為什麼非全站更新HTTPS不可？

更新HTTPS已經是大勢所趨，但仍有大量網際網路企業猶豫是否要全站更新HTTPS，為此本文梳理了全站更新HTTPS與部分更新HTTPS的優劣勢對比，來判斷是否真的有必要進行全站HTTPS更新。

HTTPS主要通過在SSL上傳輸資料來區分HTTP，確定傳輸的資料在傳輸過程中被加密，隻有相應站點伺服器或使用者浏覽器接收時才能被解密，HTTPS通過這種方式避免了第三方攔截。 

同時，HTTPS提供可信的伺服器認證，這是一套黑客不能随意篡改的認證資訊，使相關使用者确定他們正與正确的伺服器通信。沒有全站更新HTTPS的網站使一些頁面在HTTP中可用，而其他頁面在HTTPS中可用，或在HTTPS中呈現HTML文檔。 

通過HTTP或不安全的CDN服務加載其他資源（例如JS或CSS檔案）的網站也存在敏感使用者資訊暴露的風險。使整個站點隻能通過HTTPS通路是防止這種風險最簡單的方法。 

網站存在HTTPS和HTTP兩種協定時，跳轉需對伺服器進行了大量的重定向 

僅部分更新為HTTPS的網站，網站内部的HTTP頁面在錯誤的協定中請求頁面時要求站點伺服器觸發301重定向，這是伺服器上的漏洞，當這些重定向被觸發時會減慢頁面加載速度。 

運作部分更新HTTPS網站需要以HTTP和HTTPS兩種方式管理整個網站，并且需要仔細、精确地控制重定向。網站很容易在兩個協定中被一個或多個網頁解析，導緻搜尋引擎抓取和索引出單個網頁的兩個版本，進而導緻網頁的搜尋可見性降低（因為搜尋引擎會認為這兩個網頁互相競争）。 

即使沒有這種風險，搜尋引擎有時會索引某些上文提及的錯誤協定的網頁，進而對點選進入的使用者進行不必要的重定向，反過來造成了不必要的伺服器壓力，稀釋了搜尋權限并減慢網頁加載速度。 

由于處理個人身份資訊的網頁大多會使用HTTPS，不可避免的會讓一個網站同時擁有HTTPS和HTTP兩種協定，是以選擇全站HTTPS更新而不是僅僅更新個人身份資訊網頁将避免如上情況發生。 

Google在2014年8月宣布在搜尋結果中優先顯示已更新HTTPS的網頁。2015年，HTTPS和搜尋結果顯示優先級的相關性變得有統計學意義，SearchMetrics當時獨立驗證分析驗證結果如下圖：

搜尋引擎優化後的HTTPS VS HTTP 網站的 SSL／TLS 加密排名

從上圖可以看出，當一個網站完全更新到HTTPS後：HTTPS會向Google發送更高品質的網站資訊。 上文描述過混合協定網站的漏洞，是以，選擇将整個網站更新為HTTPS，而不是為個人身份資訊專用網頁保留HTTPS網頁，會向公衆表明該網站非常重視使用者安全。 

這意味着，是否全站更新HTTPS将影響使用者對網站權威性的評估，同時擁有更高的搜尋可見性。同時，HTTPS是使用HTTP / 2協定的先決條件，HTTP / 2協定仍在不斷完善，預計在未來幾年會出現爆炸性增長，因為該技術大大降低了頁面負載時間和延遲，加快了HTTPS網頁加載速度。 

HTTP網站經常被拒絕通路由HTTPS網站引用的字元串資料，因為HTTP網站不是HTTPS網站的資料發送目标網站。 另一方面，HTTPS網站會謹慎對待通路不安全網站獲得的可識别資訊，來避免引發不必要的故障。是以，HTTP網站的多次推薦通路最終會被網站分析錯誤地歸類為直接通路。而全站更新HTTPS後，推薦通路中将會減少引薦來源為HTTP網址的字元串，使得網站分析更準确。 

一文讀懂 HTTP/2 特性 

詳解又拍雲 CDN 全站 HTTPS 通路優化

又拍雲 OV & EV SSL 證書服務一覽