HTTP到HTTPS：SEO的网站安全指南

早在我写文章“为什么每个人都应该转向HTTP / 2”时，它的意思就是使人们意识到真棒协议升级，我认为这是使网站速度更快的轻松之选。

从那时起，我就与数百位企业主和SEO进行了交谈，进行了升级，进行了数十次升级，并提出了许多麻烦。 我已经意识到，对于企业所有者和SEO来说，仍然存在一个很大的障碍：HTTPS。 HTTP / 2的陷阱在于，大多数浏览器仅通过安全连接支持此新协议，这意味着您必须将网站迁移到HTTPS。

Google和其他许多人希望网络更加安全，这并不会让所有人感到震惊。 Google开展了HTTPS无处不在活动，他们宣布HTTPS为排名信号，并且他们已开始在不安全的页面上索引安全的页面。 他们甚至都有自己的指南“使用HTTPS保护您的网站”，我鼓励所有人与本文一起阅读。

然而，随着所有这些向更加安全的网络发展的努力，事实仍然存在：不到0.1％的网站是安全的。

似乎每个人都在尝试通过消除进入壁垒（例如成本）来尽可能轻松地进行切换。 让我们加密提供免费证书（旁注：我很高兴Google Chrome被召唤后在付费赞助商链接上只有nofollow。）许多网站托管商和CDN也提供免费安全证书以鼓励人们进行切换，但是许多人仍然不动站群。

为什么要使用HTTPS？

Google在其网站迁移指南中指出了使用HTTPS的几种原因：

使用HTTPS发送的数据通过传输层安全协议（TLS）进行保护，该协议提供三个关键的保护层：

1. 加密。 对交换的数据进行加密，以使其免受**者的侵害。 这意味着在用户浏览网站时，没有人可以“收听”他们的对话，跨多个页面跟踪其活动或窃取其信息。
2. 数据的完整性。 数据在传输过程中不会被故意或其他方式修改或破坏，而不会被检测到。
3. 身份验证。 证明您的用户与预期的网站进行通信。 它可以防止中间人攻击并建立用户信任，从而转化为其他业务收益。

不过，还有其他好处，包括前面提到的Google排名提升。

从安全网站切换到不安全网站时，如果标题中的引用值丢失，则切换到HTTPS还有助于避免引用数据丢失。 分析程序将没有引荐值的流量归为直接流量，这占了“暗流量”的很大一部分。

该开关还可以防止很多不良情况，例如AT&T将广告注入其热点时。 他们将无法使用HTTPS在网站上注入这些广告。

HTTPS是否可以保护我的网站？

人们听到称为安全协议的HTTPS，他们认为这可以保护自己的网站。 事实是您的网站不受保护，并且您可能仍然容易受到以下一项或多项攻击：

• 降级攻击
• SSL / TLS漏洞
• Heatbleed，贵宾犬，Logjam等
• 网站，服务器或网络的黑客攻击
• 软件漏洞
• 蛮力攻击
• DDOS攻击

从HTTP切换到HTTPS

1. 从测试服务器开始。 这很重要，因为它可以让您正确完成所有事情并进行测试，而无需实时进行修改。 即使您在没有测试服务器的情况下进行切换，也几乎无法做任何无法恢复的事情，但是，最好的方法是制定计划并提前进行所有测试。
2. 爬网当前网站，以便您了解网站的当前状态并用于比较。
3. 阅读有关服务器或CDN for HTTPS的任何文档。 我遇到了很多有趣的CDN问题，但也很简单。
4. 获取安全证书并安装在服务器上。 具体取决于您的托管环境和服务器设置，我无法详细介绍，但是该过程通常有据可查。
5. 更新内容中的引用。 通常，这可以通过在数据库中进行搜索和替换来完成。 您将需要更新对内部链接的所有引用，以使用HTTPS或相对路径。
6. 更新模板中的引用。 同样，根据您的部署方式，这可以使用Git或简单地使用Notepad ++来完成，但是您需要确保对脚本，图像，链接等的引用是使用HTTPS还是相对路径。
7. 更新规范标签。 进行切换时，大多数CMS系统都会为您解决此问题，但请仔细检查，因为并非总是如此。
8. 如果您的网站使用hreflang标签，或其他任何标签，例如OG标签，请更新它们。 同样，大多数CMS系统都会处理此问题，但最好进行质量检查以防万一。
9. 更新所有插件/模块/附加组件，以确保没有中断，并且没有不安全的内容。 我通常会看到内部站点搜索和表单丢失。
10. CMS特定的设置可能需要更改。 对于大型CMS系统，这些通常在迁移指南中有详细记录。
11. 爬网以确保您没有错过任何链接并且没有任何损坏。 如果这是您正在使用的搜寻器，则可以在“尖叫青蛙”报告之一中导出任何不安全的内容。
12. 确保所有名为的外部脚本都支持HTTPS 。
13. 使用重定向强制HTTPS 。 这将取决于您的服务器和配置，但是对于Apache，Nginx和IIS已有详细记录。
14. 更新当前已存在的旧重定向（当您使用它时，请从多年来未完成的重定向中恢复丢失的链接）。 我在SMX West的技术SEO小组的“问答”部分中提到，切换到HTTPS时，我的排名或流量从未下降过，很多人对此表示质疑。 重定向和重定向链的尽职调查可能会有所不同，因为这是我在排除迁移故障时最困惑的地方。
15. 搜寻任何损坏的重定向或重定向链的旧URL ，您可以在“尖叫蛙”的报告中找到这些URL 。
16. 更新站点地图以使用HTTPS版本的URL。
17. 更新您的robots.txt文件，使其包含新的站点地图。
18. 启用HSTS 。 这告诉浏览器始终使用HTTPS，从而消除了服务器端检查，并使网站加载速度更快。 这有时也会引起混乱，因为重定向将显示为307。不过，重定向后面可能带有301或302，因此您可能需要清除浏览器缓存以查看哪个。
19. 启用OCSP装订。 这使服务器可以检查是否撤消了安全证书，而不是浏览器，这使浏览器不必下载或与发行证书授权机构进行交叉引用。
20. 添加HTTP / 2支持。
21. 将您网站的HTTPS版本添加到您使用的网站站长工具的所有搜索引擎版本中，并将带有HTTPS的新站点地图加载到它们。 这很重要，因为我发现流量下降被误诊了，因为当实际流量移至HTTPS配置文件时，他们看到HTTP配置文件中的流量下降了。 另一个需要注意的是，从HTTP切换到HTTPS时，不需要使用地址更改工具。
22. 如果您有一个用于HTTPS版本的文件，请更新您的拒绝文件。
23. 如果已配置，请更新URL参数设置。
24. 上线！
25. 在分析平台中，如果需要一个默认URL，以确保正确跟踪HTTPS，请确保更新默认URL，并添加有关更改的注释，以便您知道更改的发生时间，以供将来参考。
26. 更新您的社交份额计数。 这有很多陷阱，因为某些网络将通过其API传输计数，而其他网络则不会。 如果您有兴趣保留股份数量，那么已经有关于此的指南。
27. 更新所有付费媒体，电子邮件或市场营销自动化活动，以使用URL的HTTPS版本。
28. 更新任何其他工具，例如A / B测试软件，热图和关键字跟踪，以使用URL的HTTPS版本。
29. 监视迁移期间的所有内容，并进行检查，仔细检查和三次检查，以确保一切顺利。 在很多地方都可能出现问题，并且似乎在切换到HTTPS时通常都会遇到一些问题。

我经常被问到的一个问题是是否应该清理传入的链接。 这是大量的宣传和努力。 如果有时间，那么确定; 但是您很可能正在忙于其他事情，我认为这不是绝对必要的。 但是，您应该在您控制的任何属性（例如社交个人资料）上更新链接。

HTTPS迁移的常见问题

可能出错的事情包括：

• 阻止Google抓取该网站的HTTP版本，或总体上阻止该网站抓取（通常是由于无法更新测试服务器以允许漫游器而发生）;
• 内容重复问题，同时显示页面的HTTPS和HTTP版本; 和
• HTTP和HTTPS上显示的页面的不同版本。

HTTPS迁移的大多数常见问题是重定向实施不当的结果。 （在切换到HTTPS的同时，我清理网站的整个结构/设计也很有趣）。

重定向应有其自己的部分

如上所述，我看到的向HTTPS迁移的主要问题与重定向有关。 更改不能在注册商级别，服务器配置甚至.htaccess文件中完成，这无济于事。 都有自己的“陷阱”。

失败的重定向和重定向链几乎总是问题。 确保检查子页面以及主页; 根据规则的编写方式和放置位置，这些规则可能会受到不同的影响。 您还需要查看状态码和跃点的实际情况，而不仅仅是它们是否使您进入正确的页面。

当Apache的文档中不包含301并且Apache默认为302时，这绝对无济于事。下面的代码应更新为R = 301。

 RewriteEngine开
#这将启用重写功能

RewriteCond％{HTTPS}！= on
#进行检查以确保连接尚未使用HTTPS

RewriteRule ^ /？（。*）https：//％{SERVER_NAME} / $ 1 [R，L]
#此规则将使用HTTPS将用户从其原始位置重定向到相同位置。
#即http://www.example.com/foo/到https://www.example.com/foo/
#斜杠是可选的，因此可以在httpd.conf中使用
#或.htaccess上下文

我已经看到网站从切换时的错误中恢复过来，但是似乎只有几个月之后，Google才知道发生了什么并最终纠正了错误。

即使是我们最好的人有时也会失败：

信任但要验证。 我使用Screaming Frog和Ayima重定向路径之类的工具对一些旧的URL进行快速检查，或者通过一些Excel操作对大量的URL和较旧的重定向进行批量检查。 这有助于确保所有内容都正确重定向并且没有多跳。

（有关重新创建要抓取的URL的帮助，请参阅“收回丢失的链接”中的“检查我们的工作”部分。）

关于HTTPS的总结思想

简而言之，HTTPS不会消失。 HTTP / 2，Google AMP和Google的QUIC协议（可能很快就会标准化）都要求浏览器使用安全连接。 事实仍然是，HTTPS受到了强大的推动，现在该进行切换了。

我看到的大多数问题来自计划不周，实施不力或跟踪不力。 如果按照我概述的步骤进行操作，那么从HTTP迁移到HTTPS时应该几乎没有问题。

我最喜欢该主题的评论来自Google网站站长趋势分析师Gary Illyes：

如果您是SEO，并且建议您不要使用HTTPS，那您就错了，您应该会感到难过。

— Gary Illyes（@methode），2015年8月18日

本文中表达的观点是来宾作者的观点，不一定是Search Engine Land。 工作人员作者在此处列出。