如何使用 HTTPS 确保网站安全下提升Google搜索排名

HTTPS（超文本传输安全协议）是一种互联网通信协议，可保护用户计算机与网站之间传输的数据的完整性和机密性。用户在访问网站时都希望获得安全私密的在线体验。因此，无论您的网站提供什么内容，我们都建议您采用 HTTPS 来保护用户与您网站之间的连接。

使用 HTTPS 发送的数据可通过 TLS（传输层安全协议）得到保护，该协议可提供三重关键保护：

1、加密 - 对所交换的数据进行加密，使其免受窥探。这意味着，当用户浏览某个网站时，没有人能够"听到"其会话内容，也无法跟踪其在多个网页上的活动，或窃取其信息。

2、数据完整性 - 只要数据在传输期间被修改或损坏（无论有意或无意），都会被检测出来。

3、身份验证 - 证明用户是在与目标网站进行通信，从而保护用户免遭中间人攻击并建立用户信任，进而带来其他商业效益。

实施 HTTPS 时的最佳做法

如果您使用 WordPress、Wix 或 Blogger 等 CMS，请搜索有关在相应托管服务中启用 HTTPS 的说明。例如，搜索"wix https"。

使用强大的安全证书

在为网站启用 HTTPS 的过程中，您必须获得安全证书。证书由 CA（证书授权机构）颁发，该机构会采取措施，确认您的网址确实属于您的组织，从而保护访问者免受中间人攻击。在设置证书时，请选择 2048 位密钥，以确保高级别的安全性。如果所持证书的密钥安全性较弱（1024 位），请将其升级到 2048 位。选择网站证书时，请注意以下几点：

1、从提供技术支持的可靠 CA 处获取证书。

2、确定所需证书的类型：

○ 适用于单个安全源 (www.example.com) 的单个证书。

○ 适用于多个知名安全源（例如 www.example.com, CDN.example.com, example.co.uk）的多网域证书。

○ 适用于具有多个动态子网域的安全源（例如 a.example.com, b.example.com）的通配符证书。

使用永久服务器端重定向

使用永久服务器端重定向将用户和搜索引擎重定向到 HTTPS 网页或资源。

确认 Google 能抓取您的 HTTPS 网页并将其编入索引

○ 使用网址检查工具测试 Googlebot 能否访问您的网页。

○ 请勿使用 robots.txt 文件阻止 Google 抓取您的 HTTPS 网页。

○ 请勿在您的 HTTPS 网页中包含 noindex 标记。

支持 HSTS

我们建议 HTTPS 网站支持 HSTS（HTTP 严格传输安全协议）。HSTS 不仅会告知浏览器自动请求 HTTPS 网页（即使用户在浏览器地址栏中输入的是 http），还会告知 Google 在搜索结果中提供安全网址，从而最大限度地降低了向用户提供不安全内容的风险。

若要支持 HSTS，请使用支持 HSTS 的网络服务器并启用 HSTS。

HSTS 虽然更安全，但会让回滚策略更复杂。我们建议您按照以下方式启用 HSTS：

1、先推出未采用 HSTS 的 HTTPS 网页。

2、开始发送 max-age 较短的 HSTS 标头。监控来自用户和其他客户端的流量，以及广告相关内容的效果。

3、逐步增加 HSTS max-age。

4、如果 HSTS 未对您的用户和搜索引擎产生负面影响，则可以将您的网站添加到大多数主流浏览器使用的 HSTS 预加载列表中。这可提高安全性并改善性能。

避免以下常见问题

在使用 TLS 保护网站安全的整个过程中，请避免以下错误：

从 HTTP 迁移到 HTTPS

如果您将网站从 HTTP 迁移到 HTTPS，则 Google 会认为这是一次涉及网址更改的网站迁移。这可能会暂时影响您的部分流量数据。详细了解适用于所有网站迁移的建议。

请务必在 Search Console 中添加新的 HTTPS 资源。Search Console 会分别处理 HTTP 和 HTTPS 资源；数据不会在 Search Console 中的资源之间共享。

有关在网站上使用 HTTPS 网页的更多技巧，请参阅 HTTPS 迁移常见问题解答。