Hvad er HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) er en internet-kommunikationsprotokol, der beskytter integriteten og fortroligheden af data mellem brugerens computer og webstedet. Brugere forventer en sikker og privat online oplevelse, når de bruger et websiteebsted. Vi opfordrer dig til at vedtage HTTPS for at beskytte dine brugeres forbindelser til dit websiteebsted, uanset indholdet på siteebstedet.,
Data sendt ved hjælp af HTTPS er sikret via transport Layer Security protocol (TLS), som giver tre centrale lag af beskyttelse:
- kryptering—kryptering af de udvekslede data for at holde det sikkert fra aflytning. Det betyder, at mens brugeren gennemser et websiteebsted, ingen kan” lytte ” til deres samtaler, spore deres aktiviteter på tværs af flere sider, eller stjæle deres oplysninger.
- dataintegritet-data kan ikke ændres eller beskadiges under overførsel, forsætligt eller på anden måde, uden at blive opdaget.,
- autentificering-beviser, at dine brugere kommunikerer med det tilsigtede websiteebsted. Det beskytter mod man-in-the-middle-angreb og bygger brugertillid, hvilket oversætter til andre forretningsfordele.
bedste praksis ved implementering af HTTPS
brug robuste sikkerhedscertifikater
Du skal have et sikkerhedscertifikat som en del af at aktivere HTTPS til dit .ebsted. Certifikatet udstedes af en certificate authority (CA), som tager skridt til at kontrollere, at din addressebadresse faktisk tilhører din organisation, og dermed beskytte dine kunder mod man-in-the-middle-angreb., Når du opretter dit certifikat, skal du sikre dig et højt sikkerhedsniveau ved at vælge en 2048-bit nøgle. Hvis du allerede har et certifikat med en svagere nøgle (1024-bit), skal du opgradere det til 2048 bit. Når du vælger dit certificateebstedscertifikat, skal du huske følgende:
brug omdirigeringer på serversiden 301
Omdiriger dine brugere og søgemaskiner til HTTPS-siden eller ressourcen med server-side 301 HTTP-omdirigeringer.
Kontroller, at dine HTTPS-sider kan gennemsøges og indekseres af Google
- bloker ikke dine HTTPS-sider med robotter.t filest-filer.,
- Medtag ikke
noindextags på dine HTTPS-sider. - brug URL-Inspektionsværktøjet til at teste, om Googlebot kan få adgang til dine sider.
Support HSTS
Vi anbefaler, at HTTPS-.ebsteder understøtter HSTS (Http Strict Transport Security). HSTS fortæller browseren at anmode HTTPS sider automatisk, selv hvis brugeren indtaster http i browserens adresselinje. Det fortæller også Google at vise sikre Urebadresser i søgeresultaterne. Alt dette minimerer risikoen for at vise usikret indhold til dine brugere.,
for at understøtte HSTS skal du bruge en .ebserver, der understøtter den og aktivere funktionaliteten.
selvom det er mere sikkert, tilføjer HSTS kompleksitet til din rollback-strategi. Vi anbefaler at aktivere HSTS på denne måde:
- rul dine HTTPS-sider ud uden HSTS først.
- begynd at sende HSTS-overskrifter med en kort
max-age. Overvåg din trafik både fra brugere og andre klienter, og også pårørende’ ydeevne, såsom annoncer. - Langsomt øge HSTS
max-age., -
Hvis HSTS ikke påvirker dine brugere og søgemaskiner negativt, kan du, hvis du ønsker det, bede dit siteebsted om at blive føjet til HSTS preload-listen, der bruges af de fleste større bro .sere.
overvej at bruge HSTS preloading
Hvis du aktiverer HSTS, kan du eventuelt understøtte HSTS preloading for ekstra sikkerhed og forbedret ydeevne. For at aktivere forudindlæsning skal du besøge hstspreload.org og følg kravene til indsendelse til dit siteebsted.,
Undgå disse almindelige faldgruber
Hele processen med at gøre dit websted sikker med TLS, skal du undgå følgende fejl:
| Problem | Handling |
|---|---|
| Udløbne certifikater | sørg for, at dit certifikat er altid up to date. |
| certifikat registreret til forkert websiteebstedsnavn | Kontroller, at du har fået et certifikat for alle værtsnavne, som dit .ebsted tjener. For eksempel, hvis dit certifikat kun dækker www.example.com, en besøgende, der indlæser dit .ebsted ved hjælp af blot eksempel.,com (uden “w…”præfiks) vil blive blokeret af et certifikat navn mismatch fejl. |
| manglende servernavnindikation (SNI) support | sørg for, at din webebserver understøtter SNI, og at dit publikum generelt bruger understøttede bro .sere. Mens SNI understøttes af alle moderne bro .sere, har du brug for en dedikeret IP, hvis du har brug for at understøtte ældre bro .sere. |
| Gennemsøgningsproblemer | bloker ikke dit HTTPS-siteebsted fra gennemsøgning ved hjælp afrobots.txt. |
| indeksering spørgsmål | Tillad indeksering af dine sider ved søgemaskiner hvor det er muligt., Undgå noindex tag. |
| gamle protokolversioner | gamle protokolversioner er sårbare; sørg for, at du har de nyeste og nyeste versioner af TLS-biblioteker, og implementer de nyeste protokolversioner. |
| blandede sikkerhedselementer | Integrer kun https-indhold på HTTPS-sider. |
| andet indhold på HTTP og https | sørg for, at indholdet på dit http-.ebsted og din HTTPS er det samme. |
| HTTP statuskode fejl på https | Kontroller, at dit websiteebsted returnerer den korrekte HTTP-statuskode., For eksempel 200 OK for tilgængelige sider, eller 404 eller 410 for sider, der ikke eksisterer. |
flere tip
se Ofte stillede spørgsmål om https-migration for flere tip til brug af HTTPS-sider på dit .ebsted.
migrering fra HTTP til https
Hvis du migrerer dit siteebsted fra HTTP til HTTPS, behandler Google dette blot som et moveebstedsflytning med URL-ændringer. Dette kan midlertidigt påvirke nogle af dine trafiknumre. Se overviewebstedet Flyt oversigtsside for at få mere at vide.,
tilføj den nye https-ejendom til Search Console: Search Console behandler HTTP og HTTPS separat: data deles ikke mellem egenskaber i Search Console.
se siden fejlfinding for sitemap flytter til fejlfinding problemer med din migrering.