V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
PythonKGB
V2EX  ›  问与答

你们觉得,个人博客站点有没有必要增加 HTTPS 啊?

  •  
  •   PythonKGB · 2017-12-01 16:21:32 +08:00 · 12526 次点击
    这是一个创建于 2574 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在,站长们做 HTTPS 已经成为浪潮了,毕竟免费的证书那么多。

    国外的站点自不必说,自带 ssl

    国内的阿里云,不会设置的也可以通过 CDN 做半路 https 跳转,只需要一些 CDN 费用。

    很多人想做,但真的有必要吗?值得考量。

    你们的态度是什么?

    第 1 条附言  ·  2017-12-01 17:20:52 +08:00
    举个例子,我自己的网站。

    用的是阿里云的独享虚拟主机,有独立 IP,并不支持加锁,但可以通过 CDN 做半路 HTTPS 跳转,变相解决问题。

    只是要付出额外的 CDN 费用。

    这个过程中啥都不需要,只用点点鼠标就好。

    如果你用的阿里云轻应用用服务器,甚至可以一键开启,更无脑了,只是贵而已。
    105 条回复    2017-12-04 11:28:31 +08:00
    1  2  
    CreSim
        1
    CreSim  
       2017-12-01 16:28:14 +08:00   ❤️ 1
    有一把绿锁看着好看,就够了。
    noe132
        2
    noe132  
       2017-12-01 16:37:52 +08:00 via Android
    好看+1。另外 https 有时真的有用。
    ofnh
        3
    ofnh  
       2017-12-01 16:39:12 +08:00 via Android
    好看+2,可以装逼
    yangtukun1412
        4
    yangtukun1412  
       2017-12-01 16:39:23 +08:00
    1. 逼格.
    2. 防劫持插广告.
    tianshuang
        5
    tianshuang  
       2017-12-01 16:40:20 +08:00
    大势所趋
    Junichi
        6
    Junichi  
       2017-12-01 16:40:34 +08:00
    反正免费的 加上去也不浪费很多时间。
    AsherG
        7
    AsherG  
       2017-12-01 16:40:52 +08:00
    好看+2
    而且 let's encrpt 的 certbot (好像是这个名字)基本上就是傻瓜式的申请证书了(虽然我已经迁到主机壳上去了
    760974873
        8
    760974873  
       2017-12-01 16:41:34 +08:00 via Android
    好看,心理感觉好。尤其是用 chrome 时。
    mokeyjay
        9
    mokeyjay  
       2017-12-01 16:42:59 +08:00
    好看
    0ZXYDDu796nVCFxq
        10
    0ZXYDDu796nVCFxq  
       2017-12-01 16:43:07 +08:00 via iPhone
    几乎所有 HTTP 都改成 HTTPS 了
    包括家里内网的服务
    mokeyjay
        11
    mokeyjay  
       2017-12-01 16:43:41 +08:00
    好看
    提升逼格
    免费,不要白不要
    确实有用,例如搜索引擎排名、防劫持等
    chengluyu
        12
    chengluyu  
       2017-12-01 16:43:52 +08:00
    不像别人看的时候被劫持加入广告……
    q409195961
        13
    q409195961  
       2017-12-01 16:45:57 +08:00
    DoraJDJ
        14
    DoraJDJ  
       2017-12-01 16:46:03 +08:00
    防劫持
    求个安全感
    dallaslu
        15
    dallaslu  
       2017-12-01 16:52:03 +08:00
    一个简单的绿锁图标哪里好看了?还有「逼格」,动辄这也提升逼格、那也提升逼格,你们的人生里只有装逼吗?

    个人博客用 https 有两个成本,一个是维护,一个是所需的独立 ip 等投入。好处很多,至少在部署 https 学到些知识和理念就已经很值得了。
    tSQghkfhTtQt9mtd
        16
    tSQghkfhTtQt9mtd  
       2017-12-01 17:13:18 +08:00 via Android
    @dallaslu acme.sh 自动维护证书,独立 IP。。。您知道 SNI 么?
    PythonKGB
        17
    PythonKGB  
    OP
       2017-12-01 17:21:37 +08:00
    @q409195961 我这看着是加锁的。
    150
        18
    150  
       2017-12-01 17:22:43 +08:00
    https 会不会增加 web 负载?
    听说静态文件会每次都加载,如果是 http 的话静态文件浏览器会有缓存。
    MonoLogueChi
        19
    MonoLogueChi  
       2017-12-01 17:23:42 +08:00 via Android
    虽然好看,但是小绿锁有的时候会变成大麻烦。
    feng1234
        20
    feng1234  
       2017-12-01 17:24:32 +08:00
    当然要加,国内劫持太厉害了
    Haiwx
        21
    Haiwx  
       2017-12-01 17:25:34 +08:00
    HTTPS --> HTTP/2 & Service Workers
    PythonKGB
        22
    PythonKGB  
    OP
       2017-12-01 17:27:41 +08:00
    @150 http 握手要 3 个包,https 要 12 个包,速度肯定是降低的。但是,也没啥。
    PythonKGB
        23
    PythonKGB  
    OP
       2017-12-01 17:28:00 +08:00
    @MonoLogueChi 举个例子呗大侠
    xratzh
        24
    xratzh  
       2017-12-01 17:40:56 +08:00
    HSTS 和 HTTPS 都交给 cf 了
    loading
        25
    loading  
       2017-12-01 17:43:44 +08:00
    没必要强求。
    hanai
        26
    hanai  
       2017-12-01 17:46:30 +08:00
    很有必要哦,http2 可以提高并发请求数,页面载入更快了
    initialdp
        27
    initialdp  
       2017-12-01 17:48:47 +08:00
    有必要。國内各種劫持,不能忍。
    whypool
        28
    whypool  
       2017-12-01 18:06:44 +08:00
    加了,反正免费;
    好看+10086
    wclebb
        29
    wclebb  
       2017-12-01 18:10:58 +08:00
    网站其中若有其中别人不喜欢的字眼
    是可以直接屏蔽掉你的网站的,是的,就是这么任性。
    racecoder
        30
    racecoder  
       2017-12-01 18:28:56 +08:00
    好看++;
    lyragosa
        31
    lyragosa  
       2017-12-01 18:33:53 +08:00
    好看++++++++++++1
    zjp
        32
    zjp  
       2017-12-01 18:39:15 +08:00 via Android
    搭配 Http2 意义更大
    tookbra
        33
    tookbra  
       2017-12-01 18:40:27 +08:00
    +10086
    tinyhill
        34
    tinyhill  
       2017-12-01 18:42:07 +08:00
    wordpress + lnmp 默认带了 lets 的证书
    coolcoffee
        35
    coolcoffee  
       2017-12-01 18:47:01 +08:00
    https 可以防止 sb 运营商乱缓存
    MonoLogueChi
        36
    MonoLogueChi  
       2017-12-01 19:11:40 +08:00
    @PythonKGB 比如我现在用的七牛,走 Https 流量是不免费的,而且 Https 页面中不能混入不安全的元素,如果你的页面中引用了其他某个站的服务,但是那个站不支持 Https,就会很难受。
    m999
        37
    m999  
       2017-12-01 19:15:58 +08:00 via Android
    没舍得花钱,还在用 http。

    有钱时必上!!!

    好像 ipv6 不缺 ip,独立 ip 就免费了吧? 我的 https!! 很好很好很好!
    jingniao
        38
    jingniao  
       2017-12-01 19:17:00 +08:00 via Android
    墙外 vps 下载,nginx,没有 https 分分钟给劫持缓存替换……
    liuminghao233
        39
    liuminghao233  
       2017-12-01 19:20:03 +08:00 via iPhone
    我的 chrome 有 https everywhere
    不是 https 默认屏蔽 管你这么多(
    huguotai
        40
    huguotai  
       2017-12-01 19:26:03 +08:00
    早已加绿锁
    RobertYang
        41
    RobertYang  
       2017-12-01 19:38:15 +08:00 via Android
    @dallaslu 什么时候使用 https 会增加独立 ip 的成本了
    timothyye
        42
    timothyye  
       2017-12-01 19:45:28 +08:00 via Android
    用 caddy server,自带 ssl,自动续期证书,省心

    https://xiaozhou.net/experience-of-caddy-server-2017-11-29.html
    Kilerd
        43
    Kilerd  
       2017-12-01 20:07:17 +08:00
    @PythonKGB 上了 HTTP2 反而加快了
    zrj766
        44
    zrj766  
       2017-12-01 20:31:33 +08:00
    好看,装 B
    防劫持,电信 4G 劫持恶心的要死,以前我就忍了,今天发现把一个网站的输入框给我挡了,还关不掉。。。
    未来大势所趋吧,不少网站基本都有,百度 google 也对 https 有支持
    a1044634486
        45
    a1044634486  
       2017-12-01 20:59:24 +08:00
    好看+1
    boboliu
        46
    boboliu  
       2017-12-01 21:04:20 +08:00
    @dallaslu 自己的博客就是试验场嘛,玩玩咯。何必那么一本正经地怼呢
    sunfei
        47
    sunfei  
       2017-12-01 21:14:22 +08:00
    3 年 15 刀,全文地址: https://sunfei.net/archives/3774.html
    baidu123
        48
    baidu123  
       2017-12-01 21:23:26 +08:00
    求加 https 教程 -----本人小白 勿喷!嘻嘻
    Quaintjade
        49
    Quaintjade  
       2017-12-01 22:16:17 +08:00 via Android
    不加 https 你登录后台管理时不怕被抓密码吗?
    Cipool
        50
    Cipool  
       2017-12-01 22:57:22 +08:00 via Android
    不但有 https 還要 hsts 另外開了 tls1.3
    https://blog.jaion.ml
    mingyun
        51
    mingyun  
       2017-12-01 23:03:26 +08:00
    好看
    lqf96
        52
    lqf96  
       2017-12-01 23:18:33 +08:00
    根本理由还是大势所趋,按照现在 https adoption rate 持续增长的趋势看,迟早有一天浏览器会实现 https only,与其到那个时候再折腾还不如现在就拥抱潮流...而且普遍加密能够更好地保护所有人流量的私密性,当然由于 sni leak 和 traffic analysis 等等的存在,不能够完全保证元数据不泄漏就是了,所以这一点上还要进一步努力...
    nmdx
        53
    nmdx  
       2017-12-01 23:47:24 +08:00 via Android
    @MonoLogueChi 用七牛 http 缓存下图片资源是可以的 js 不行
    luguokong
        54
    luguokong  
       2017-12-01 23:57:40 +08:00 via Android
    如果没有上广告联盟什么的,加上可以防运营商的广告劫持
    neoblackcap
        55
    neoblackcap  
       2017-12-02 00:13:46 +08:00
    我不知道,反正 cloudflare 加速之后我就自动可以上 https
    MonoLogueChi
        56
    MonoLogueChi  
       2017-12-02 00:35:21 +08:00 via Android
    @nmdx 对的,php 请求也不行
    qiaoyurensheng
        57
    qiaoyurensheng  
       2017-12-02 00:44:26 +08:00
    可以套个免费或半免费的 CDN,在 CDN 上加 ssl 就不会影响服务器
    msg7086
        58
    msg7086  
       2017-12-02 02:57:57 +08:00
    上 HTTPS 没有必要。上 HTTP 更没有必要。
    所以我选择上 HTTPS。

    证书是免费的,独立 IP 也不需要,维护,都自动脚本了还维护啥。
    要说成本,那就只有刚开始要去控制台里敲两三个命令下载 acme 脚本签发证书。
    倒不如说坚持 HTTP,流量被人劫持插广告,密码被人吸走,这才是没必要的。
    irainsoft
        59
    irainsoft  
       2017-12-02 03:51:16 +08:00
    @dallaslu 现在证书已经成本很低了吧,独立 IP 也并不是必须的,如果是成本很高的证书又必须要独立 IP 那估计也不是个人博客用的了吧
    SnowzTail
        60
    SnowzTail  
       2017-12-02 05:15:30 +08:00
    之前犹豫的时候看了这个系列。
    gongjianwei
        61
    gongjianwei  
       2017-12-02 06:53:36 +08:00 via Android
    https://developers.google.com/web/fundamentals/security/encrypt-in-transit/why-https

    无脑上 HTTPS 就对了,未来 HTTP 会被彻底淘汰掉,之前 Chrome 差点就把所有 HTTP 网站标记为不安全
    sobeau
        62
    sobeau  
       2017-12-02 07:19:37 +08:00
    用 HTPPS 只是单纯的不想被电信加载广告
    baskice
        63
    baskice  
       2017-12-02 08:32:01 +08:00
    非常有必要,劫持太严重了
    Cipool
        64
    Cipool  
       2017-12-02 08:32:09 +08:00 via Android
    Hardrain
        65
    Hardrain  
       2017-12-02 08:52:38 +08:00 via Android
    有必要
    防止 ISP 插入广告

    而且最好 hsts preload
    Hardrain
        66
    Hardrain  
       2017-12-02 08:53:27 +08:00 via Android
    @gongjianwei 现在 chrome 的隐身模式已经是这样了
    所有 http 页面显示 不安全
    liuhaotian
        67
    liuhaotian  
       2017-12-02 09:03:15 +08:00
    小绿锁不好看吗
    honeycomb
        68
    honeycomb  
       2017-12-02 09:49:52 +08:00 via Android
    @gongjianwei chrome 标记 http 为不安全正在推进中
    NowTime
        69
    NowTime  
       2017-12-02 10:01:30 +08:00 via Android
    我用的 腾讯云 CDN,不管是 http 还是 https,流量费都一个价,并且每个月免费 10 G 流量,已经非常够用了,并且在控制台可以开启 HTTP 2 (几个月之前是需要申请的,但不知道现在要不要了)
    dallaslu
        70
    dallaslu  
       2017-12-02 10:44:35 +08:00
    @RobertYang
    SNI 之前 https 不需要独立 IP 吗?需要兼容不支持 SNI 的设备时不需要独立 IP 吗?有 SEO 需求时不需要独立 IP 吗?

    @liwanglin12
    @msg7086
    只有证书维护脚本就够了?评级达到 A+ 还要做很多步骤。开启了 HSTS 后怎么给微信公众号留 HTTP 接口?旧站切换到 HTTPS 怎么做跳转、替换站内链接?页面调用的外部资源不能通过 HTTPS 访问怎么办? 新浪微博个人资料里判定 https 为非法链接的尴尬怎么化解?爱折腾的小朋友在 2018 年之前在 LetsEncrypt 和其他支持 wildcard 的证书之间如何抉择?

    @irainsoft
    用过 Starssl Class 2,验证要提交一堆资料,还得收挂号信;有人能自己用定时脚本维护、自己修改配置,这应该是买的 VPS 吧,标配一个 IP ;若是搭多个 svn server,因为客户端不支持 SNI,就需要多个独立 IP 了
    msg7086
        71
    msg7086  
       2017-12-02 10:55:31 +08:00
    @dallaslu 评级别说是 A+,就算是 D 都比 HTTP 强。
    别说开启 HSTS,就算不开也比纯 HTTP 强。
    旧站切换到 HTTPS 写一个 nginx rewrite 只需要几行。
    页面调用外部资源不能通过 HTTPS 那你找他们去啊。
    新浪判定 HTTPS 非法你找新浪去啊。
    LE 支持 SAN,你需要给多少域名加证书?

    至于不支持 SNI 的设备……我对你的用户群体很担心啊。
    塞班 S60 系统上的 Opera ; XP 上的 IE6 ; Chrome 5 ;安卓 2.2。
    dallaslu
        72
    dallaslu  
       2017-12-02 11:24:11 +08:00
    @msg7086 话是这么说。我不信谁会放任个人博客评级是 D …… 遇到对 https 不友好的场合,无论找谁解决怎么解决,都是时间成本。

    没有 wildcard 新增二级域名站就要重新申请一张证书啊!新证书会放在 xxx.com001 这样的新目录啊,还要更新 webserver 的配置。说好的免维护呢?

    现在我正掐算着日子等这个:
    https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
    AlwaysBehave
        73
    AlwaysBehave  
       2017-12-02 11:29:49 +08:00
    @PythonKGB 降低?看来你的页面什么外部引用都没有
    H2 部署完试试看效果吧
    YvesX
        74
    YvesX  
       2017-12-02 11:33:59 +08:00
    有,代表有良好的技术品位。
    明明是表达自己的地方,如果给人守旧的印象,不合适。
    LanFomalhaut
        75
    LanFomalhaut  
       2017-12-02 11:35:07 +08:00
    竟然现在还有人发表 独立 IP 对 SEO 有用 这种言论...真的是 “大清亡了?”
    某些人为抬杠而抬杠..何苦。。
    RobertYang
        76
    RobertYang  
       2017-12-02 11:40:08 +08:00 via Android
    @dallaslu 同对你的用户群体表示担忧,顺便 SEO 和独立 IP 有关系你是听谁吹的?
    RobertYang
        77
    RobertYang  
       2017-12-02 11:41:31 +08:00 via Android
    @LanFomalhaut 键盘在手,嘴炮无忧😃
    msg7086
        78
    msg7086  
       2017-12-02 11:45:34 +08:00
    @dallaslu
    首先,我说的是就算是 D 都比 HTTP 强,不管你放任也好不放任也好,都是强。
    然后我试过 Debian 稳定版默认安装上 nginx 配上证书以后测出来就已经是 A 级,这结果你不满意吗?
    对 https 不友好的场合,与 https 的普及程度本来就是互相相关的。要是大家都用 https,你觉得会遇到第三方资源不支持的问题吗,会遇到新浪判定非法的问题吗(新浪判全球所有网站非法?)。你这个不用 https 的理由,恰恰就是 https 普及还不够造成的。
    时间成本,那解决被 ISP 劫持需要时间成本吗?
    最后这个新证书的问题,是因为你没用 acme.sh 吗?我这好像只要改个配置文件加上新域名,再强制重签一下就解决问题了呢。
    scriptB0y
        79
    scriptB0y  
       2017-12-02 11:48:14 +08:00
    当然有必要,防被劫持 + 防被墙
    msg7086
        80
    msg7086  
       2017-12-02 11:48:50 +08:00
    @RobertYang 更惨的是 SEO 和是否用 HTTPS 还是有关系的。
    wolong
        81
    wolong  
       2017-12-02 12:03:25 +08:00
    加加加,能加就加
    woshinide300yuan
        82
    woshinide300yuan  
       2017-12-02 12:35:18 +08:00
    有时候并不是它有用没用,而是要“与时俱进”

    那开什么个人博客,新浪博客不够写的嘛,还不是想折腾。玩呗,闲着干什么!
    dallaslu
        83
    dallaslu  
       2017-12-02 12:54:54 +08:00
    @RobertYang
    @LanFomalhaut 请举例说明独立 IP 对 SEO 无益。
    app13
        84
    app13  
       2017-12-02 13:07:24 +08:00
    @dallaslu #83 ???
    这个时候不应该是你来举没有独立 ip 不利于 seo 的例子么
    PythonKGB
        85
    PythonKGB  
    OP
       2017-12-02 13:22:02 +08:00 via iPhone
    @NowTime 我去看一看,一直用阿里云,没用过腾讯云。
    dallaslu
        86
    dallaslu  
       2017-12-02 14:09:08 +08:00
    @app13 那岂不是便宜了来抬杠的人
    wvc
        87
    wvc  
       2017-12-02 14:11:05 +08:00
    其实我想知道不上 HTTPS 的理由是什么?
    RobertYang
        88
    RobertYang  
       2017-12-02 14:15:45 +08:00 via Android
    @dallaslu 难道不是你来抬杠么,独立 ip 和 seo 有什么关系,你还在用远古时代的搜索引擎? 说独立 IP 对 SEO 有好处的你用过 CDN ?
    dallaslu
        89
    dallaslu  
       2017-12-02 16:35:19 +08:00
    @RobertYang

    「什么时候 XXX 了?」「 XXXX 你听谁吹的?」「你用过 XXXX ?」

    请用踏实点的句式,直接说事儿。

    用过 CDN 就应该认为「独立 IP 对 SEO 没有好处」吗? CDN 的广泛应用和「独立 IP 对 SEO 的益处」并没有逻辑上的对立关系。我们常把脚本、样式、媒体内容放在 CDN 上,核心的动态内容还是在自己的网站上。

    SEO 本来就是一种玄学,到底什么方式有效什么无效,全靠搜索引擎团队放话和经验摸索。至少在以前,独立 IP 对 SEO 的好处还是很明显的,同 IP 垃圾站过多被「 K 站」时 K 掉了 IP,有的站就无辜受了牵连。放在今天,因同 IP 站点违规被封锁、被竞争对手攻击而导致你的网站不能访问,也是常有的事。

    一个与数百质量参次不齐的站点共享一个 IP,一个有独立 IP,哪个更像垃圾站?
    RobertYang
        90
    RobertYang  
       2017-12-02 17:32:46 +08:00 via Android
    @dallaslu 那请问大神,我一自己个服务器放 5 网站算哪种呢?是不是没有独立 ip,是不是像垃圾站?
    RobertYang
        91
    RobertYang  
       2017-12-02 17:46:15 +08:00 via Android
    @dallaslu 看了您#70 与 #72 的回复,建议我们两个互相 block,节约您宝贵的时间
    dallaslu
        92
    dallaslu  
       2017-12-02 18:02:13 +08:00
    @RobertYang #91 合着我 6 小时前的回复,你 10 分钟前才开始仔细看啊。我今天闲着,浪费点时间没关系。期待你不再用反问句式、反讽敬词,有理有据地正面表述一下你的见解。
    dallaslu
        93
    dallaslu  
       2017-12-02 18:04:30 +08:00
    @RobertYang #90 我认为「 5 网站放一个服务器 」跟「 5 个网站与另外数百网站共享」相比,后者更有可能是垃圾站。
    tSQghkfhTtQt9mtd
        94
    tSQghkfhTtQt9mtd  
       2017-12-02 18:30:04 +08:00 via Android
    @dallaslu
    A+ 配置 Nginx 环境下我配出来五分钟都要不了

    微信和微博不支持那是他们的事,如果就因为这个都不用 HTTPS 那是在开倒车,应该要做的是推动支持 HTTPS,外部资源同理

    跳转自行 Google 一下好么,Nginx 一行搞定

    没想明白 Wildcard 那个你想表达什么,签个证书要不了你两分钟的

    至于独立 IP 的问题,SEO 需要独立 IP 的话你用 http 就可以不需要了?不支持 SNI 的设备现在还剩多少?我个人技术博客的受众能有多少还在用 IE8- Windows XP 的?如果有,那把他们屏蔽了也好 :-)
    tSQghkfhTtQt9mtd
        95
    tSQghkfhTtQt9mtd  
       2017-12-02 18:31:19 +08:00 via Android
    @dallaslu 另外 Let's 可以用 SAN,你把所有域名签到一张证书里就可以不用 SNI 了。
    whatsmyip
        96
    whatsmyip  
       2017-12-02 19:42:09 +08:00
    广告 + 关键词

    https 大法好
    bao3
        97
    bao3  
       2017-12-02 20:02:46 +08:00 via iPhone
    如果你希望在用户访问你网站的时候被运营商插广告,就没必要用 https,否则用吧
    lyhiving
        98
    lyhiving  
       2017-12-02 20:04:39 +08:00 via Android
    安全第一,有时间就加下
    LanFomalhaut
        99
    LanFomalhaut  
       2017-12-02 22:39:01 +08:00
    @RobertYang 那人真是神奇的家伙 我们来整理下逻辑:

    主题:个人博客是否有必要上 https
    ===>>必须独立 IP===>>>sni 是摆设?===>>>>独立 IP 有利于 SEO (??)
    像这种突然扯到别的无任何关联话题的然后开启抬杠模式的 基本直接 block 完事儿 : )
    RobertYang
        100
    RobertYang  
       2017-12-03 00:47:42 +08:00 via Android
    @LanFomalhaut XD 关键是抬杠抬不到点上就很尴尬
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1693 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 16:37 · PVG 00:37 · LAX 08:37 · JFK 11:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.