免费的SSL证书是否也有利于您的SEO?

2019.08.24 - 象牙白

免费的SSL证书

2014年8月6 日,谷歌宣布有些人认为很长一段时间了。为了提高互联网的整体数据安全水平,帮助打击网络钓鱼和诈骗网站,并推动人们升级他们的安全感,谷歌宣布他们将使用SSL作为搜索排名因素。

这是谷歌在谷歌I / O上的谈话后几个月,他们在那里呼吁为网络提供最终的HTTPS Everywhere概念。就像我说的; 这是很长一段时间。

许多网站管理员现在都明白,在他们的网站上使用SSL会增加他们的谷歌搜索排名,但是很多人不太了解这种情况会有很多细微差别。让我们深入研究。

HTTPS如何工作
HTTPS是互联网在任何地方使用的工厂HTTP协议的常规运行,增加了一层SSL加密。从本质上讲,在任何通信之前都会有握手,浏览器和Web服务器会验证它们的安全性。

SSL如何工作图
这分三个阶段发生。

您好:这是第一阶段,客户端 – 这是您的Web浏览器 – 向服务器发出问候消息。它包含建立连接所需的所有信息,包括您的浏览器支持的SSL版本以及它可以使用的密码套件。然后,服务器以类似的hello响应,确定服务器和客户端可以一起使用的SSL级别。基本上,你的浏览器说“嘿,我想建立一个连接,我有安全协议A,B和C”,服务器响应“嘿,让我们建立连接,我可以使用协议A和B; 由于B更强,让我们用它。“
认证:这是第二阶段。此时,客户仍然怀疑。目前还没有数据可以验证服务器实际上是谁声称的。然后客户端要求服务器证明其身份。这有点像边境控制要求查看你的护照。客户端要求提供SSL证书,如果有证书,服务器会提供SSL证书。证书是一个数据包,其中包括服务器域名称及其所有者,公钥和数字标牌等信息,以证明它是以信任方式发布的。然后,客户端对已知的证书颁发机构执行检查,并验证证书是否值得信任。这里值得注意的是,证书颁发机构本身需要是一个值得信赖的实体。这对我们稍后的讨论很重要。
密钥交换:第三阶段是客户端和服务器现在彼此信任并验证它们都具有正确的密码密钥来加密和解密每个发送的消息。双方已同意使用密钥,因此发送的消息在发送之前会被加密,并在到达时被解密。
除非出现问题,否则所有这些都会在很短的时间内发生。最终结果是验证了浏览器和服务器之间的流量是否已加密。中间的任何人 – 例如,沿途传送数据的服务器之一 – 将无法读取数据。如果你的邮递员在你的工作和你的家之间打开信件就好了; 你和工作决定一个密钥并加密数据,这样你的邮递员,即使他打开它,也无法读取里面的数据。

所有这一切的关键是安全证书由可信赖的机构颁发,该机构在颁发证书之前验证有关站点的数据。否则,任何人都可以拿出他们自己发行的证书并假装它值得信赖。

实际上有不同级别的SSL证书,从最小验证免费SSL证书到高保证SSL。只需通过电子邮件验证即可获得较低验证的SSL证书,这不比新的网络论坛帐户上的验证更安全。有权访问您的电子邮件收件箱的任何人都可能获得此级别的SSL。同时,SSL的更高安全级别可能需要验证特定文档或其他联系点。

SSL证书的类型
每个Web浏览器都预装了一个证书颁发机构列表,可以将证书签名为有效。由该权限列表上的某人签名的证书有效,而由其他实体签名的证书可能有效,也可能无效。通常,当您要访问此类无效证书时,浏览器将发出警告。您可以在此处详细了解所有这些内容。

还值得注意的是,自签名或以欺诈方式签名的SSL证书通常会添加到受损和已撤销的SSL证书的全局列表中。这个着名的事件发生在电子邮件提供商Edward Snowden使用的Lavabit证书上。浏览器通常会定期更新其已撤销证书的列表,但是在撤销和更新列表之间始终存在延迟,因此信任不应存在的信任小差距。

谷歌为何推动SSL
SSL是衡量安全性和信任度的标准,可以帮助任何希望在网络上进行某种电子商务的人。它有助于验证网站的身份。SSL证书仅发布到站点,如果这些站点可以证明它们是值得信任的,并且只有在验证该站点没有恶意的情况下才会发布。

谷歌喜欢SSL
例如,如果我创建的网站包含在用户登陆后延迟下载的恶意软件,我将无法获得SSL证书,因为它们不会增加恶意软件的安全性。如果我试图注册bankfoamerica.com(或其他一些拼写错误)来克隆BoA网站以窃取用户信息,我将无法获得安全证书,因为我无法证明我实际上是银行美国。

因此,SSL允许Google帮助防止在线欺诈,并在用户浏览网页时确保他们的安全。它鼓励信任并有助于防止数据窥探的未来问题。对于希望获取谷歌数据的全球政府而言,这也是一种微妙或不那么微妙的刺激; 如果Google没有以未加密的形式提供数据,则无法提供该数据。

对SSL的担忧
在您的网站上切换到SSL通常会使您的SEO受益,但在极少数情况下, 它实际上可能是一种损害。这是一个非常小的排名因素; 谷歌为鼓励采用而做的事情,而不是永远扭曲搜索面孔的东西。

最重要的是,从HTTP切换到HTTPS URL是URL的更改,并且由于Google搜索结果依赖于URL作为页面的唯一标识符,因此如果您没有正确地重定向旧URL,则可能会丢失一些搜索排名。

您可以在此处阅读我们关于切换到SSL的问题的帖子。

但是,较小的网站和博客最大的问题之一是SSL的成本。SSL证书可以免费使用,但它们的价格也可以达到每年1,500美元。这一切都取决于您想要什么级别的安全性,发行者为您提供证书,是否需要多域或通配符证书,是否保护博客或电子商务平台,以及您想要的加密级别。

SSL定价示例
对于一个小博客来说,每年支付数百美元用于没有明显提高您的搜索排名并且没有提供任何真正有用的安全性的前景 – 因为博客不需要成员门户和评论通常使用他们的自己的安全登录 – 令人讨厌。这就是人们转向免费SSL证书的原因。

免费SSL的问题
免费SSL证书有三个主要问题。

它们可能不是来自全球受信任的证书颁发机构。
它们的加密可能不是很好。
他们可能会被撤销更高的证书率。
让我们一次一个地讨论这些问题。

第一个问题是颁发免费SSL证书的证书颁发机构可能不是那么值得信赖的证书。如果您从GoDaddy,VeriSign,Thawte或GeoTrust等人那里获得证书,您可以非常肯定您的证书几乎会在每个Web浏览器中列出。这些是具有强大功能的老公司,为避免向不良网站提供SSL而提供大量保护,并且很有可能不会撤销其SSL证书。

另一方面,如果您从Bob的Security Shack(与Bob的SEO Shack合作)获得证书,那么每个Web浏览器将它们列为安全且可信的证书颁发机构的可能性有多大?某些浏览器可能根本不会列出它们,或者它们可能不会经常更新它们的列表。您可能会获得SSL,但它不会受到信任,并且会在尝试通过安全的加密浏览访问该站点的任何用户处抛出错误。

免费SSL证书网站即使谷歌在各种SSL证书中也有一定程度的信任。根据证书的颁发者和加密级别,Google可能会或可能根本不信任证书。将SSL证书添加到您的站点可能对您的SEO无效,或者当这些错误开始弹出时可能会损害您的站点。

第二个可能的问题是技术细节之一。SSL具有各种风格和优势。较弱的加密通常更便宜,而且它在客户端和服务器上更快,资源更少,但更容易破解。强大的超级计算机可以很容易地破解弱加密。个别黑客无法获得这种权力,但是国家行为者,政府和拥有僵尸网络的大型黑客组织可能能够实现这一目标。

您可以打赌,任何免费的SSL证书都将是您可以获得的最弱的加密,而不会比没有安全性更差。实际上,免费SSL 通常仅用于绝对最基本的安全性 ; 登录论坛,登录博客评论,简单会员门户等。任何使用实际敏感数据的东西,如信用卡号,都需要更好的安全性。

第三个问题是安全性的安全性。免费SSL证书不会发给一个特定机构; 它们通常在许多域和服务器之间共享。还有更多潜在的失败点,因此您的免费SSL可能会受到对完全不同的网站的攻击。这就像黑客窃取整个公寓楼的万能钥匙; 你把门关上了,但是如果房东不这样做也没关系。

您应该考虑免费SSL吗?
老实说,没有。我通常不会为任何想要认真对待SSL的企业推荐免费的SSL证书。

对于非常基本的安全性,免费SSL可能很好。如果您的网站上有一个会员门户网站可以设置额外的博客帖子,那么您需要某种SSL。您的付款处理绝对需要更好的SSL证书,但您的登录门户网站不需要更多基础知识。

有简单的用免费共享SSL证书相关联的太多的风险,我觉得舒服告诉你使用一个。相反,只是瞄准更便宜的现有选项之一。Comodo必不可少的SSL软件包每年不到30美元,而其他SSL认证机构也为那些希望为其网站添加基本安全性的人提供类似的廉价产品。您不需要1,500美元的证书之一。

事实上,除了最敏感的网站外,支付这么高成本的证书对所有人来说都是过度的。我说的是处理SSN和税务文件等个人信息的政府网站。我在谈论银行网站。这些类型的站点需要昂贵的高端SSL。对于我们其他人来说,通过简单的电子商务平台或具有基本会员门户的博客,可以使用更便宜的SSL版本。您可以以相对较低的价格获得不错的安全性,因此没有理由不去做。只需确保正确实施SSL,以避免常见的SEO陷阱。




阅 95
本地搜索引擎优化

互联网彻底改变了人们开展业务的方式。 曾经有一段时间人们希望在黄页中首先获得他们的业务名称。这将极大地增加人们 […]