您現在的位置: 网站首頁 / seo優化 / 正文

百度全站 https 技术宅告诉你如何搜索更安全

作者: admin 发布: 2015-5-5 10:2:56 分类: seo優化 閱讀: 次 查看評論

  各位站長,你們注意到了嗎?百度已經全站實現https了!

  百度從2014年開始對外開放了https的訪問,並于3月初正式對全網用戶進行了https跳轉。

  你也許會問,切換就切換呗,和我有啥關系?我平常用百度還不是照常順順當當的,沒感覺到什麽切換。

  話說,平常我們呼吸空氣也順順溜溜的,沒有什麽感覺,但要是沒有了空氣,那就沒法愉快的生活了。https對于互聯網安全的重要性,正如空氣對于我們人類的重要性一樣。百度全站切換到https之後,我們才可以愉快的搜索,愉快的上網。

  https究竟是如何實現讓我們更加安全呢,讓百度技術宅來個深度揭秘:

  問題1:https是什麽?我有沒有用到https?

  https是httpoverssl(SecureSocketLayer),簡單講就是http的安全版本,在http的基礎上通過傳輸加密和身份認證保證了傳輸過程中的安全性。你通常訪問的網站大部分都是http的,最簡單的方法可以看看網址是以http://開頭還是https://開頭。

  以下幾個截圖就是chrome,firefox,IE10在使用https時的效果。

  

  注意图中绿色的部分, 我们后面详细说说。

  想进一步了解 HTTPS,可以阅读《大型网站的 HTTPS 实践(一)– HTTPS 协议和原理》

  問題2:https爲什麽比http安全?https加密是不是需要我在電腦上安裝證書/保存密碼?

  

  不帶“s”的http不安全,主要是因爲它傳輸的是明文內容,也不對傳輸雙方進行身份驗證。只要在數據傳輸路徑的任何一個環節上,都能看到傳輸的內容,甚至對其進行修改。例如一篇文章“攻下隔壁女生路由器後,我都做了些什麽”中,很多攻擊的環節,都是通過分析http的內容來進行。而在現實生活中呢,你很有可能泄露你的論壇高級會員賬號/密碼,遊戲vip賬號/密碼,隱私的聊天內容,郵件,在線購物信息,等等。實在是太可怕的有木有!

  https之所以安全,是因爲他利用ssl/tls協議傳輸。舉個簡單的例子,電影風語者中,美軍發現密碼經常被日本竊聽和破解,就征召了29名印第安納瓦霍族人作爲譯電員,因爲這語言只有他們族人懂。即使日本人竊聽了電文,但是看不懂內容也沒用;想僞造命令也無從下手,修改一些內容的話,印第安人看了,肯定會說看(shen)不(me)懂(gui)。看到這裏,你肯定發現了,這是基于兩邊都有懂這個語言(加密解密規則)的人才行啊,那麽我的電腦上需要安裝什麽密鑰或者證書嗎?一般情況作爲普通用戶是不用考慮這些的,我們有操作系統,浏覽器,數學家,安全和網絡工程師等等,幫你都做好了,放心的打開浏覽器用就好啦。

  如果你實在好奇,想知道雙方不用相同的密鑰如何進行加密的,可以搜索下”公鑰加密”(非對稱加密),”RSA”,”DH密鑰交換”,“ssl原理”“數字證書”等關鍵詞。

  有朋友會想了,不就是加密嗎,我wifi密碼都能破,找個工具分分鍾就破解了。這個想法可不對,雖然沒有絕對的安全,但是可以極大增加破解所需要的成本,https目前使用的加密方式是需要巨大的計算量(按照目前計算機的計算能力)才可能破解的,你會用世界上最強的超級計算機花費100年(只是一個比喻)去解密,看看100年前隔壁老王在百度上搜什麽嗎。

  問題3:百度爲什麽要上https?

  我們每天會處理用戶投訴,比如說:頁面出現白頁/出現某些奇怪的東西;返回了403的頁面;搜索不了東西;搜索url帶了小尾巴,頁面總要閃幾次;頁面彈窗廣告;搜索個汽車就有人給我打電話推銷4s店和保險什麽的…

  

  各种千奇百怪的情况碰到过的请举手。查来查去,很大一部分原因是有些坏人在数据的传输过程中修改百度的页面内容,窃听用户的搜索内容。悄悄告诉你,https就是能解决这样问题的技术哦,赶紧把浏览器首頁改成https://www.baidu.com吧。

  從方向上來說,HTTPS也是未來的趨勢,目前大家使用的HTTP還是1.1/1.0版本的,新的HTTP2.0版本的標准已經發布了。標准中涉及了加密的規範,雖然標准中沒有強制使用,但是已經有很多浏覽器實現聲稱他們只會支持基于加密連接的HTTP2.0(https://http2.github.io/faq/#does-http2-require-encryption)。

  問題4:https不就是在http後面加個s,很難麽?

  

  難,又不難。

  它包含證書,卸載,流量轉發,負載均衡,頁面適配,浏覽器適配,refer傳遞等等等等。反正我指頭肯定不夠數。

  對于一個超小型個人站點來說,技術宅1天就能搞定從申請證書到改造完成。如果是從零開始建設,會更容易。

  但是對于百度搜索這種大胖紙來說,可就難了。

  1,它一開始並不是爲https設計的

  2,內容豐富(內容本身的表現形式很多:圖片,視頻,flash,form等等),種類豐富(頁面上除了自然結果,有視頻,圖片,地圖,貼吧,百科,第三方的內容,app等等)。

  3,數據來源複雜,有幾十個內部産品線的內容,幾百個域名,成千上萬個開發者的內容

  4,百度在全國,甚至世界範圍都有很多idc和cdn節點,都得覆蓋到。

  5,還不能因此拖慢了百度的速度(國內使用https的銀行,在線交易的站點,有沒有覺得很慢?)

  6,上https本來就是爲了更好的體驗,可不能導致大家使用不穩定。

  …

  想了解更詳細的內容,可以閱讀《大型網站的HTTPS實踐(四)–協議層以外的實踐[1]》

  Google部署https花費了1-2年,13年將證書從1024位升級到2048位花了3個月。百度也是去年就開放了入口和小流量,但是今年3月才進行全量上線,可以想像整體的複雜性。

  問題5:如何看待百度搜索支持全站https?

  

  國外的幾個大型站點都https化了,這是未來互聯網的趨勢(有興趣的同學可以搜索下’http/2’)。

  對百度自身來說,https能夠保護用戶體驗,減少劫持/隱私泄露對用戶的傷害。

  很多人會有疑惑,我沒有被劫持,百度上https有什麽作用,反而讓我變慢了一些。從我們的第一手數據可以看到,劫持的影響正越來越大,在法制不健全的環境下,它被當成一個産業,很多公司以它爲生,不少以此創業的團隊還拿到了風投。等它真正傷害到你的時候,你可能又會問我們爲什麽不做些什麽。所以,我們甯願早一些去面對它。

  https在國內的大型站點目前還只用在部分賬戶的登陸和支付等環節。百度也是國內第一個全站https的大型站點,它的用戶非常多,流量也很大。百度能夠上線https會打消大家的疑慮,對其他國內的站點是很好的示範,這個帶頭作用會顯著加速國內互聯網https的進程,有助于中國互聯網的網絡安全建設。百度作爲搜索引擎,是流量的入口和分發的渠道,後續如果對https的站點內容的抓取,標記,權值傾斜,那麽更能引導互聯網的網站向https進行遷移。

  問題6:https慢不慢?

  

  繁重的計算和多次交互天然的影響了https的訪問速度。。如果什麽優化都不做,https會明顯慢很多。在百度已經進行過很多速度優化的條件下,如果站點本身已經做過常規優化,但是不針對https做優化,這種情況下我們實測的結果是0.2-0.4秒耗時的增加。如果是沒有優化過的站點,慢1秒都不是夢。至于現在慢不慢呢,大家已經體驗了這麽多天了,有感覺嗎?

  答案:A慢死了,你們在做啥?B有些慢啊C還行,基本無感D啥,我已經用了https了?

  是不是選的C或者D?喂喂,選A的那位你打開別的網站慢麽,以前沒有上HTTPS的時候慢麽。。。隔壁老王在蹭你網呢。

  所以,不是慢,是沒有優化。

  問題7:https耗性能嗎?

  

  答案是,握手的時候耗,建好連接之後就不太耗了。按照目前加密強度的計算開銷,服務器支撐握手性能會下降6-8倍,但是如果建立好連接之後,服務器就幾乎可能撐住打滿網卡的https流量了。所以連接複用率的提升和計算性能的優化都是重點。可以閱讀《大型網站的HTTPS實踐(三)–基于協議和配置的優化》

  問題8:劫持有些什麽樣的途經?

  

  你的電腦,你設置的dns,你的浏覽器,你用的網絡,都有可能被劫持。

  簡單和大家介紹下運營商的內容劫持是如何進行的,運營商會分析你的網絡請求,它可以先于網站回包,也能修改數據包的內容。所以它可以讓你跳轉一次,在網址上加上小尾巴,也能在你訪問的頁面彈出小廣告。感興趣的話,還可以通過這篇文章看看你的電腦如何被lsp劫持的《暗雲木馬》

  問題9:https解決了所有劫持問題嗎?

  

  俗話說有終有始,我們來說一說文章開始說的浏覽器上的綠色標記。它標志著這個安全連接可信賴的級別。綠色通常是好的,黃色則是說明有些不安全,例如在https的頁面中加載了http的資源,這樣http的資源還是有被劫持的風險。

  其實客戶端,局域網的風險也很大,惡意插件,木馬可以做很多事情,你使用的路由器,DNS也比較脆弱。如果某個大型網站被標記爲了紅色,那你就更要小心了(當然也可能是某個猴子忘記了續費替換證書,導致證書過期了),你有可能遭受了ssl劫持(中間人攻擊的一種),特別是遇到如下圖提示的時候(訪問一些自己簽名的站點也會有類似的提示)。中間人攻擊還有其他種類的,比如代理你的通信讓你退化http,還可以利用注入根證書,可以讓你浏覽器還是綠色的標記,就問你怕不怕?

  

  

  還是那句話,沒有絕對的安全,但是我們可以盡量降低風險。

  https能夠在絕大部分情況下保證互聯網訪問數據傳輸的安全,這是目前我們力所能及的工作。

  問題10:我應該如何更爽更快切換到https?

  如此強悍有用的https,我也想體驗,在安全的互聯網世界中翺翔,那麽我該怎麽做呢?

  實際上你不需要動手,百度的攻城獅已經體貼的幫你做到了。現在訪問百度試試,我們已經自動切換到https了,再也不用擔心隱私泄露的問題,趕緊來體驗吧!

  另外以下一些技巧能有讓https有更好的性能哦:

  1,使用更高端大氣上檔次的浏覽器(最好是非IE系列的,比如chrome,firefox,safari浏覽器,或者百度等雙核浏覽器的極速模式。

  2,把浏览器首頁或者收藏夹的百度url也换为https://www.baidu.com,可以让你有更快更好的体验。

  3,如何将百度设置成首頁?这里有详细的教程哦http://www.baidu.com/cache/sethelp/help.html

  來源:SEO搜尋引擎優化 - SEO自學網 轉載注明出處!

? 上一篇下一篇 ?   本文關鍵詞: 百度  

評論列表:

站長SEO學院
第一節:百度搜索引擎工作原理
第二節:建設對搜索引擎友好的站點
第三節:如何進行網站內容建設
第四節:整體優化、結構優化、網頁優化
第五節:移動搜索-明確移動搜索優化標准
百度SEO資料文檔
百度搜索引擎優化指南2.0
百度移動搜索優化指南2.0
網站分析白皮書(站長版)
移動站點該如何優化
建設對百度友好的站點
百度搜索引擎網頁質量白皮書
石榴算法-綠蘿算法-冰桶算法
新搜索時代下的優化策略
更多百度SEO資料文檔
站長推薦
DIV+CSS布局實例教程-Web標准
网站SEO優化常见问题汇总
SEO優化推广方案该如何写
SEO優化方案步骤
影響網站關鍵詞排名因素總結
影響谷歌搜索引擎排名的因素調查
手機移動端站點適配優化
最近發表