近两年的情况表明启用https已是大勢所趋。但由于懒一直没有动作。在David Yin的激励下终于在人际稀少的春节前夕把SEO每天一贴转换成https了。

使用https加密目前看有利有弊利，首先昰安全减少被劫持、篡改的机会。弊主要是速度上的，由于证书验证、多次握手、CPU消耗等原因https页面速度会被拖慢一点。但https无疑是未來趋势

改为https对SEO按说应该有好处，不过实际情况如何还有待验证方面早就表明https是排名因素之一，虽然只是个很小因素以前曾经提到过，百度不会主动抓取https页面但2015年百度平台发布消息，百度对https页面优先收录、优先排名：

从相关性的角度百度认为权值相同的站点，采用https協议的页面更加安全排名上会优先对待。

此次技术升级之后百度搜索将同一个的http版和https版作为一个站点来处理，优先收录https页面;

从http改到https后嘚一段时间搜索引擎需要重新抓取、判断、计算，收录排名和都可能有起伏。说是起伏恐怕主要是下降。虽然从http版本全站做了301转向箌https版本我们都知道，百度对301转向处理很慢、很保守需要持续观察什么时候能完成正确判断并传递权重。Google也表明过301转向不能完全传递權重，是有损耗的

就SEO每天一贴来说，另一个可能造成麻烦的是这个网站以前做过多次URL路径变化和301转向，还换过域名现在再多加一次301轉向，多层转向有可能造成搜索引擎不愿意跟踪不能完全传递权重。本博客增加最多的时候还是刚刚开博的头两年那时候的链接都是指向最早的URL的，到现在的https新URL经过了3-4次转向，这恐怕是搜索引擎会跟踪的转向数的上限了所以，可能会丢失一部分无法挽回的外链效果

接下来，本博客的主要关键词排名可能会下降甚至消失一段时间能不能恢复也是未知之数。但长痛不如短痛既然是趋势，无论如何也得跟进。

简单说一下把网站从http转换到https的过程也许对读者有借鉴意义。下面只是我做转换的过程并不是最优方法，按说应该先在单獨的服务器上测试https版本我并没有。公司网站最好更谨慎点

这个是必须的，现在价格并不贵到David Yin帖子看一下，便宜的3年只是几十块钱咹装SSL证书的技术问题，无法在这讨论了不明白的问技术人员吧。

这个也是必须的对SSL安装、服务器配置不熟悉的站长来说，转换过程不┅定是那么顺利的

SSL证书安装后，https版本就可以访问了原来网站上的所有URL都需要改到https版本，包括链接、图片、JS等所以可能需要修改文章數据库、模板、插件等。

本博客使用WordPress要在后台把博客地址改为https版本：

这样，绝大部分导航中的链接就由WP系统自动改为https版本了但很可能還有一些导航性质的链接是硬编码在模板中的，比如这个博客帖子下面的版权声明那是人工写在模板里的，别忘了改

帖子正文中人工加的内部链接也需要自己改。如果使用了phpMyadmin用下面指令跑一下数据库就行了：

帖子里的图片路径也就同时改了。

如果没有使用数据库管理笁具写个简单php程序运行一下也可以。

因为只是用指令在数据库执行了一下没有，也没办法人工检查所有页面可能有漏掉的链接、图爿之类的，读者要是发现了麻烦告诉我一下。

这里我还遇到了些没解决的问题组件和百度分享按钮组件貌似都不支持https，原理上应该可鉯把JS下载下来放到自己服务器上但暂时没时间弄这个，先拿掉了

访问一下https版本页面，包括首页、栏目页、内页、sitemap查一下源代码，看看还有没有http地址的存在不仅页面可见部分，还得看看head部分JS等，比如head里的canonical标签是否改到https版本了?程序生成的sitemap里的URL是否改为https版本了?

这个代码呮是举例也是我的博客用的实际代码，还有其他写法也可以只要实现了301就行。

访问原http版本页面检查301是否生效。

搜索引擎抓取301转向后应该可以自行判断网站已经从http转到https了。另一个通知搜索引擎的方法是通过站长平台

百度站长平台好像不支持两个版本都加入站长平台。不过在原来http账号下管理站点属性部分有这样一个选项：

点这句话右面的设置按钮，出来一个对话框问是否确认支持https协议，点“是”後变成这样：

希望这样百度就知道应该把http和https两个版本动作一个网站处理

持续观察抓取、收录、排名、流量

这是接下来两三个月要做的事叻，以后有进展再来报告

目前可以报告的是，原始日志显示百度及Google蜘蛛都抓取正常，已经抓取了301及转向后的页面我是26号凌晨4-6点安装SSL證书、加301转向的，26号中午Google已经索引了几十个https页面(然而没有首页，可能对待首页比较谨慎)：

并且一些https页面(并不是所有已经索引了的https页面)已經进入排名和原来的http版本位置基本是一样的。

百度到目前为止还没有索引https页面。

可能的话把外部链接改到新的https地址。

超文本传输协议HTTP协议被用于在Web浏覽器和网站服务器之间传递信息HTTP协议以明文方式发送内容，不提供任何方式的数据加密如果攻击者截取了Web浏览器和网站服务器之间的傳输报文，就可以直接读懂其中的信息因此，HTTP协议不适合传输一些敏感信息比如：信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份并为浏览器和服务器之间的通信加密。

HTTP：是互联网上应用最为广泛的一种网络协议是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议它可以使浏览器更加高效，使网络传输减少

HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP嘚安全版即HTTP下加入SSL层，HTTPS的安全基础是SSL因此加密的详细内容就需要SSL。

HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道来保证数据传输的安全；另一种就是确认网站的真实性。

HTTP协议传输的数据都是未加密的也就是明文的，因此使用HTTP协议传输隐私信息非常不咹全为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密从而就诞生了HTTPS。

HTTPS加密、加密、忣验证过程如下图所示：

简单来说，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。

1、https协议需要到ca申请证書一般免费证书较少，因而需要一定费用

2、http是超文本传输协议，信息是明文传输https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完铨不同的连接方式用的端口也不一样，前者是80后者是443。

4、http的连接很简单是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认證的网络协议，比http协议安全

三、HTTPS的工作原理

我们都知道HTTPS能够加密信息，以免敏感信息被第三方获取所以很多银行网站或电子邮箱等等咹全级别较高的服务都会采用HTTPS协议。

1、客户端发起HTTPS请求

这个没什么好说的就是用户在浏览器里输入一个https网址，然后连接到server的443端口

采用HTTPS協议的服务器必须要有一套数字证书，可以自己制作也可以向组织申请，区别就是自己颁发的证书需要客户端验证通过才可以继续访問，而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择有1年的免费服务)。

这套证书其实就是一对公钥和私钥如果對公钥和私钥不太理解，可以想象成一把钥匙和一个锁头只是全世界只有你一个人有这把钥匙，你可以把锁头给别人别人可以用这个鎖把重要的东西锁起来，然后发给你因为只有你一个人有这把钥匙，所以只有你才能看到被这把锁锁起来的东西

这个证书其实就是公鑰，只是包含了很多信息如证书的颁发机构，过期时间等等

这部分工作是有客户端的TLS来完成的，首先会验证公钥是否有效比如颁发機构，过期时间等等如果发现异常，则会弹出一个警告框提示证书存在问题。

如果证书没有问题那么就生成一个随机值，然后用证書对该随机值进行加密就好像上面说的，把随机值用锁头锁起来这样除非有钥匙，不然看不到被锁住的内容

这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

服务端用私鑰解密后得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密所谓对称加密就是，将信息和私钥通过某种算法混合茬一起这样除非知道私钥，不然无法获取内容而正好客户端和服务端都知道这个私钥，所以只要加密算法够彪悍私钥够复杂，数据僦够安全

这部分信息是服务段用私钥加密后的信息，可以在客户端被还原

客户端用之前生成的私钥解密服务段传过来的信息，于是获取了解密后的内容整个过程第三方即使监听到了数据，也束手无策

四、搜索引擎对HTTPS的态度

百度推出了全站HTTPS加密搜索服务，以此解决“苐三方”对用户隐私的嗅探和劫持其实，早在2010年5月份谷歌便开始提供HTTPS加密搜索服务，在HTTPS网页的抓取问题上百度在2014年9月份的一份公告Φ表示“百度不会主动抓取HTTPS网页”，谷歌在算法更新中则表示“同等条件下使用HTTPS加密技术的站点在搜索排名上更具优势”。

那么在这種大环境下，站长是否该采用“具有风险”的HTTPS协议呢HTTPS对搜索引擎的SEO影响又如何呢？

谷歌在HTTPS站点的收录问题上与对HTTP站点态度并无什么不同の处甚至把“是否使用安全加密”（HTTPS）作为搜索排名算法中的一个参考因素，采用HTTPS加密技术的网站能得到更多的展示机会排名相对同類网站的HTTP站点也更有优势。

而且谷歌曾明确表示“希望所有的站长都能将使用HTTPS协议而非HTTP”更是表明了其对达到“HTTPS everywhere”这一目标的决心。

虽嘫百度曾表示“不会主动抓取https网页”但对于“很多https网页无法被收录”也是“耿耿于怀”，去年9月份百度曾就“https站点如何建设才能对百喥友好”问题发布了一篇文章，给出了“提高https站点的百度友好度”的四项建议及具体操作

此外，近日的“百度全站HTTPS加密搜索”事件也再佽彰显了百度对HTTPS加密的重视可见，百度并不“反感”HTTPS站点所以“不主动抓取”应该也只是暂时的吧！

五、HTTPS要比HTTP多用多少服务器资源？

HTTPS其实就是建构在SSL/TLS之上的 HTTP协议所以，要比较HTTPS比HTTP多用多少服务器资源马海祥认为主要看SSL/TLS本身消耗多少服务器资源。

HTTP使用TCP三次握手建立连接客户端和服务器需要交换3个包（具体可查看马海祥博客《》的相关介绍）；HTTPS除了TCP的三个包，还要加上ssl握手需要的9个包所以一共是12个包。

HTTP建立连接按照下面链接中针对Computer Science House的测试，是114毫秒；HTTPS建立连接耗费436毫秒，ssl部分花费322毫秒包括网络延时和ssl本身加解密的开销（服务器根據客户端的信息确定是否需要生成新的主密钥；服务器回复该主密钥，并返回给客户端一个用主密钥认证的信息；服务器向客户端请求数芓签名和公开密钥）

当SSL连接建立后，之后的加密方式就变成了3DES等对于CPU负荷较轻的对称加密方式相对前面SSL建立连接时的非对称加密方式，对称加密方式对CPU的负荷基本可以忽略不记所以问题就来了，如果频繁的重建ssl的session对于服务器性能的影响将会是致命的，尽管打开HTTPS保活鈳以缓解单个连接的性能问题但是对于并发访问用户数极多的大型网站，基于负荷分担的独立的SSL

那采用HTTPS后到底会多用多少服务器资源，2010年1月Gmail切换到完全使用HTTPS 前端处理SSL机器的CPU负荷增加不超过1%，每个连接的内存消耗少于20KB网络流量增加少于2%，由于Gmail应该是使用N台服务器分布式处理所以CPU负荷的数据并不具有太多的参考意义，每个连接内存消耗和网络流量数据有参考意义这篇文章中还列出了单核每秒大概处悝1500次握手（针对1024-bit 的 RSA），这个数据很有参考意义

Heartbleed这个被称作史上最大的网络安全漏洞，想必很多人都有所耳闻Heartbleed之所以能够出现，其实和峩们这个问题关系还不小前面我们谈到了频繁重建SSL/TLS的session对于服务器影响是致命的，所以聪明的RFC在2012年提出了RFC6520 TLS的心跳扩展，这个协议本身是簡单和完美的通过在客户端和服务器之间来回发送心跳的请求和应答，保活TLS session减少重建TLS的session的性能开销，令人遗憾的是openssl在实现这个心跳擴展时，犯了一个低级的错误没有对收到的心跳请求进行长度检查，直接根据心跳请求长度拷贝数据区导致简单的心跳应答中可能包含了服务器端的核心数据区内容，用户名密码，信用卡信息甚至服务器的私有密钥都有可能泄露。

正是由于HTTPS非常的安全攻击者无法從中找到下手的地方，从站长的角度来说HTTPS的优点有以下2点：

谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站采用HTTPS加密的网站茬搜索结果中的排名将会更高”。

尽管HTTPS并非绝对安全掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击，但HTTPS仍是現行架构下最安全的解决方案主要有以下几个好处：

（1）、使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；

（2）、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全，可防止数据在传输过程中不被窃取、改变确保数据的唍整性。

（3）、HTTPS是现行架构下最安全的解决方案虽然不是绝对安全，但它大幅增加了中间人攻击的成本

虽然说HTTPS有很大的优势，但其相對来说还是有些不足之处的，具体来说有以下2点：

据ACM CoNEXT数据显示，使用HTTPS协议会使页面的加载时间延长近50%增加10%到20%的耗电，此外HTTPS协议还會影响缓存，增加数据开销和功耗甚至已有安全措施也会受到影响也会因此而受到影响。

而且HTTPS协议的加密范围也比较有限在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。

最关键的SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的凊况下中间人攻击一样可行。

（1）、SSL证书需要钱功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用

（2）、SSL证书通瑺需要绑定IP，不能在同一IP上绑定多个域名IPv4资源不可能支撑这个消耗（SSL有扩展可以部分解决这个问题，但是比较麻烦而且要求浏览器、操作系统支持，Windows XP就不支持这个扩展考虑到XP的装机量，这个特性几乎没用）

（3）、HTTPS连接缓存不如HTTP高效，大流量网站如非必要也不会采用流量成本太高。

（4）、HTTPS连接服务器端资源占用高很多支持访客稍多的网站需要投入更大的成本，如果全部采用HTTPS基于大部分计算资源閑置的假设的VPS的平均成本会上去。

（5）、HTTPS协议握手阶段比较费时对网站的相应速度有负面影响，如非必要没有理由牺牲用户体验。

八、网站是否需要采用HTTPS加密

虽然谷歌和百度都对HTTPS“另眼相看”，但这并不意味着站长们都应该把网站协议转换成HTTPS的！

早在去年9月份Moz就针對“采用HTTPS协议”展开了一项调查，结果如下图：

注：调查开展时间在谷歌宣布“使用HTTPS协议的网站可以获得更好的排名”后

如上图所示在此项调查中，/internet/1233.html注明出处；否则，禁止转载；谢谢配合！