如何通过扩展Web Package的TLS在Google AMP缓存中获取品牌URL

Google已成功地推出了一种实施方案的解决方案，该方案将在页面的Google AMP缓存搜索结果中显示您的品牌URL。 如果您的业务取决于Google AMP搜索结果，则可能需要参考以下指南，以通过新的Signed Exchange实施Web Package捆绑包。 这需要供应商为您提供便利，或者更改TLS密码以使其匹配。

请注意，Google的声明在某种程度上具有误导性：“立即从您自己的域中加载AMP页面。” 当然，在这种情况下，即时加载AMP页面绝对不是来自您自己的域，而是来自Google。 这项新功能使您可以对Web软件包进行加密签名，以便Google的最新移动版本的Chrome浏览器可以通过将Google的真实位置交换为您的域名来欺骗用户。 每个人都赢了，对吧？ 但是，其他浏览器制造商对此并非一无是处。

Google的“隐私保护”政策可以扩展到当您在搜索结果中预先显示AMP时立即加载AMP。 它们将网络事件“延迟”到您的原始服务器。 它们将从Google的缓存中提供资产，并且在第一次单击可能会从服务器中获取某些页面资源之前，您不会在任何地方收到任何页面呈现的信号。 我们认为，这是在Google搜索占主导地位的时代开展业务的不幸但必要的让步。

缺点

通过使用Signed Exchange，Google可以误导Chrome用户以为他们位于搜索结果中，而实际上却并非如此。 在浏览器执行必要的HTTP动词“ GET”以从您的原始服务器加载页面之前，需要第二次单击，然后才可以在自己的服务器日志中看到一个命中寄存器。 我们相信Google会在Google Search Console中注册您的排名印象和缓存提供的点击。 您只需要相信它...

安全隐患

长期存在滥用行为，是一种危险的做法，使用户误以为自己不在某个地方。 从域名抢注者到热门网站目的地的拼写错误，再到网络钓鱼诈骗网站，它们欺骗用户放弃敏感信息，并欺骗用户以为他们在不危险的地方就位于某个位置。 因此，其他浏览器制造商对Google持怀疑态度，而Mozilla在其第一个版本中就将Signed Exchanges标记为安全隐患。

签名交换的Mozilla TLS危险警告

优点

从好的方面来说，很高兴看到有一种用于分散Web内容的概念，以便Web包可以在网络充足的区域之外的缓存服务器保留中驻留90天。 例如，这可以将长达90天的内容存储在高达高海拔山脉的地方，整个苔原，遥远的森林中，甚至可能是冒险家和科学家可以食用的外太空中。

简而言之实现

迄今为止的最佳实现细节可以从#AMPConf 2019上的阶段视频中找到。该视频演示了Google新产品与Cloudflare的易用性，Cloudflare是一家早期采用者，提供具有简单界面的免费Signed Exchange证书。 设置Cloudflare要求您编辑DNS设置以指向Cloudflare的名称服务器，这会将代理反向返回到原始主机。 如果能够做到这一点，那么您就不需要干预TLS（传输层安全性）。

自己进行签名交换

要自己实施该技术，您需要更改TLS证书并每90天更新一次。 如果您除了单击“ Let's Encrypt”自动化服务之外还熟悉如何执行此操作，则可以选择此选项。 DigiCert是目前唯一提供签署的Exchange证书的CA（证书颁发机构），尽管我们认为其他证书也将开始出现。

DigiCert

如果您尚未使用Digicert，则需要开设一个帐户并能够在主机上运行Shell终端进程，以设计ECC（椭圆曲线密码）密钥对和服务器CSR（证书签名请求）。 TLS需要执行这些步骤，以确保您的私钥对于加密/解密与您的域名相关联的通信有效。 DigiCert具有适用于Apache和Microsoft的说明。

对于Microsoft，您基本上是在Windows上执行该过程，因此您可以轻松地遵循DigiCert博客文章中的说明。 另一方面，使用Apache，了解工作会更加困难。

Apache说明

首先，您需要随时保持DigiCert订购表单会话，并生成私钥和证书签名请求（CSR）。 输出将分别是.key和.csr文件，并且您需要确保您具有sudo权限才能在此过程中切换到主机上的root用户。 因此，在继续之前，您需要熟悉Unix / Linux shell环境。

在Linux上将用户（su）切换为root

生成私钥和CSR文件

有必要以root用户身份运行。 在继续操作之前，请使用上述带有连字符的“ switch user”命令（su）切换到root用户。 查找一个私有且安全的工作目录，例如sudo用户home等效目录：/ home / username-with-sudo。 以root用户身份，您应该有权访问它并可以工作。 使用OpenSSL生成ECC私钥以输出.key文件，请确保将服务器替换为服务器名称：

 $ openssl ecparam -out服务器.key -name prime256v1 -genkey

接下来，您将需要生成ECC证书签名请求（CSR）。 当您发出命令时，它将通过提示对话框询问有关您的位置（国家，州或省，城市，组织）的问题，最终将是浏览器在证书详细信息视图中显示的内容。 最重要的字段是FQDN（完全合格的域名）。 这将绑定证书，仅用于您的网站地址。

生成您的ECC CSR。 确保将服务器替换为服务器名称：

 $ openssl req-新密钥服务器.key-out服务器.csr -sha256

输出应该是一个.csr文件，您现在应该具有一个.key和.csr文件，以用于后续步骤。 将这些文件用于后续步骤后，请将它们安全地藏在您的私人文件夹中。

DigiCert证书文件

要从DigiCert获得.crt文件，您需要**.csr文件文本并将其粘贴到正确的DigiCert订购表中。 从DigiCert的选项中选择Apache，以表示Web服务器。 然后，您可以使用cat实用程序从终端**.csr文本以进行粘贴。 您应该获得一个下载文件，您需要将其下载（使用诸如scp或ftp之类的文件）到主机。

 $ cat server.csr

Apache配置

最后，您将需要Apache配置文件的位置和名称。 我们可以为此使用grep：

 $ grep -i -r“ SSLCertificateFile” / etc / httpd / 

Apache Config文件位置

您的结果可能看起来有所不同。 此图显示了对代码注释的命中，以使您了解示例Apache配置文件（/etc/httpd/conf.d/ssl.conf）的位置，以及可以从DigiCert找到.crt文件的位置（ / etc / pki / tls / certs /）。 如果看不到证书文件的位置，请尝试在/ etc中重复grep搜索“ tls”，或根据需要使用其他搜索词和位置。 Apache配置文件更为重要。

证书的文件位置

将.crt DigiCert文件放置并保护在指定的位置，您将使用Apache配置文件VirtualHost块将其指向Apache。 在上述情况下，该位置为：/etc/pki/tls/certs/server.crt（以及localhost.crt的另一个位置）。 要确保.crt文件到位后的安全，请使其仅可由root用户读取： $ chmod 400 server.key （下面的描述实际上显示了读/写权限，但是您知道了）。

CRT文件权限

。

编辑Apache配置文件

Apache配置文件将需要指向VirtualHost块中的该位置。 建议使用Vim或Emacs，但如果不熟悉，也可以使用nano。 Apache配置文件相对较长。 您可以将vim的搜索与正斜杠键/结合使用，并与VirtualHost一起使用以查找块。

编辑以使其与DigiCert在其指令集中描述的内容匹配，例如以下内容。 同样，请不要忘记将服务器替换为服务器名称，并确保IP地址对于您的服务器是正确的或设置为_default_：443之类的内容：

 <虚拟主机192.168.0.1：443 >
DocumentRoot / var / www / html
服务器名称www.yourdomain.com
启用S​​SLEngine
SSLCertificateFile / etc / pki / tls / certs /服务器.crt
SSLCertificateKeyFile / etc / pki / tls / certs /服务器.key
SSLCertificateChainFile / etc / pki / tls / certs / DigiCertCA.crt
</ VirtualHost>

保存新配置，测试然后停止并重新启动Apache：

 $ apachectl configtest
$ apachectl停止
$ apachectl重新启动

（取决于您，可能需要apache2ctl）。 如果这些步骤与您当前的设置兼容，则您应该有业务。 您的设置可能完全不同，但是，需要完全不同的Apache配置设置。 例如，如果您要使用带有用于Apache的Passenger模块的Ruby应用程序，则将需要非常不同的规范。

<**all>SEO的更多开发技巧

• <**all>我们的开发人员SEO专栏
• <**all>如何使用自定义功能在Google表格中显示Lighthouse评分
• <**all>使用React或Vue以及NodeJS和其他后端堆栈的反应式JavaScript SEO
• <**all>使用HTML5，CSS3和Javascript增强SEO友好标记