Vad är HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) är ett internetkommunikationsprotokoll som skyddar integriteten och sekretessen för data mellan användarens dator och webbplatsen. Användare förväntar sig en säker och privat online-upplevelse när du använder en webbplats. Vi uppmuntrar dig att anta HTTPS för att skydda användarnas anslutningar till din webbplats, oavsett innehållet på webbplatsen.,
data som skickas med HTTPS är säkrad via Transport Layer Security protocol (TLS), vilket ger tre viktiga lager av skydd:
- kryptering—kryptering av utbytta data för att hålla den säker från avlyssnare. Det betyder att medan användaren surfar på en webbplats kan ingen ”lyssna” på sina konversationer, spåra sina aktiviteter över flera sidor eller stjäla deras information.
- dataintegritet—data kan inte ändras eller skadas under överföring, avsiktligt eller på annat sätt, utan att upptäckas.,
- autentisering—bevisar att dina användare kommunicerar med den avsedda webbplatsen. Det skyddar mot man-in-the-middle-attacker och bygger användarförtroende, vilket leder till andra affärsfördelar.
bästa praxis vid implementering av HTTPS
använd robusta säkerhetscertifikat
Du måste skaffa ett säkerhetscertifikat som en del av att aktivera HTTPS för din webbplats. Certifikatet utfärdas av en certifikatutfärdare (CA), som vidtar åtgärder för att verifiera att din webbadress faktiskt tillhör din organisation, vilket skyddar dina kunder från man-in-the-middle-attacker., När du konfigurerar ditt certifikat, säkerställa en hög säkerhetsnivå genom att välja en 2048-bitars nyckel. Om du redan har ett certifikat med en svagare nyckel (1024-bit), uppgradera den till 2048 bitar. När du väljer ditt webbplatscertifikat, kom ihåg följande:
använd serversidan 301 omdirigeringar
omdirigera dina användare och sökmotorer till HTTPS-sidan eller resursen med serversidan 301 HTTP-omdirigeringar.
kontrollera att dina HTTPS-sidor kan genomsökas och indexeras av Google
- blockera inte dina HTTPS-sidor av robotar.txt-filer.,
- inkludera inte
noindex– taggar på dina HTTPS-sidor. - använd verktyget URL inspektion för att testa om Googlebot kan komma åt dina sidor.
Support HSTS
Vi rekommenderar att HTTPS-webbplatser stöder HSTS (HTTP Strict Transport Security). HSTS talar om för webbläsaren att begära HTTPS-sidor automatiskt, även om användaren anger http I webbläsarens adressfält. Google uppmanas också att visa säkra webbadresser i sökresultaten. Allt detta minimerar risken för att visa oprioriterat innehåll till dina användare.,
för att stödja HSTS, använd en webbserver som stöder den och aktivera funktionaliteten.
även om det är säkrare, lägger HSTS till komplexitet i din rollback-strategi. Vi rekommenderar att du aktiverar HSTS så här:
- rulla ut dina HTTPS-sidor utan HSTS först.
- börja skicka HSTS-rubriker med en kort
max-age. Övervaka din trafik både från användare och andra kunder, och även beroende av prestanda, till exempel annonser. - öka långsamt HSTS
max-age., -
om HSTS inte påverkar dina användare och sökmotorer negativt kan du, om du vill, be din webbplats att läggas till i listan HSTS förspänning som används av de flesta större webbläsare.
överväga att använda HSTS preloading
om du aktiverar HSTS kan du eventuellt stödja HSTS preloading för extra säkerhet och förbättrad prestanda. För att aktivera förladdning måste du besöka hstspreload.org och följ inlämningskraven för din webbplats.,
Undvik dessa vanliga fallgropar
under hela processen att göra din webbplats säker med TLS, undvik följande misstag:
| problem | åtgärd |
|---|---|
| utgångna certifikat | se till att ditt certifikat alltid är aktuellt. |
| certifikat registrerat till felaktigt webbplatsnamn | kontrollera att du har fått ett certifikat för alla värdnamn som din webbplats tjänar. Till exempel, om ditt certifikat endast täcker www.example.com, en Besökare som laddar din webbplats med bara exempel.,com (utan ” www.”prefix)blockeras av ett fel i certifikatnamnet. |
| stöd för felande servernamn (SNI) | kontrollera att webbservern stöder SNI och att målgruppen använder webbläsare som stöds i allmänhet. Medan SNI stöds av alla moderna webbläsare behöver du en dedikerad IP om du behöver stödja äldre webbläsare. |
| Genomsökningsproblem | blockera inte HTTPS-webbplatsen från genomsökning medrobots.txt. |
| Indexeringsproblem | Tillåt indexering av dina sidor av sökmotorer där det är möjligt., Undvik taggen noindex. |
| gamla protokollversioner | gamla protokollversioner är sårbara; se till att du har de senaste och senaste versionerna av TLS-bibliotek och implementera de senaste protokollversionerna. |
| blandade säkerhetselement | bädda in endast HTTPS-innehåll på HTTPS-sidor. |
| olika innehåll på HTTP och HTTPS | se till att innehållet på din HTTP-webbplats och din HTTPS är densamma. |
| HTTP-statuskodfel på HTTPS | kontrollera att din webbplats returnerar rätt HTTP-statuskod., Till exempel 200 OKför tillgängliga sidor, eller 404eller 410 för sidor som inte finns. |
fler tips
se HTTPS-Migrerings FAQs för fler tips om hur du använder HTTPS-sidor på din webbplats.
Migrera från HTTP till HTTPS
Om du migrerar din webbplats från HTTP till HTTPS, Google behandlar detta helt enkelt som en webbplats flytta med URL-ändringar. Detta kan tillfälligt påverka några av dina trafiknummer. Mer information finns på sidan webbplats flytta översikt.,
Lägg till den nya HTTPS-egenskapen i Search Console: Search Console behandlar HTTP och HTTPS separat: data delas inte mellan Egenskaper i Search Console.
se felsökningssidan för webbplatskarta flyttar till felsökning av problem med migreringen.