你与网站建立的链接并非完全安全？建议全站开启https

本文链接：https://blog.csdn.net/txr152111/article/details/126215069

新手站长即便安装了SSL证书，可能在用谷歌浏览器打开网站有个灰色警告，提示“您与此网站之间建立的连接并非完全安全”，甚至有人会出现红色警告“不安全”，提示“您与此网站之间建立的连接不安全”，出现这种情况的原因每个人的都可能不一样，因此我们需要提供这类问题的通用方法，而不是针对某一种原因的具体方法。

为什么并非完全安全？

如果HTTPS页面包含通过常规明文HTTP检索的内容，则连接仅被部分加密：嗅探者可以访问未加密的内容，并且中间人攻击者可以修改未加密的内容，因此该连接不再受保护。。当网页显示此行为时，它称为混合内容页面。也就是说，可能在你的这个页面里既有https也有http这两种混搭的情况。为什么会出现这样的情况呢？

例如，大家都知道大名鼎鼎的七牛云，在国内算是一个老牌子的CDN/云存储的厂家了。本站也是用七牛云当图床的。在七牛云的一个免费额度里，就有http和https的价格区分。想要使用免费的额度，就不能配置https域名，我个人觉得这一点也是比较坑人的。

之前我就是用的http链接，然后总是提示“你与网站建立的链接并非完全安全”，虽然没有什么影响，但是看着还是有点奇怪和不舒服。

这里就自然说到了https和http的问题。之前我也写过相关的文章，介绍https加密的事情，这里不再赘述：

站长应该知道的http和https知识_个人博客站长如何选择免费的SSL证书

如何判断SSL证书的安全性高低？越贵越好？懂点原理会少花冤枉钱

这里，我建议全站的所有链接都开始https，下面我详细说说原因。

HTTPS拥有更高的用户信息安全度

HTTPS主要通过在SSL上传输数据来区分HTTP，确保传输的数据在传输过程中被加密，只有相应站点服务器或用户浏览器接收时才能被解密，HTTPS通过这种方式避免了第三方拦截。

同时，HTTPS提供可信的服务器认证，这是一套黑客不能随意篡改的认证信息，使相关用户确定他们正与正确的服务器通信。没有全站升级HTTPS的网站使一些页面在HTTP中可用，而其他页面在HTTPS中可用，或在HTTPS中呈现HTML文档。

通过HTTP或不安全的CDN服务加载其他资源（例如JS或CSS文件）的网站也存在敏感用户信息暴露的风险。使整个站点只能通过HTTPS访问是防止这种风险简单的方法。

网站存在HTTPS和HTTP两种协议时，跳转需对服务器进行了大量的重定向 。仅部分升级为HTTPS的网站，网站内部的HTTP页面在错误的协议中请求页面时要求站点服务器触发301重定向，这是服务器上的漏洞，当这些重定向被触发时会减慢页面加载速度。

非全站https导致搜索可见性降低

运行部分升级HTTPS网站需要以HTTP和HTTPS两种方式管理整个网站，并且需要仔细、精确地控制重定向。网站很容易在两个协议中被一个或多个网页解析，导致搜索引擎抓取和索引出单个网页的两个版本，从而导致网页的搜索可见性降低（因为搜索引擎会认为这两个网页相互竞争）。

即使没有这种风险，搜索引擎有时会索引某些上文提及的错误协议的网页，从而对点击进入的用户进行不必要的重定向，反过来造成了不必要的服务器压力，稀释了搜索权限并减慢网页加载速度。

由于处理个人身份信息的网页大多会使用HTTPS，不可避免的会让一个网站同时拥有HTTPS和HTTP两种协议，因此选择全站HTTPS升级而不是仅仅升级个人身份信息网页将避免如上情况发生。

HTTPS可以更准确地传输引用字符串数据

HTTP网站经常被拒绝访问由HTTPS网站引用的字符串数据，因为HTTP网站不是HTTPS网站的数据发送目标网站。另一方面，HTTPS网站会谨慎对待访问不安全网站获得的可识别信息，来避免引发不必要的故障。因此，HTTP网站的多次推荐访问最终会被网站分析错误地归类为直接访问。而全站升级HTTPS后，推荐访问中将会减少引荐来源为HTTP网址的字符串，使得网站分析更准确。

个人站长如何选择SSL证书？

http与https之间就是相差个SSL证书。那么个人站长如何选择SSL证书呢?

我以前推荐过个人站长选择免费的SSL证书：Typecho个人博客SSL证书不够用的N种免费解决方案

现在个人站长常用的证书莫过于有数量限制的TrustAsia和有时间限制的Let's Encrypt。

现在一些国产的SSL证书厂家也在开始崛起。

如果你不放心上面的那些免费的SSL证书（毕竟有句话叫“免费的就是最贵的”），可以试试这款国产自主品牌JoySSL证书，个人觉得算是所有证书里面最便宜的了，只要一百多一年，看了看那些主流的SSL证书，动不动就几千块钱甚至上万一年，感觉实在是伤不起呀。并且支持90天免费试用(偷偷告诉你个秘密，可以免费无限续签，有点像Let's Encrypt的操作)，甚至包括多域名证书和通配符证书（真的是很不容易了，一般免费的不会有这个套餐，都是针对单域名可以免费）。

免费SSL申请地址：永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL