://www.flickr.com/photos/@N04/). You can find the original photo at [flickr](https:
博客地址：http://blog.csdn.net/FoxDave 本文阐述通过编程方式连接到Office 365组的第二部分。 第三步：现代化我们的网站 批量连接组的过程包括两个步骤： 准备并验证一个用来执行批量组连接过程的输入文件 执行批量组连接过程 为
启用https 相关问答
大神好，请问配置好的LAMP环境，现在想启用https，发现配置文件及modules目录下都没有mod_ssl模块。在不重新编译apache的情况下如何动态加载mod_ssl模块。
我尝试用了以下命令，但报错（如图）
/usr/local/apache
如题，目前云虚拟主机都是http访问方式，是否可以启用https并且部署ssl证书？
云服务器（Elastic Compute Service，简称 ECS）是一种简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本，使您更专注于核心业务创新。本文分为Linux系统操作运维和Windows系统
云服务器（Elastic Compute Service，简称 ECS）是一种简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本，使您更专注于核心业务创新。本文分为Linux系统操作运维和Windows系统
启用https 相关问题集
服务器是nginx，然后A域名需要启用HTTPS，当我在nginx配置文件里设置 ssl on以后，在服务器下的其他域名都会开启HTTPS，此时浏览器会提示不安全访问。
请问如果我
在web应用中启用了https配置。其中在server.xml中配置了80端口转443端口的配置，也在web.xml中进行https强制转换，具
...以达到我想要的效果，但是#号转码后的搜索引擎，每次启用swiftly qq程序崩溃。
...虚拟机将网站发布上去。2.然后创建虚拟机，在虚拟机上启用IIS，配置好IIS和端口。然后将网站发布上去。但是，如果您想将网站发布到部署好的VM上，但在VS中查找不到，是因为您的VM上没有安装Webdeploy。因此你还需要做一下步...
启用https 相关基础文章
通过php函数来检测服务器是否支持SSL（即HTTPS连接），具体函数代码如下。另外关于如何开启SSL支持可参照本站文章：
php检测服务器SSL是否开启以及开启SSL的方法
* 检测服务器是否支持SSL连接（Https连接）
* @return bo
...编译过程中使用汇编代码加快编译过程。
enable-sse2
启用/禁用SSE2 指令集加速。如果你的CPU 支持SSE2 指令集，就可以打
开，否则就要关闭。
启用/禁用GMP 库
...能实现。我在本教程中将使用/etc/fail2ban/jail.local。
　　启用预先定义的Apache Jail
　　默认安装的fail2ban为Apache HTTP服务器提供了几种预先定义的jail和过滤器。我准备启用那些内置的Apache
...找到“显示混合内容”选项，将默认的“提示”，改成“启用”，点击“确定”按钮保存退出。
　　再次用IE8浏览器打开采用Https协议的网站，就不会弹出“是否只查看安全传送的网页内容”窗口，让我们浏览更加方便。
启用https 相关资料
要openssl 1.0.1版本以上支持的，低于这个版本SPDY是无法启动的
wget http://nginx.org/download/nginx-1.4.0.tar.gz
wget http://www.op
我们需要修改wordpress根目录的wp-config.php文件。在
/* That's all, stop editing! Happy blogging. */
require_once(ABSPATH . 'wp-settings.php
1.先确认你的apache是否已经支持 mod_ssl 模块 是否已经安装openssl
2. openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.cs
近期申请了个SSL证书玩玩，所以博客也启用了HTTPS（一方面也是因为垃圾评论太多，启用HTTPS也应该能防一些简单的灌水机吧？）。
然后听到某朋友提醒，百度等搜索引擎的爬虫是不抓HTTPS的，这样会带来收录问题。
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低...
在云上签发Symantec、WoSign、CFCA证书，实现网站HTTPS化，使网站可信，防劫持、防...
PostgreSQL被业界誉为“最先进的开源数据库”，面向企业复杂SQL处理的OLTP在线事务处理场...
业内领先的面向企业的一站式研发提效平台（研发效能），通过项目流程管理和专项自动化提效工具，能够很好地...启用全站HTTPS后不仅更安全而且更快 看淘宝是如何做到的
http://www.chinaz.com/web/9511.shtml
电商启用全站HTTPS是一件门槛极高的事情，它需要投入巨大的资源，不仅是人力、财力等方面，而且对技术能力也提出了极为苛刻的要求。
一般来说，普通电商只会在登录和交易这些“关键”环节启用HTTPS。而目前，阿里巴巴是全球唯一大规模启用电商平台全站HTTPS的公司。
什么是HTTPS？百科是这样解释的。HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。现在它被广泛用于互联网上安全敏感的通讯，例如交易支付等。
从某种意义上来讲，仅在登录、交易支付环节启用HTTPS只能说是最为基础的安全解决办法，而全站HTTPS才是更为高阶，也更能体现技术能力的安全方案。
全站HTTPS的启用并非易事，而对于类似淘宝、天猫这种体量的网站来说，更为艰巨。据悉，阿里巴巴全站HTTPS的改造历时数月，涉及上百万的页面。阿里巴巴集团首席风险官刘振飞指出，尽管SSL加密技术较为成熟，但阿里巴巴启用全站HTTPS仍旧面临极大的挑战，那就是系统的复杂性和巨大的投入。阿里巴巴之所以坚定地这么做，目的只有一个——竭尽所能地保护用户信息安全。
启用HTTPS必须解决的难题
然而，HTTPS并非“想上就上”，正式启用之前，必须解决至少三个方面的大问题。
首先是性能，这也主要分三点。
1、HTTPS需要多次握手，因此网络耗时变长，用户从HTTP跳转到HTTPS需要一些时间；
2、HTTPS要做RSA校验，这会影响到设备性能；
3、所有CDN节点要支持HTTPS，而且需要有极其复杂的解决方案来面对DDoS的挑战。
其次，兼容性及周边。
1、页面里所有嵌入的资源都要改成HTTPS的，这些资源可能会来自不同的部门甚至不同的公司，包括图片、视频、表单等等，否则浏览器就会报警；
2、移动客户端（APP）也需要适配HTTPS，所以必须做调整修改；
3、解决第三方网站看不到Referer的问题；
4、所有的开发、测试环境都要做HTTPS的升级；
最后，为保证上线时的顺利切换，需要提前准备大量的预案，以应对各种可能出现的情况。
阿里巴巴是怎么做电商全站HTTPS的？
日，杭州云栖大会上，阿里巴巴宣布旗下电商平台已实现全站HTTPS。事实上，该工程于2015年9月底就已基本完成，这其中不仅有PC页面的改造，还包括了淘宝、天猫等移动客户端。
如此庞杂的系统工程，阿里巴巴是怎么做的？
首先，阿里巴巴采用了统一接入层的架构，并配备管控平台。这样的设计解决了很多问题，比如证书分散且落地不安全、软件版本难以维护、配置过多、难以标准和自动化、VIP过多等。
其次，性能调优。“双十一”系统交易创建峰值达到每秒钟14万笔，支付峰值达到每秒钟8.59万笔。即便如此，已经启用了全站HTTPS的淘宝、天猫依然保证了网站和移动端的访问、浏览、交易等操作的顺畅、平滑。
而据阿里巴巴技术保障部技术专家李振宇介绍，阿里电商在启用全站HTTPS后，性能不降反升，用户访问网站和移动端更为流畅。
阿里巴巴通过各种技术来保证优异的性能。比如以域名收敛的方式减少建连；采用HSTS技术去掉80到443的302跳转，通过Session复用来提高建连速度和降低服务器压力；对证书链进行优化以减少证书的传输量等等。
第三，将安全和兼容做到极致。阿里巴巴采用了双证书模式，即SHA-1和SHA-256，此举的目的在于最大限度地保证安全和兼容性。同时，阿里巴巴使用的是兼容性最宽泛的OV证书，全面支持单域名、多域名和泛域名，尽管费用较为昂贵，但能够满足多种浏览器访问，保证最好的用户体验。据了解，阿里巴巴挑选了两家业内顶级的证书供应商，之所以如此，主要是从冗余的角度考虑，如果一家证书出现问题，可以迅速地切换至另一证书，以保证用户不受影响。另外，阿里巴巴还引入了泛域名SAN证书。
值得一提的是，“双十一”全天的交易额高达912.17亿元，其中在移动端交易额占比68%。也就是说，阿里电商启用全站HTTPS后并未对移动端的体验产生负面影响，反而有着更为积极的作用，而这都是通过技术手段进行调优的结果。
据悉，阿里巴巴无线技术团队克服了大量技术难题，实现无线加密网络传输的1秒钟法则。
1、无线客户端多端多版本适配性、兼容性的复杂，无线升级成本无疑比PC升级成本高很多。为了降低研发成本,在无线服务器和客户端实现统一的中间层提供统一收敛域名切换到HTTPS功能，使得业务切换无感知。
&iframe id="iframe" src="http://pos.baidu.com/wcnm?rtbid=1971540&rdid=4593756&dc=2&di=1104309&dri=0&dis=0&dai=11&ps=0x0&dcb=BAIDU_SSP_define&dtm=HTML_POST&dvi=0.0&dci=-1&dpt=none&tsr=0&tpr=3&ti=%E5%90%AF%E7%94%A8%E5%85%A8%E7%AB%99HTTPS%E5%90%8E%E4%B8%8D%E4%BB%85%E6%9B%B4%E5%AE%89%E5%85%A8%E8%80%8C%E4%B8%94%E6%9B%B4%E5%BF%AB%20%E7%9C%8B%E6%B7%98%E5%AE%9D%E6%98%AF%E5%A6%82%E4%BD%95%E5%81%9A%E5%88%B0%E7%9A%84%20-%20%E7%AB%99%E9%95%BF%E4%B9%8B%E5%AE%B6&ari=2&dbv=2&drs=3&pcs=&pss=&cfv=0&cpl=5&chi=1&cce=true&cec=UTF-8&tlm=&rw=974&ltu=http%3A%2F%2Fwww.chinaz.com%2Fweb%2F3%2F509511.shtml&ltr=https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DwlpyncnU4UMdFeeFrDIHoWDovK8rc1owtOhD757Ab40OMI7HmlIZAFjqZSani727qG5BxnU-yplTy9ieKFSXYq%26wd%3D%26eqid%3Da00bcfa0000257feefcb&lcr=https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DwlpyncnU4UMdFeeFrDIHoWDovK8rc1owtOhD757Ab40OMI7HmlIZAFjqZSani727qG5BxnU-yplTy9ieKFSXYq%26wd%3D%26eqid%3Da00bcfa0000257feefcb&ecd=1&psr=&par=&pis=-1x-1&ccd=24&cja=false&cmi=7&col=zh-CN&cdo=-1&tcn=&qn=d8ef2f&tt=4.57" width="200" height="200" align="center,center" vspace="0" hspace="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" allowtransparency="true" style="display: border-width: 0 border-style: vertical-align: margin: 0"&&/iframe&
2、无线基于TLS1.3协议进行了改造，在保障链路安全的情况下优化SSL握手过程实现零耗时提升了用户体验，摒弃传统的RSA算法，转而使用了最新的ECDH密钥交换算法，极大地提升了服务端的性能。
3、无线网络层实现了调度中心，通过该控制中心，我们可以从版本、域名、流量比例等多维度控制HTTPS流量切换，保证整个切换过程是可控、对用户无感知的，有问题可以极速回滚。
据统计，经过改造后，阿里电商坐拥“世界上最大的HTTPS流量”，这其中涉及数百个应用、超百万个页面。没有足够坚定的决心和巨量的资源投入，显然是不行的。
关于阿里百川
阿里百川（baichuan.taobao.com)是阿里巴巴集团“云”+“端”的核心战略是阿里巴巴集团无线开放平台，基于世界级的后端服务和成熟的商业组件，通过“技术、商业及大数据”的开放，为移动创业者提供可快速搭建App、商业化APP并提升用户体验的解决方案；同时提供多元化的创业服务-物理空间、孵化运营、创业投资等，为移动创业者提供全面保障。
注：相关网站建设技巧阅读请移步到频道。
没有更多推荐了，
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！全球最新的免费资源发布区
我是如何将网站全站启用Https的？-记录博客安装配置SSL证书全过程
& 日 17:40 &
正如大家所看到的，部落全站已经启用了Https访问了，连续几天的网站安装和调试SSL终于可以告一段落了。曾经看到身边不少的朋友纷纷启用Https，作为一名喜爱折腾主机和服务的人，心里难免就痒痒的。这次为Freehao123启用SSL算是一次no zuo no die的体验。
很多朋友看到部落部署了SSL实现Https访问后，纷纷留言表示了喜爱，由此也能看出来https是未来网站建站一项必备技能，因为浏览器地址栏上显示的“绿色锁”多少会让用户感觉有一种安全感。同时，也有一种声音，那就是如何部署SSL证书？实现Https访问对SEO有没有影响？
本篇文章就来分享一下我给博客添加SSL证书全站启用Https访问的过程。如果你还在纠结于要不要部署SSL证书，如何给自己的服务器安装SSL证书，以及添加SSL证书后出现的各类问题，可以看看我的亲身实践。尤其是全站Https后百度搜索引擎的反应，大家可以参考部落在百度搜索结果变化。
如果你想了解部落建站过程，可以看看我之前的点滴小结：
1、建站历程：
3、网站遭受攻击：
我是如何将网站全站启用Https的？-记录博客安装配置SSL证书全过程
一、为什么要将网站全站启用Https访问？
1、为了更好的用户体验。现在使用Https加密访问的网站应该算是少数，常见于百度搜索、淘宝等大型网站，个人博客使用SSL证书还是会让用户感觉更安全，有利于提升用户体验。
2、为了更好的SEO效果。现在百度、谷歌等搜索引擎都鼓励网站启用Https访问，因为从技术角度上讲搜索引擎抓取Https网页不成问题，搜索结果展示也更加有利于Https的网页。
二、如何选择好网站SSL证书？
1、基于上面的原因，我决定在网站中部署SSL证书。首要的问题就是选择哪一个SSL证书。如果有钱的话，自然是可以去各大主机商那里购买SSL证书，便宜一点的SSL证书也就是几十块一年。
2、便宜的SSL证书之前有分享过，这次本来也想使用Namecheap SSL，而且也在网站上付费购买了，但是comodo颁发SSL证书速度很慢，索性留着以后再用了。
3、最后选择了，一方面是Let’s Encrypt SSL已经被Firefox、Chrome、IE等浏览器所支持，IE 6 用户估计也不怎么看我的博客，所以可以忽略。另一方面，Let’s Encrypt SSL证书下载和安装已经是傻瓜式的了。
三、如何安装部署SSL证书？
1、虚拟主机如何部署SSL证书？如果你的虚拟主机有独立IP，则可以直接在你的虚拟主机控制面板添加SSL证书，常见的Cpanel等都是可以直接添加SSL证书的。参考：。
2、Apache部署SSL证书。Apache部署SSL有点麻烦，主要是LAMP配置起来复杂，添加SSL模块、实现Https需要修改不少的地方：。
3、Ngnix安装配置SSL证书。Ngnix安装配置SSL证书就比较简单了，网上关于Ngnix配置SSL的教程也是非常多，同时、等一键安装包已经提供了SSL一键配置，非常方便：。
4、通过CDN部署SSL证书。如果你不想折腾你自己的虚拟主机和VPS主机，还可以通过CDN提供的SSL证书快速部署Https访问。目前已知的有、等可以直接通过DNS解析来实现Https访问：。
四、如何实现网站由Http平滑过渡到Https？
1、做好301永久重定向。方法参考：。
2、CDN调整为Https。如果你的网站采用了、等静态存储加速，需要替换为Https访问。
3、内链网址全部替换为Https。Wordpress的话可以使用插件：Search & Replace。其它的程序可以直接使用SQL查询操作。
五、全站启用Https后搜索引擎作何响应？
1、以部落为例，Google就不用说了，第二天所有收录的URL全部替换为Https了。
2、百度的索引量没有什么变化，依然保持之前的收录。
3、关键字排名有少许变化，但是随后恢复往常。
4、用百度SEO检测工具一检测，结果还达到了97分，不知道是不是百度这个工具不能正常检测Https，还是真的是SEO效果有了提升。
六、全站启用Https小结
1、全站启用Https难点就在于服务器安装和配置SSL证书，小型网站花个一天的时间差不多就可以搞定了，大型网站可能会比较复杂，建议大家在启用Https访问前做好充分的准备。
2、全站启用Https后，会出现各种不兼容的问题。以部落的为例，目前百度的站内搜索基本上是废掉了，因为百度站内搜索不支持Https，暂时也不想折腾了，其它如广告、统计等都正常。
文章出自：
版权所有。本站文章除注明出处外，皆为作者原创文章，可自由引用，但请注明来源。
您或许对下面这些文章有兴趣:&&&&&&&&&&&&&&&&&&&&本月吐槽辛苦排行榜
免费资源部落博主
经常混迹于各种免费资源中，尝鲜后乐于分享给他人。用WP搭建了部落博客，没事儿就折腾Wordpress，喜欢找免费空间，但只求精，稳定，耐用。有时也会介绍一点关于建站的知识和主机、服务器的使用心得与体会。
TA的专栏：&&|&&
关于本文的作者
所属分类：
链接地址：
浏览前页：
浏览后页：
部落快速搜索栏
各类专题梳理
网站导航栏
免费资源重点推荐
最新文章推荐
部落最新评论列表
部落本月最受关注的热点
(热度2℃) (热度1℃) (热度1℃)
部落本月踩得最多的宝贝
(踩2,254次) (踩1,840次) (踩1,723次) (踩749次) (踩607次) (踩565次) (踩562次) (踩561次) (踩507次) (踩479次)
免费资源部落，是一个致力发布和推广来自世界各地的免费资源，包括多样实用的免费空间、各种优秀的免费软件、各样可用的免费网盘等个人博客网站。站长qi是一位很普通不过的人，长期关注网络空间、互联网、软件应用、程序开发与设计、网络应用等。免费资源部落成立的目的就是希望与更多人分享网络快乐与精彩！本站持续修改完善中，如遇不便还请谅解^_^ &&