回到主页

在企业环境中完成HTTPS迁移

已经写了一些关于成功进行HTTP到HTTPS迁移所需步骤的优秀文章。虽然我们知道移动变得越来越紧迫,但是当您在企业环境中工作时,知道该做什么只是故事的一小部分。不知何故,我们至少需要弄清楚:

我们需要说服谁,以及说服他们的是什么?
我们如何尽可能地降低风险?
我们如何才能完成实际细节? - 其中一些步骤很简单但很难
你们中的许多人将会生活在此,并且敏锐地感受到这些挑战。我们已经花了很多心思和很多工作来帮助我们的联系点制作这些案例并完成这些迁移。以下是我们在此过程中学到的一些指示和提示; 希望他们会帮助你。

旁注:了解我们如何使用我们的ODN平台帮助为主要零售商提供紧急的HTTPS迁移

如果您想了解一些挑战,或者如果您不经常在复杂的组织中使用大型网站,那么BBC保护其新闻部分的过程可能会让您对复杂性有所了解:

两年前,当各个产品(例如主页或旅游新闻)在后端准备就绪时,他们谈论在他们的CDN上进行更改以启用HTTPS
到2017年底,他们正在谈论启用HTTPS的起源,并担心如何预热HTTPS缓存
2018年6月,在印度政府规定的网络封锁导致网站完全无法进入的问题之后,我们获得了BBC新闻关于难以捉摸的挂锁的媒体帖子
然后,即使经过所有这些努力,我们也意识到我在那里分享的第一个链接位于该网站的“BBC博客”部分仍然不安全:

为企业HTTPS迁移提供案例
在某些情况下,我发现业务案例和投资回报率是变化的最有力推动因素,并且有可能使用数据来实现这种情况(首先看看不安全页面上警告的转换率下降)但是我的第一种方法是看起来更像这样的参数:

我们最终肯定要做到这一点
外部变化意味着我们不应该继续推行 - 延迟会产生声誉,业务和运营风险
这是一个更注重风险的论点,专注于避免下行,但它具有强大的情感因素:

我们最终肯定要做到这一点
转向HTTPS 有很多理性的论据(伟大的文章),但这主要是一个论点,无论我们做出什么决定,我们都不能永远放弃它。我们可以看看竞争对手,大型网站和外部移动(例如Chrome),以强有力地说明这一点:

网站正以前所未有的速度转向HTTPS

谷歌研究 表明:

超过一半的大型网站现在都提供HTTPS(截至2017年2月的年度从39%降至54%),一年内默认HTTPS加倍
站点越大/越受欢迎,其可用HTTPS的可能性就越大,默认情况下使用HTTPS的可能性就越大
现在大多数桌面浏览都是通过HTTPS进行的
所有这些意味着用户越来越习惯于在任何地方看到HTTPS并且越来越期待它。我们甚至在网站用户测试的定性反馈中看到了这一点(创建一个免费帐户观看此视频):

高级网站特别可能是HTTPS

在短短9个月内,在宣布HTTPS为(次要)排名因素后,Google搜索结果第1页的HTTPS结果百分比从30%跃升至超过50%:

新功能越来越多地采用HTTPS连接

HTTP / 2(可以为许多站点带来显着的速度提升)和服务工作者(类似于应用程序的功能,如离线功能所需)等功能需要或假设存在HTTPS连接。如果您还没有达到速度,我们的产品副总裁Tom Anthony会告诉您需要知道的内容(创建一个免费帐户来观看此视频)。

外部变化意味着我们现在应该这样做
浏览器更改增加了进行更改的紧迫性

我们已经知道Google特别会使用他们的Chrome浏览器将网站管理员推送到HTTPS。最初,如果在检测到表单时它们在HTTP上,则刚刚标记的站点不安全:

然后,他们宣布进一步的更改,将其从这些页面带到任何HTTP页面:

这实际上不是谷歌上次计划的关于这个主题的更新,很快就会有一个Chrome版本突出显示红色的不安全因素:

这种变化不仅会提升您的安全设置与您的用户和客户的关系,而且最有可能损害参与度和转化率,但它开始对那些尚未采取行动的人施加压力。例如,这篇BBC文章通过名称调出了许多网站,并警告说,虽然你不一定完全避免仍然使用HTTP的网站,“你应该警惕那些要求你登录或让你购买的网站通过他们的商品和服务“。

降低HTTPS迁移的风险
好的,所以我们知道这是我们想要做的事情,关键的利益相关者正在接受这个想法,但是在这个过程的早期,有人会提出风险因素,以及我们如何最大限度地减少和减轻风险因素尽可能。

除了在临时环境中进行全面测试之外,您还可以采取哪些措施来降低进入HTTPS的风险?该库中的一个关键工具是内容安全策略(CSP)标头。移动中最困难的部分之一是避免混合内容警告,其中(安全)页面引用HTTP资源和资产。降低风险和避免UI问题以及破坏资产功能受损的一种好方法是首先使用非常宽松的CSP推出HTTPS,允许不安全的资产,但是通过report-uri策略指令报告它们。这意味着,在任何使用HTTP资源的HTTPS页面上,浏览器仍然会将页面报告为不安全,但它会起作用,您将获得有关哪些资源仍在使用的收集数据。

然后,当您删除所有HTTP依赖项时,可以将CSP收紧到更严格的策略并在浏览器中实现“安全”标签。一旦所有页面完全在HTTPS上并且重定向到位,您就可以将HSTS(严格传输安全性)添加到混合中。HSTS是在您的站点的HTTPS版本上提供的标题,由浏览器缓存并通知他们将来不信任HTTP版本,并始终请求您站点上每个页面的HTTPS版本(直到HSTS设置到期) 。

(注意:对您的站点来说,更重要的安全性是您可能希望进入的这个兔子洞越远 - 直到预先加载的HSTS站点 - 但请注意,即使出现证书错误,这也不容易逆转。)

SEO细节上有各种各样的优秀资源,有关于清单和流程,所以我不打算重复这里的所有步骤。我建议:

本文介绍了移植过后可以使用的HTTPS和技术功能的所有优点
Patrick Stox 概述了这一过程,Aleyda发布了一份关于SEO步骤和含义的精彩清单
您可能会发现有必要参考Google官方专线(来自John Mueller)向利益相关方保证Google对流程的看法及其好处
虽然我很关心的建议“使用302个重定向+相对=规范,以HTTP,如果你想测试HTTPS但又不希望它索引”。我不建议有规范链接指向重定向回原始页面的页面(甚至302重定向)。我建议不要这样做。
我们如何实现细节?
一如既往,知道该做什么并达成协议只是很多组织中战斗的一小部分。大型网站和大公司通常拥有无数依赖关系和旧系统的集成,这会在目标的方式上引发意想不到的障碍。在HTTPS迁移的情况下,这通常是这样的:

我们有混合内容警告,我们无法大规模处理 - 我们如何更新http URL上图像的所有引用?我们的第三方插件和嵌入怎么样?
我们的规范链接都指向我们网站的HTTP版本,并且在所有不同的页面模板中更新它们的工程工作将为这个项目的成本增加可怕的金额 - 可能跨越多个后端/ CMS
我们希望添加Referrer-policy,尤其是内容安全策略标头,以便更好地测试和降低风险,但我们无法通过CMS控制HTTP标头
如果你不能完成它们,那么做什么的建议毫无价值 - 我们在Distilled上重复了很多的咒语是提交报告不是我们的工作 - 我们的工作就是改变它。我们这样做的方法之一是构建ODN平台,这样可以轻松地对HTML和HTTP响应进行敏捷更改。我们刚刚为一家大型零售商完成了一次紧急的HTTPS迁移,我们正在通过该平台解决这些类型的阻止程序 - 您可以在此处阅读更多相关内容。

如果您处于不幸的状态,知道您需要转移到HTTPS,并让组织保持一致,但被这些技术问题阻止,请告诉我们一行,以讨论我们是否可以提供帮助。

所有文章
×

还剩一步!

确认邮件已发至你的邮箱。 请点击邮件中的确认链接,完成订阅。

好的