回到主页

为什么网站应该使用HSTS来提高安全性和SEO

网站用户和搜索引擎不会轻易获取网站安全性,这可能是您可能听说过添加HTTPS等安全措施的原因。

但是,一个鲜为人知的安全层称为HTTP严格传输安全(HSTS)也可用,它也可以帮助保护您的站点和搜索引擎优化(SEO)。让我们来看看HSTS是什么以及它是如何工作的。

HSTS
HSTS是一个响应头,它通知浏览器它只能使用HTTPS连接到某个网站。HSTS提高了HTTPS网站的速度和安全性。要完全了解HSTS的功能,您需要具备一些HTTPS知识。

HTTPS

HTTPS(超文本传输​​协议安全)是HTTP的安全版本。 当用户使用HTTPS连接到站点时,网站会使用安全套接字层(SSL)证书加密会话。通俗地说,它为网站会话增加了额外的安全层,并防止可能试图窃取网络用户信息的黑客。

您可以想象,这对于电子商务,银行业务或其他交易网站(如Paypal)尤其有用,这些网站要求用户输入敏感信息。

用户是否可以清楚地看到网站是否使用HTTPS。那些安全的将通过URL提供绿色安全符号。

另一方面,仍然仅依赖于HTTP的那些站点将在统一资源定位符(URL)框中标记为“不安全”。

自2014年以来,HTTPS一直是Google确认的排名因素,虽然它不会立即将您的网站飙升到搜索引擎结果页面(SERP)的顶端,但它会为您提供额外的推动力,并为网站提供额外的可信度。游客。我喜欢认为让HTTPS可以提升网页,并且通常会在SERP中提前移动HTTPS页面。

虽然HTTPS比其前身有了很大的改进,但并不完全没有它的缺陷,这就是HSTS的用武之地。

HSTS如何提高网站安全性
与HTTPS相关的一个缺陷是它并不完全是防黑客的。它使您的站点对SSL剥离开放。当黑客将连接从加密连接更改为旧版本时,会发生这种情况。

这通常发生在 301重定向 - 如果网站依赖301重定向从HTTP切换到HTTPS。 301重定向通常如下所示:

有人在examplesite.com中输入他们的浏览器。
由于examplesite.com使用301重定向,因此浏览器最初会尝试加载http://examplesite.com。发生这种情况是因为浏览器无法提前知道特定网站正在使用HTTPS。
一旦遇到重定向并被告知,浏览器就会继续加载https://examplesite.com。
虽然这看起来不是什么大不了的事,但是在你真正需要担心的几毫秒之内,因为它让网站容易受到试图剥夺你的SSL证书的黑客的攻击。

当服务器最初调用HTTP版本时,黑客可以通过不安全的HTTP进入并拦截请求,这将阻止该站点使用HTTPS。按理说,随着越来越多的网站转向使用HTTPS,更多的黑客正在教育自己如何破解更新的安全代码。

有一个解决方案,通过应用HSTS使您的网站更安全。

HSTS强制站点通过HTTPS加载,忽略任何首先尝试HTTP连接的调用,如301重定向的情况。这基本上通过强制浏览器记住该站点确实支持HTTPS来避开初始HTTP负载。这样,浏览器将立即加载安全版本,并消除黑客劫持连接的机会。

HSTS如何帮助页面加载速度和SEO
除了为您的网站添加额外的安全层之外,使用HSTS还可以为您提供SEO提升,因为使用HSTS会使您的网页加载速度更快。

我们知道在搜索排名和用户体验方面,加载时间是一个大问题。随着移动设备的使用量不断增加以及Google的移动优先计划全面展开,页面加载速度比以往任何时候都更加重要。

去年年初,Google发布了一项研究,得出以下结论:

完全加载普通移动登录页面所需的平均时间为15.3秒:

然而,研究还表明,如果加载时间超过3秒,53%的人会离开移动页面。

显然,在加载时间方面,Web用户并不完全宽容。

对于似乎最有动力申请HSTS的电子商务网站来说,新闻更糟糕。考虑一下Google的购物数据:

移动网站在关键参与度指标方面落后于桌面网站,例如网站平均停留时间,每次访问网页和跳出率。很多购物都在网上发生,但落后的网站并不是销售的网站。 网页加载速度直接影响指标,例如网站平均停留时间,每次访问的网页数和跳出率。如果您看到低参与度指标,您可能会看到低销售额。

这些参与度指标也是您整体SEO的关键因素。网页具有强大的参与信号质量和良好的用户体验,可以带来更高的排名。由于页面加载速度是如此重要,因此企业会尽其所能确保其网站像闪电一样加载。他们可以做的一件事是启用HSTS。

请记住,如果您尝试仅使用HTTPS加载站点,它将首先尝试在实现页面支持HTTPS之前调用HTTP版本。初始HTTP尝试将导致站点加载时间的小延迟。虽然在页面加载速度方面可能只有几毫秒,但每毫秒都很重要。启用HSTS后,浏览器知道只使用HTTPS,使重定向立即消除任何滞后时间。

我如何申请HSTS?
在启用HSTS之前,必须安装有效的SSL证书。用户的浏览器必须至少看一次HSTS标头才能知道立即重定向到某个页面。这意味着用户首次访问某个域仍然需要通过HTTP到HTTPS进程。

为了尽可能地消除这种情况,Chrome创建了一个HSTS预加载列表。这是将自动启用HSTS的域列表,因此用户可以使用HSTS自动连接。

Chrome允许任何人将其域名提交到HSTS列表,只要它符合以下要求:

如果存在DNS记录,则需要在根域和所有子域上启用HTTPS,尤其是www.subdomain。这包括仅在Intranet上使用的任何子域。HSTS策略包括具有长max-age的所有子域,以及用于指示域所有者同意预加载的“预加载”标志。

截至目前,Firefox,Safari,Opera和Edge也使用Chrome的预加载列表,因此该选项适用于大多数主流浏览器的域。

要在您的网站上启用HSTS,您需要添加激活的HSTS标头。您可以通过您的托管网站执行此操作或自行激活它。

结论
你应该使用HSTS吗?我认为除非您是内容发布者并且在切换到HTTPS时遇到问题,否则您应该这样做。在HTTPS网站上投放广告很困难,因此许多发布商都在努力切换到HTTPS。他们可能也很难使用HSTS来投放广告。

每个网站都可以从额外的安全层中受益,不仅从SEO的角度,而且从客户的角度来看。如果您经营电子商务或交易网站,HSTS很快就会变成必须的。
以这种方式思考:增加安全性和更快的加载时间等于更好的SEO,最终,更好的用户体验。

所有文章
×

还剩一步!

确认邮件已发至你的邮箱。 请点击邮件中的确认链接,完成订阅。

好的