为你的网站启用SSL安全证书 2018年全球HTTPS时代已经来了

了解什么是https之前，先看下来自中国政府网的一篇报道《英美政府网站强制要求HTTPS加密》。英国政府发布官方声明，从2016年10月1日起，英国所有政府网站强制使用HTTPS加密连接。2015年6月，美国白宫发布HTTPS-Only标准，要求所有联邦政府公共服务网站在2016年底之前都必须支持和实施HTTPS。是的，2017年成了全球迎来了Https时代。前年开始，淘宝、天猫也启动了规模巨大的数据“迁徙”，目标就是将百万计的页面从HTTP切换到HTTPS，实现互联网加密、可信访问。2017年7月，lazada也完成了全站升级https。

很多人不明白，为什么要从http切换成https？因为HTTPS在HTTP的基础上加入了SSL/TLS协议，依靠SSL证书来验证服务器的身份，并为客户端和服务器端之间建立“SSL加密通道”，确保用户数据在传输过程中处于加密状态，同时防止服务器被钓鱼网站假冒。http采用明文协议传输数据，没有加密数据，所有的通信数据都在网络中明文“裸奔”，通过一些网络嗅探软件或设备，很容易就能抓取到这些数据，所以这也是产生数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。

目前，大部分国际知名网站，特别是政府网站、电商网站、金融网站都会采用https安全证书加密传输数据。当然，这里说的是国外的网站，与国内无关。虽然国内也会反复提到信息安全 ，但更多的是体现在公文和报告上，至少到目前为止，99%政府网站都没有启用https，当然，也许你听说过，涉及到信息安全，政府网站是不允许使用国外的SSL安全证书的，所以干脆就裸奔了？不信？你随便找一个政府的官方网站，看看我说的对不对?然后，我试着搜索了下，然后找到了下面这个网站。

HTTP 传输面临的风险有：

（1） 窃听风险：黑客可以获知通信内容。

（2） 篡改风险：黑客可以修改通信内容。

（3） 冒充风险：黑客可以冒充他人身份参与通信。

相比HTTP，HTTPS 传输更加安全

（1） 所有信息都是加密传播，黑客无法窃听。

（2） 具有校验机制，一旦被篡改，通信双方会立刻发现。

（3） 配备身份证书，防止身份被冒充。

我相信，绝大部分人都有过这样的体验。当你在访问某一网站时，突然弹出了一些莫名其妙的广告，而广告也根本就不是这个网站的。是的，这就是http传输的数据被篡改所导致的，最爱干这事的不是别人，就是你的移动电信联通运营商。而这些运营商一边收着你的宽带费，一边还一个劲的给你塞各种各样的垃圾广告。于是，众多知名的互联网公司只能一边声明谴责，一边升级https方式，来避免被劫持。

作为跨境电商卖家，一定也不能忽视数据安全。虽然晨飞博客以文字内容展现为主，没有涉及到过多的数据传输。但在全球HTTPS时代，晨飞博客还是将http升级为了https。用知乎的话说：“面临日益复杂的互联网环境，以及日益严重的隐私泄露问题，我们希望通过技术上的努力，给大家提供更安全的服务和更好的体验。”

网络安全形势日益严峻，地下黑色产业链的成熟活跃，这绝不是什么危言耸听。目前，大街上的各大商铺、餐馆、咖啡厅、银行、公交车、火车站，机场都会提供免费的WIFI给大家使用，当然，我们看到的是便民，看到的是服务。但是，对于这些免费的WIFI，晨飞从不使用并且建议大家也不要去连接和使用这些WIFI。原因很简单，这类WIFI毫无安全可言。淘宝上，可以很方便的购买到，利用移动电源供电的可移动WIFI，只需在设备上稍微动点手脚，即可模拟出某某公共WIFI，而当你在连接使用时，所有传输的数据都会以明文方式被偷偷的保存在WIFI里面。https一定程度上可以加密这些数据，防止被窃听篡改。但目前国内又有多少网站把https当回事呢？所以，在如此糟糕的网络安全环境，公共WIFI毫无安全可以。重要的事情说三遍，不要连免费公共WIFI,不要连免费公共WIFI,不要连免费公共WIFI。

如何将你的网站免费升级为https？

是的，这里说的是免费。ssl安全证书也有付费的。namecheap提供了10几种不同的安全证书,正如它的名字一样,在这个网站上你可以购买到价格便宜的安全证书。所以,对于一些商业型的网站比如网络商城可以到namecheap上购买证书。个人博客没有涉及到什么用户数据交互,数据被窃听篡改的风险比较小,所以为此购买付费安全证书是有点奢侈的。这里给大家推荐一家免费的SSL安全证书提供机构-Let’s Encrypt。

Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. It is a service provided by the Internet Security Research Group (ISRG).

Let’s encrypt 签发的免费SSL证书，被大多数浏览器信任为绿色安全证书，Let’s Encrypt推动 HTTPS 在小型网站和个人网站中的应用，加速全面 HTTPS 时代的到来。

你可以直接到Let’s encrypt官方网站申请免费的SSL安全证书，3个月一次续签。但Let’s encrypt 更多的是在基于在VPS、服务器中的部署，对不熟悉Linux的网友部署起来稍显麻烦。那么你可以登录https://www.sslforfree.com 网站在线获取SSL证书，几分钟就能部署到虚拟主机、VPS服务器站点中。如何部署，网上有很多这类教程，这里就不多写了，请自行搜索。

SSL安全证书进行全站HTTPS加密的好处

(1)保障用户隐私信息安全：SSL证书让网站实现加密传输，可以很好的防止用户隐私信息如用户名、密码、交易记录、居住信息等被窃取和纂改。比如电商网站安装SSL证书，就可以有效保障你登录电商网站支付时提交的用户名密码的安全。

(2)帮助用户识别钓鱼网站：SSL证书可以认证服务器真实身份，可以有效的区别钓鱼网站和官方网站。网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

(3)利于网站SEO优化：因为部署了SSL证书的网站相比没有部署SSL证书的网站更加可信，更加安全，可以有效的保障用户的利益不受侵害。因此搜索引擎如谷歌，百度站在确保用户信息安全的角度，都在大力倡导网站部署SSL证书实现https加密访问。在搜索、展现、排序方面也给予部署了SSL证书网站优待。

(4)提升公司品牌形象和可信度：网站部署SSL证书，让您的网站与其他网站与众不同。部署了SSL证书的网站会在浏览器地址栏显示https绿色安全小锁，如果是部署的EV SSL证书还会显示绿色地址栏和单位名称。可告诉用户其访问的是安全、可信的站点，可以放心的进行操作和交易，有效提升公司的品牌信息和可信度。