标签归档:HTTPS

全面进入HTTPS加密时代

HTTPS SSL

新年来临,也有些新变化。在网站方面,我把我所有能换成HTTPS SSL的网站都迁移到了HTTPS SSL——包括我帮忙制作的英国湘味情中餐馆网站,全面加速进入到HTTPS加密时代。

本次升级为HTTPS主要借助于CloudFlare的免费HTTPS证书。由于这些网站也不再使用Media Temple的主机服务,于是改用了更为小众的戈戈主机,流量方面不再宽裕,安全性能方面也不得而知,于是也像土木坛子这个网站一样,启用了CloudFlare的CDN全球加速,再配合HTTPS+HSTS加密,HTTP/2功能也能启用。

因此,使用CloudFlare全球CDN后,可以最大限度提高网站的访问速度,并且节省源主机CSS, JS和图片等静态文件的流量,CloudFlare的反代理DNS能够隐藏源主机IP,进一步提高主机安全性。当然CloudFlare也不是没有缺点,CloudFlare免费CDN下面的HTTPS SSL证书不支持一些过时的浏览器。不过我觉得这些浏览器用户所占比例不大,没有必要迁就他们。

升级到HTTPS后,再到Google网站管理中心更新了一下,很快就收录了新的HTTPS链接。Google对HTTPS的支持力度实在是不一般。

CDN升级成收费CloudFlare Pro套餐

Switzerland

从昨天开始,土木坛子启用CloudFlare的收费CDN服务Pro套餐,就当九周岁的一个礼物。

使用收费服务后,好处是可以使用收费的功能。移动设备优化,更快的DNS解析速度(英国只有8 ms)图片压缩加速,更勤快的缓存频率,共享IP的网站数量更少(以前免费账号下面同IP下面甚至有擦边球网站),HTTPS SSL证书支持更多浏览器型号——IE 7也支持了,大部分RSS订阅服务也恢复正常

应该说,CloudFlare的免费账号提供的功能其实已经够好。我只是觉得不付费,有点占人家便宜的感觉,因为我一直觉得“免费的东西经常是最贵的”,所以我之前在网站下面标注:感谢CloudFlare提供全球CDN加速。现在可以心安理得地去掉这行致谢了。交了保护费后,理论上服务总应该比免费好。

那之前为什么不加入收费套餐?原因是CloudFlare不太合理的收费制度,每个账号下面,第一个域名20美元一个月,第二个是5美元。于是,我忽悠中文博客界的土豪——赖博士加入,然后,我以第二个域名加入,那样就是5美元。

我本来就这么随便一说,没想到,他第二天就炫耀地跟我说,他三个网站都升级到收费的CloudFlare,并且还将我这个提议变成了商机,他说,谁想加入收费的CloudFlare,挂在他的账号下面,他收费10美元什么的,大家共赢……这精明的福建人,难怪成土豪,中文博客界的人生赢家。

结果,我就占了他便宜,也升级到CloudFlare收费的CDN,赖博士说:高大上。至少,在被ICDSoft踢出后,土木坛子也只能找CDN才能维持下去。

现在土木坛子在网站上每年的投入资金也不小,每个月20多美元的主机费,再加上域名、SSL证书费用,现在又用上收费的CDN。在我还有钱把它撑下去时,尽力撑下去。

赖博士说,为兴趣爱好花这点钱,比上红灯区嫖强多了,说得他好像干过那事似的……话糙理不糙,坚持写博客的男人都是好男人,那写博客的女人呢?至少能找到好男人吧。

网站开启HSTS严格HTTPS功能并加入HSTS Preload List

HSTS-HTTPS.jpg

从今天开始,土木坛子开启HSTS(HTTP Strict Transport Security)严格强制HTTPS SSL功能。

我一直支持HTTPS,在启用全站HTTPS后,用301的方式将所有HTTP访问请求自动转成HTTPS加密。但这种服务器端301的方式,并不能阻止浏览器到服务器之间HTTP链接被截持,因为此时的通信,并不是HTTPS。

启用HSTS协议后,在初次访问HTTPS后,用户在浏览器中再输入HTTP链接,浏览器本身会将HTTP链接自动转成HTTPS,会更加全面保护访问者的隐私,例如,没有人能在网络上截取你访问过土木坛子上关于艳照门的博文。

显然,使用HSTS的前提条件有两个,用户必须在之前成功用HTTPS访问过网站,浏览器支持HSTS协议。

这个功能实际意义并不是特别大,它相当于解决这么一个问题,以前需服务器端301跳转HTTP到HTTPS实现的功能现在直接在浏览器端自动完成,代替人工输入HTTPS链接——当然也可以用HTTPS Everywhere插件实现。

对于土木坛子倒是有一点小实用,如果你身在某国,你现在支持HSTS协议的浏览器里(Chrome, Firefox, Safari, IE 11+, Opera),直接输入 tumutanzi.com 或 www.tumutanzi.com,能实现访问了,浏览器自动将链接变成 https://tumutanzi.com,而在今天之前是不行的,tumutanzi.com 在到达服务器之前就已经被某墙截断通信。

其实我倒不是主要在乎这个好处,而是出于对新技术的好奇,有了新技术又能轻松支持,为什么不支持呢?相反,对于老旧的技术,比如Windows XP下的IE浏览器不支持SNI,本网站现在就不支持访问。

HTTPS现在普及得越来越快,百度支持收录HTTPS网站后,现在百度里搜索“土木坛子”,也能打得开结果了。原来不支持HTTPS的FeedBurner也支持烧录HTTPS的RSS Feed了(似乎Google还没有忘记FeedBurner这个项目,但谁知道它哪天会杀了它呢?FeedSky域名都打不开了),比如:https://feeds.feedburner.com/tumutanzi 又可以更新了。

我实现HSTS的方法由CloudFlare提供——CloudFlare不仅仅提供CDN功能,在设置中直接开启即可。使用Apache或者Nginx服务器的朋友随便Google一下应该很容易配置好。

配置好HSTS后,还可申请加入浏览器HSTS Preload List [Mozilla, Chromium],申请地址:https://hstspreload.appspot.com/,申请成功后(2015年7月28日更新:土木坛子域名成功被收录,更新2015年10月16日:Chrome更新到46版本后,土木坛子这个域名就正式开始内置强制HTTPS加密了),全球所有主流浏览器都会内嵌你的域名(Chrome, Firefox, Safari, IE 11+等),解决第一次HTTP的问题,你的域名自始至终都将自动使用HTTPS协议。

如果没有HSTS列表的话,就只能借助HTTPS Everywhere List了,已有好心人把土木坛子的域名 tumutanzi.com 收录到HTTPS Everywhere List里面了。

百度终于支持收录HTTPS SSL加密网站

去年我预言:“估计百度在不久的将来可能完全支持索引收录HTTPS网站”,现在预言实现。昨天百度发布收录HTTPS站点公告

亲爱的网站管理员:

从今天开始,百度放开对HTTPS站点的收录,HTTPS站点不需要再做任何额外的工作就可以被百度顺利抓收。

在此之前,百度站长学院曾发表文章,指导HTTPS站点制作http可访问版便于百度抓收。技术升级后,百度视同一个域名的http版和HTTPS版为一个站点,优先收录HTTPS版。建议站长关闭HTTP版,或者将HTTP页面直接跳转到对应的HTTPS页面。

我一般不太关注百度,因为百度代表落后、保守的搜索引擎。现在看来,百度也被不断进步的网络技术推着前进。

之前我就发现百度开始收录土木坛子,估计就在试水收录HTTPS网站。后来,百度开启了其自身的HTTPS功能,虽然未必是出于保护用户的隐私目的,但即使是为了保护它的竞价搜索利益,开启HTTPS也是可取的。

现在百度又全面支持收录HTTPS网站,向Google甚至国内其它小搜索引擎看齐,这将进一步推动互联网HTTPS加密化进程。

毕竟百度是中文搜索引擎目前的龙头老大,百度倒向HTTPS,将促使更多的中文网站采用HTTPS加密,由于HTTPS SSL证书的费用,百度这一举动甚至可能减少垃圾采集网站的数量,当然将来有免费的HTTPS证书后又可能是另外一回事。

无论百度出于什么目的,百度在开启自身HTTPS搜索后,又支持收录HTTPS网站,这是一个值得称赞的行为,我觉得也是互联网历史上值得记录的一天。

国内还能用Google Analytics和AdSense吗?

Google搜索和Gmail在中国大陆很久就不能用了。但服务于网站的统计分析Google Analytics和广告展示AdSense呢?是不是在国内也无法使用了?其实,这两个服务在国内都能正常工作。

我所有的网站都使用了Google Analytics统计分析和AdSense广告展示。Google Analytics一直都能正常地为统计来自国内的访问情况,和统计国外的情况没有任何差别。当然,我也只能选择Google Analytics服务,因为它本身支持HTTPS SSL协议,国产的统计服务JS都只有HTTP代码。

另外,Google Analytics统计信息很详细,并支持全球范围统计,精确到城市,强大的实时统计功能方便查看突发访问流量。而国产的网站统计(百度统计)都只能将所有中国以外的统计分为“国外”。我的访问量只有四分之一来自中国大陆,我不可能选择一个没有国外统计分析的服务。

我用VPN的国内IP访问过我的网站,在PC端发现Google AdSense广告加载没有问题(也支持HTTPS),只是时间有点长,手机端有时候会有问题。也有朋友说,Google AdSense文字广告中的字体来自Google字体,导致加载失败。但总体来讲,Google AdSense广告在大部分情况下还是能显示。我的Google AdSense广告收入报告中也一直有相当一部分的中国大陆点击——只是点击单价比欧美的差很多。

事实上,Google搜索和Gmail因为服务器在中国大陆以外,导致现在全面被墙,但统计分析Google Analytics和广告展示AdSense在北京有服务器,JS代码很可能就是来自墙内,再加上这两个服务不涉及到内容审查的问题,因此墙的影响会小很多。

Google Analytics和广告展示AdSense代码本身支持异步加载,对网页自身加载速度影响不大。用Google Analytics和广告展示AdSense的用户也不少,加载一次JS代码后,再次加载会调用缓存,对速度的影响就更小了。Analytics和AdSense还有手机客户端(苹果iOS,安卓Android),方便网站主查看统计和广告收入报告。

因此,国内用户如果想用Google Analytics和AdSense服务,完全可以放心使用。