免费的 SSL 证书也可以使您的 SEO 受益吗?2014 年 8 月 6日,Google 发布了一项声明,有些人认为这是一个很长的时间。为了提高互联网的整体数据安全水平,帮助打击网络钓鱼和诈骗网站,并推动人们提升安全意识,谷歌宣布将使用 SSL 作为搜索排名因素。
几个月前,Google 在 Google I/O 上发表演讲,他们呼吁最终为网络提供 HTTPS Everywhere 概念。就像我说的; 已经很长时间了。
许多网站管理员现在都知道在他们的网站上使用 SSL 会提高他们的 Google 搜索排名,但是很多人不太了解这种情况有很多细微差别。让我们深入了解。
HTTPS 的工作原理
HTTPS 是互联网随处使用的常规运行 HTTP 协议,并增加了一层 SSL 加密。本质上,在任何通信之前都会进行握手,浏览器和 Web 服务器会在此验证它们的安全性。
这发生在三个阶段。
- 你好:这是第一阶段,客户端——也就是你的 Web 浏览器——向服务器发送一个 hello 消息。它包含建立连接所需的所有信息,包括您的浏览器支持的 SSL 版本以及它可以使用的密码套件。然后服务器以类似的 hello 响应,这决定了服务器和客户端可以一起使用的 SSL 级别。基本上,您的浏览器会说“嘿,我想建立连接,我有安全协议 A、B 和 C”,而服务器会响应“嘿,让我们建立连接,我可以使用协议 A 和 B;B比较强,就用那个吧。」
- 认证:这是第二阶段。此时,客户仍然怀疑。目前还没有数据可以验证服务器是否确实是它声称的身份。然后客户端要求服务器证明其身份。这有点像边境管制要求查看您的护照。客户端要求 SSL 证书,如果有,服务器会提供。证书是一个数据包,其中包括服务器域名称及其所有者、公钥和数字标牌等信息,以证明它是以信任方式颁发的。然后客户端对已知的证书颁发机构进行检查并验证该证书是否值得信赖。这里值得注意的是,证书颁发机构本身需要是一个值得信赖的实体。这在我们以后的讨论中很重要。
- 密钥交换:第三阶段是客户端和服务器现在相互信任并验证它们都具有正确的密码密钥来加密和解密发送的每条消息。双方已商定要使用的密钥,因此发送的消息在发送之前会进行加密,并在到达时进行解密。
所有这一切都会在很短的时间内发生,除非出现问题。最终结果是您的浏览器和您的服务器之间的流量被验证为加密的。中间的任何人——例如,沿途运送数据的服务器之一——将无法读取数据。这就像你的邮递员在你的工作和你家之间打开信件一样;你和工作决定一个密码密钥并加密数据,这样你的邮递员即使打开它也无法读取里面的数据。
所有这一切的关键是安全证书是由可信赖的机构颁发的,该机构在颁发证书之前验证有关站点的数据。否则,任何人都可以拿出他们发给自己的证书并假装它是值得信赖的。
实际上有不同级别的 SSL 证书,从最小验证的免费 SSL 证书到高保证的 SSL。低验证度的 SSL 证书可以简单地通过电子邮件验证获得,这并不比在新的网络论坛帐户上验证更安全。任何有权访问您的电子邮件收件箱的人都有可能获得此级别的 SSL。同时,更高级别的 SSL 安全可能需要验证特定文档或其他联系点。
每个 Web 浏览器都预装了可以签署有效证书的证书颁发机构列表。由该授权列表上的某人签署的证书是有效的,而其他实体签署的证书可能有效,也可能无效。通常,当您要访问此类无效证书时,浏览器会发出警告。
还值得注意的是,自签名或以欺诈方式签名的 SSL 证书通常会添加到已泄露和撤销的 SSL 证书的全局列表中。这著名的发生在 Lavabit 的证书上,Edward Snowden 使用的电子邮件提供商。浏览器通常会定期更新他们的已撤销证书列表,但在撤销和更新列表之间总是存在延迟,因此在不应该存在信任的情况下存在小的信任差距。
为什么 Google 正在推动 SSL
SSL 是一种安全性和信任度的衡量标准,可以帮助任何希望在网络上进行某种电子商务的人。它有助于验证站点的身份。SSL 证书仅在这些站点可以证明它们是值得信赖的情况下才会颁发给这些站点,并且仅当该站点被验证为没有恶意时。
例如,如果我创建了一个包含在用户登陆后延迟下载的恶意软件的站点,我将无法获得 SSL 证书,因为它们不会为恶意软件增加安全性。如果我尝试注册 bankfoamerica.com(或其他一些错字)来克隆 BoA 站点以窃取用户信息,我将无法获得安全证书,因为我无法证明我实际上是 Bank of美国。
因此,SSL 允许 Google 帮助防止在线欺诈,并确保人们在浏览网络时的安全。它鼓励信任并有助于防止未来出现数据窥探问题。这也是对想要获取谷歌数据的全球政府的一种微妙或不那么微妙的抨击;如果 Google 没有未加密形式的数据,则无法提供该数据。
对 SSL 的担忧
在您的网站上切换到 SSL 通常有利于您的 SEO,但在极少数情况下, 这实际上可能是有害的。这是一个非常小的排名因素;只是谷歌为鼓励采用所做的一些事情,而不是永远扭曲搜索面貌的事情。
最重要的是,从 HTTP 切换到 HTTPS URL 是对 URL 的更改,并且由于 Google 搜索结果依赖 URL 作为页面的唯一标识符,如果您没有正确重定向旧 URL,您可能会失去一些搜索排名.
不过,小型站点和博客最关心的问题之一是 SSL 的成本。SSL 证书可以是免费的,但也可以高达每年 1,500 美元。这完全取决于您想要什么级别的安全性、哪个颁发者为您提供证书、您是否需要多域或通配符证书、是否要保护博客或电子商务平台,以及您想要什么级别的加密。
对于一个小型博客来说,每年支付数百美元的前景并不能显着提高您的搜索排名,也不能提供任何真正有用的安全性——因为博客不需要会员门户,评论通常使用他们的自己的安全登录 – 令人讨厌。这就是人们转向免费 SSL 证书的原因。
免费 SSL 的问题
免费 SSL 证书存在三个主要问题。
- 它们可能不是来自全球受信任的证书颁发机构。
- 它们可能没有很好地加密。
- 他们可能有更高的证书被吊销率。
让我们一次一个地讨论这些问题。
第一个是颁发免费 SSL 证书的证书颁发机构可能并不那么值得信赖。如果您从 GoDaddy、VeriSign、Thawte 或 GeoTrust 等公司获得证书,您可以非常确定您的证书几乎会在每个 Web 浏览器中列出。这些都是老牌公司,拥有强大的权力,有很多保护措施可以避免将 SSL 提供给不良站点,并且他们的 SSL 证书很有可能不会被撤销。
另一方面,如果您从 Bob’s Security Shack(与 Bob’s SEO Shack 合作)获得证书,那么每个 Web 浏览器将它们列为安全且受信任的证书颁发机构的可能性有多大?某些浏览器可能根本不会列出它们,或者它们可能不会非常频繁地更新它们的列表。您可能会获得 SSL,但它不会受到信任,并且会向任何试图通过安全、加密浏览访问该站点的用户抛出错误。
甚至 Google 对各种 SSL 证书的信任度也在不断变化。根据证书的颁发者和加密级别,Google 可能完全信任也可能根本不信任该证书。将该 SSL 证书添加到您的网站对您的 SEO 没有任何影响,或者当这些错误开始出现时可能会损害您的网站。
第二个可能的问题是技术细节之一。SSL 有各种不同的风格和优势。较弱的加密通常更便宜,并且在客户端和服务器上速度更快,资源占用更少,但更容易破解。强大的超级计算机可以很容易地破解弱加密。个人黑客无法获得这种权力,但国家行为者、政府和拥有僵尸网络的大型黑客组织可能能够实现这一目标。
您可以打赌,任何免费的 SSL 证书都将是您可以获得的最弱的加密,而不会比根本没有安全性更糟。事实上,免费 SSL通常只用于绝对最基本的安全性;论坛登录、博客评论登录、简单的会员门户等。任何使用实际敏感数据的东西,比如信用卡号,都需要更好的安全性。
第三个问题是证券的安全性。免费的 SSL 证书不会颁发给一个特定的机构;它们通常在许多域和服务器之间共享。还有更多潜在的故障点,因此您的免费 SSL 可能会因对完全不同的网站的攻击而受到损害。这就像黑客窃取了整个公寓楼的万能钥匙一样;你把门锁上了,但房东不锁也没关系。
您应该考虑免费 SSL 吗?
老实说,没有。我通常不会为任何想要认真对待 SSL 的企业推荐免费的 SSL 证书。
免费的 SSL 可能适用于非常基本的安全性。如果您的网站上有一个会员门户,可以访问额外的博客文章,那么您需要某种 SSL。您绝对需要更好的 SSL 证书来处理付款,但您的登录门户只需要基础知识即可。
与免费共享 SSL 证书相关的风险实在是太多了,让我觉得不放心告诉您使用一个。相反,只需针对更便宜的现有选项之一。Comodo 的基本 SSL 包每年不到 30 美元,其他 SSL 证书颁发机构也有类似的廉价产品,供希望为其网站增加基本安全性的人们使用。您不需要 1,500 美元的证书之一。
事实上,除了最敏感的网站之外,支付如此高成本的证书对于所有网站来说都是多余的。我指的是处理 SSN 和税务文件等个人信息的政府网站。我说的是银行网站。这些类型的网站需要昂贵的高端 SSL。对于我们其他人来说,通过简单的电子商务平台或具有基本会员门户的博客,更便宜的 SSL 版本就可以了。您可以以相对较低的价格获得不错的安全性,因此没有理由不这样做。只需确保正确实施 SSL,以避免常见的 SEO 陷阱。
--- END ---