博客全程启用 HTTPS 加密
博客全程启用 HTTPS 加密
★引子
沦陷日长假的第一天,俺打算上博客回复读者评论。通常俺会先登录到 Blogger 的管理界面,清理一下被 Google 误判为垃圾广告的读者评论。结果在管理界面的首页,就看到了 Blogger 的最新消息—— HTTPS support coming to Blogspot
可把俺高兴坏了(好几年前,俺就盼着这一天)
在长假的头两天,俺对博客界面做了一些升级(具体下面会说)。第3天观察了一下,看大伙儿有没有碰到啥问题或 Bug,然后今天发一篇“博客通告”,跟大伙儿打个招呼。
★关于 Blogspot 的升级
简而言之,今后搭建在 Blogspot 上的博客,都可以使用 HTTPS 方式访问。原有的 HTTP 方式依然保留,所以实际上同时支持这两种协议。
对于博客的博主,需要先到管理界面,启用一下 HTTPS 的选项,就 OK 了。
★关于俺博客的升级
这两天做了如下几处修改。
( 俺仅仅针对博客的【桌面版】界面进行定制。俺一直没有时间去定制【手机版】的界面 )
◇自动重定向到 HTTPS
如果你以 HTTP 协议打开任何一个博客页面,俺会使用 JS 脚本自动重定向到同一个页面的 HTTPS 协议。
因为俺是基于 JS 实现重定向,如果浏览器禁用了 JS,俺就没辙了。
◇博文中的“站内链接”替换为 HTTPS
博客的老读者应该知道,俺经常在博文中添加交叉链接,方便你从一篇博文跳转到另一篇相关的博文。
当读者点击某个站内链接之后,如果该链接是 http:// 开头的,在新页面打开之后,就会多增加一次跳转。为了节省大伙儿的时间,俺就预先把站内链接全部替换为 https:// 开头。
这个功能是在博文加载时,用 JS 脚本实现的。(该功能同样需要依赖 JS 脚本)
◇评论中的“站内链接”替换为 HTTPS
这个改造跟前一个类似。
因为某些读者可能会在评论中贴出某篇博文的链接,而且是 http:// 开头的。俺也用 JS 脚本统一替换为 https:// 开头
(该功能同样需要依赖 JS 脚本)
◇上述升级的好处
经过上述改造之后,所有的站内链接都是 HTTPS 的。因此, 读者在博客中浏览或者发评论时,网络流量【全都是】加密的 。
★HTTPS 有啥好处?
◇对于网民而言
简而言之,HTTPS 是【强加密】滴。因此,当你浏览 HTTPS 协议的网页,从“你的浏览器”到“目标网站”之间的数据传输,都是强加密的。
传输过程的强加密带来如下好处:
1. 可以防止对你的上网行为的偷窥(术语称为“嗅探”)
举例:
俺博客的读者,大部分都在墙内,因此都是采用翻墙的方式访问本博客。原先 Blogspot 不支持 HTTPS,所以你在俺博客浏览的时候,相关的网络流量,会被翻墙工具看到。如今有了全程 HTTPS 加密,翻墙工具(包括对应的代理服务器或 VPN 服务器)就无法看到你(访问俺博客)的网络流量。
2. 可以防范“流量注入”的攻击行为
举例:
天朝的某些流氓的 ISP 会在你上网的页面中植入广告。他们用的就是“流量注入”的伎俩。
一旦你访问的网站是全程 HTTPS 加密的,ISP 就【无法】针对该网站的内容进行注入。
HTTPS 的底层实现依赖于 TLS/SSL。具体的技术细节可以参见俺的另一个系列《 扫盲 HTTPS 和 SSL/TLS 协议 》(该系列尚未写完)
◇对于站长和博主而言
除了前面提到的安全性,启用 HTTPS 还有助于 SEO。
大约一年前(2014年8月),Google 调整了搜索引擎的算法,提升了 HTTPS 网址的权重。具体介绍参见 Google 的公告(在“ 这里 ”)。
所以,启用 HTTPS 有助于稍微提升一下你的网站在 Google 搜索结果中的排名。
(除了 Google,其它搜索引擎说不定也会采取类似的算法调整)
★你需要做些啥?
◇改一下浏览器书签
如果你曾经在浏览器的“书签/收藏夹”中收录了俺博客,你需要重新修改一下博客对应的网址(把 http:// 改为 https://)
(其实不改的话,也可以照样打开。但是会多一次跳转,多浪费了你一丁点时间)
◇碰到问题的话,给俺反馈
这次升级之后,如果你发现博客界面或功能有啥异样,恳请给个反馈(到博客留言)。俺先行谢过。
★Blogspot 的博主可能会碰到的问题
(如果你【不是】 Blogspot 上的博主,本节就不用看了)
◇已知的限制
Blogspot 有一个“绑定域名”的功能。很多博主用到了这个功能,把 Blogspot 上的博客内容绑定到自己的域名。
根据 Blogger 界面上的提示:在绑定的域名上,【不】支持 HTTPS 的访问。
因为俺博客没有绑定到自己的域名,所以这个限制与俺无关。(当年开博时,因为担心泄露身份,没有购买自己的域名)
◇已知的 Bug
根据俺这两天的观察,发现如下几个问题,有可能是 Blogspot 系统本身的 Bug。
1.
以 HTTPS 方式打开某篇博文,博文评论中的用户头像,有少数还是通过 HTTP 方式载入。这种情况下会导致浏览器给出警告(对于 HTTPS 加密页面中含有非加密的内容,比如图片,浏览器都会在地址栏显示一个警告)。
2.
使用 HTTPS 方式调用评论的 API,得到的 JSON 格式中,某些用户头像的网址,依然是 http:// 开头的。
这几个问题,可能会在几天之后被修复,也可能会一直存在。
俺等不及问题的修复,直接去改了“HTML 模板”中的一段 JS 脚本(这段脚本与加载评论有关),把头像的网址强制替换为 https:// 开头。
如果你也碰到类似问题,可以参考俺的修改——查看俺博客页面源代码,然后搜索: Avatar URL force HTTPS (只要略懂 JS 代码,应该能看明白)
★相关的工具
◇Qualys Lab Tool
这是一个 Web 工具,网址是: https://www.ssllabs.com/ssltest/
该工具可以用来测试任何一个支持 HTTPS 的网站,并给出很详细的技术评估结果(包括潜在的安全隐患)。
◇HTTPS Everywhere
经某热心读者提醒,顺便再推荐一个浏览器扩展—— HTTPS Everywhere
如果某个网站同时支持 HTTPS 和 HTTP(并且该网站包含在它的 ruleset 中),它会强制用 HTTPS 方式访问。
该扩展同时提供 Firefox 版本 和 Chrome 版本 。
补充说明:
为啥 HTTPS Everywhere 要依靠一个规则集,为啥不对任何网站自动检测是否有 HTTPS?其官网的回复在“ 这里 ”
俺博客上,和本文相关的帖子(需翻墙) :
扫盲 HTTPS 和 SSL/TLS 协议 (系列)
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者 编程随想 和本文原始地址:
https://program-think.blogspot.com/2015/10/Blog-Enable-HTTPS.html
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者 编程随想 和本文原始地址:
https://program-think.blogspot.com/2015/10/Blog-Enable-HTTPS.html
文章版权归原作者所有。