一助设计出品
扫描关注一助设计微信公众账号

扫一扫微信二维码

http升级https概念、意义及配置部署指南

一助科技2018-09-23经验之谈

http升级https,网站升级https是目前网站发展的趋势,网站传输数据将更加安全,这对于用户体验将是一个安全的提升。搜索引擎已经明确提出,部署https的网站将更好地获取排名和权重。为此,网站升级https势在必行。

https

一、认识http和https概念:

http是互联网应用广泛使用的一种网络传输协议,用于网络客户端与服务器端数据传输处理,是www文件必须遵守的标准,使访客用户浏览数据更加高效和节省传输资源。https是在http的基础上对传输数据进行加密、验证,让传输数据更加安全,是http的安全通道。

二、http升级https的意义:

(一)可以防止流量劫持,部分运营商或中间人往往谋取不当利益,在网页中植入推销广告或恶意代码,窃取访客的隐私。升级至https可以保证访客隐私的安全。

(二)有利于网站优化排名,搜索引擎算法明确提出对于https的网站相对于http的网站将优待排名和展现。

(三)https网址可以帮助用户识别钓鱼网站,促进访客浏览体验,有利于提高网站形象和可信度。

三、部署配置https评分级别:

http升级到https根据其部署配置是否合规,按照PCI DSS支付卡行业安全标准和Apple ATS规范,具有2-9八个等级,数字越大,安全等级越高,小于6分为不合格,https将提示不安全。也有部分权威网站把https安全标准级别分为九个等级,级别从高到低依次为A+、A、A-、B、C、D、E、F、T。其中A+为满分。

四、http升级https部署步骤:

(一)免费申请下载或购买对应域名的SSL证书上传到服务器,并打开服务器443端口,在服务器IIS中绑定自己的SSL证书。此时网站虽然可以用https访问了,但级别往往只有2,所以需要进行下一步配置部署。

(二)配置符合PFS规范的加密套件,操作步骤为:在服务器中运行gpedit.msc,在计算机配置中找到管理模板,在管理模板中找到网络,在网络中找到SSL配置设置,然后再SSL配置设置中打开SSL密码套件顺序,然后在打开的SSL密码套件顺序面板中选择已启用,在面板的左下方SSL密码套件中填写套件密码。推荐配置为:ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;

(三)在服务端TLS协议中启用TLS1.2,并关闭TLSv2.0、TLSv3.0,推荐配置:TLSv1 TLSv1.1 TLSv1.2,操作步骤为:找到控制面板,找到网络和Internet,找到Internet选项,在Internet选项面板中找到高级选项,然后勾选需要的TSL协议即可。也可以直接下载软件IISCrypto.exe进行直接设置,设置完毕后注意重启服务器。

(四)开启HSTS,无论直接访问http开头的网址或常用默认www的域名网址,网址协议都会自动以https显示。操作步骤为:查看服务器IIS中是否已安装url重写模块,如果没有url重写这个模块要下载安装。然后打开url重写模块,然后添加规则,选择空白规则,匹配url选择为与模式匹配,模式为(.*),条件输入为{HTTPS},检查输入字符串是否那里选择与模式匹配,模式内容填写^OFF$,操作类型选择为重定向,重定向URL填写https://{HTTP_HOST}/{R:1},重定向类型选择301,然后选择应用。然后编辑入站规则,添加对HTTP_HOST的条件,条件输入内容为{HTTPS_HOST},检查输入字串符是否那里选择与模式不匹配,模式内容处填写^(localhost),然后点击应用完成设定。最后一步编辑对http及内容的响应头的出站规则,前提条件无需填写,变量名称填写为RESPONSE_Strict_Transport_Security,变量值选择为与模式匹配,模式内容填写.*,然后添加条件,条件输入为{}HTTPS},检查字符输入串是否那里选择与模式匹配,模式填写内容on,操作类型选择重写,操作属性值填写max-age=31536000,最后点击应用即可。其实以上操作是改写web.config文件的内容。

准确网站以上操作步骤,https的评分即可达到A+9分。如果自身网站或服务器中含有不良代码或环境配置不正确也会影响评分级别,为此要注意正确配置服务器环境。对于免费的证书往往只支持单一的域名,且有限制支持,这种免费的证书服务器往往只支持一个证书,虽然有办法可以设置达到支持多个证书,但是重启服务器,仍然会还原设置。为此域名SSL证书免费版和收费版有所不同。

http升级https配置部署相关下载:

URL重写 下载(32位)官方正版

URL重写 下载(64位)官方正版

IISCrypto 下载 官方正版

IISCryptoCli 下载 官方正版

web.config A+9分配置文件参考

文章关键词
http升级https
https
https升级部署