你们觉得，个人博客站点有没有必要增加 HTTPS 啊？

现在，站长们做 HTTPS 已经成为浪潮了，毕竟免费的证书那么多。

国外的站点自不必说，自带 ssl

国内的阿里云，不会设置的也可以通过 CDN 做半路 https 跳转，只需要一些 CDN 费用。

很多人想做，但真的有必要吗？值得考量。

你们的态度是什么？

gongjianwei

2017-12-02 06:53:36 +08:00

https://developers.google.com/web/fundamentals/security/encrypt-in-transit/why-https

无脑上 HTTPS 就对了，未来 HTTP 会被彻底淘汰掉，之前 Chrome 差点就把所有 HTTP 网站标记为不安全

sobeau

2017-12-02 07:19:37 +08:00

用 HTPPS 只是单纯的不想被电信加载广告

baskice

2017-12-02 08:32:01 +08:00

非常有必要，劫持太严重了

Cipool

2017-12-02 08:32:09 +08:00

@gongjianwei
https://developers.google.cn/web/fundamentals/security/encrypt-in-transit/why-https
每次我都要幫忙宣傳谷歌中國的鏡像

Hardrain

2017-12-02 08:52:38 +08:00

有必要
防止 ISP 插入广告

而且最好 hsts preload

Hardrain

2017-12-02 08:53:27 +08:00

@gongjianwei 现在 chrome 的隐身模式已经是这样了
所有 http 页面显示不安全

liuhaotian

2017-12-02 09:03:15 +08:00

小绿锁不好看吗

honeycomb

2017-12-02 09:49:52 +08:00

@gongjianwei chrome 标记 http 为不安全正在推进中

NowTime

2017-12-02 10:01:30 +08:00

我用的腾讯云 CDN，不管是 http 还是 https，流量费都一个价，并且每个月免费 10 G 流量，已经非常够用了，并且在控制台可以开启 HTTP 2 (几个月之前是需要申请的，但不知道现在要不要了)

dallaslu

2017-12-02 10:44:35 +08:00

@RobertYang
SNI 之前 https 不需要独立 IP 吗？需要兼容不支持 SNI 的设备时不需要独立 IP 吗？有 SEO 需求时不需要独立 IP 吗？

@liwanglin12
@msg7086
只有证书维护脚本就够了？评级达到 A+ 还要做很多步骤。开启了 HSTS 后怎么给微信公众号留 HTTP 接口？旧站切换到 HTTPS 怎么做跳转、替换站内链接？页面调用的外部资源不能通过 HTTPS 访问怎么办？新浪微博个人资料里判定 https 为非法链接的尴尬怎么化解？爱折腾的小朋友在 2018 年之前在 LetsEncrypt 和其他支持 wildcard 的证书之间如何抉择？

@irainsoft
用过 Starssl Class 2，验证要提交一堆资料，还得收挂号信；有人能自己用定时脚本维护、自己修改配置，这应该是买的 VPS 吧，标配一个 IP ；若是搭多个 svn server，因为客户端不支持 SNI，就需要多个独立 IP 了

msg7086

2017-12-02 10:55:31 +08:00

@dallaslu 评级别说是 A+，就算是 D 都比 HTTP 强。
别说开启 HSTS，就算不开也比纯 HTTP 强。
旧站切换到 HTTPS 写一个 nginx rewrite 只需要几行。
页面调用外部资源不能通过 HTTPS 那你找他们去啊。
新浪判定 HTTPS 非法你找新浪去啊。
LE 支持 SAN，你需要给多少域名加证书？

至于不支持 SNI 的设备……我对你的用户群体很担心啊。
塞班 S60 系统上的 Opera ； XP 上的 IE6 ； Chrome 5 ；安卓 2.2。

dallaslu

2017-12-02 11:24:11 +08:00

@msg7086 话是这么说。我不信谁会放任个人博客评级是 D …… 遇到对 https 不友好的场合，无论找谁解决怎么解决，都是时间成本。

没有 wildcard 新增二级域名站就要重新申请一张证书啊！新证书会放在 xxx.com001 这样的新目录啊，还要更新 webserver 的配置。说好的免维护呢？

现在我正掐算着日子等这个：
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html

AlwaysBehave

2017-12-02 11:29:49 +08:00

@PythonKGB 降低？看来你的页面什么外部引用都没有
H2 部署完试试看效果吧

YvesX

2017-12-02 11:33:59 +08:00

有，代表有良好的技术品位。
明明是表达自己的地方，如果给人守旧的印象，不合适。

LanFomalhaut

2017-12-02 11:35:07 +08:00

竟然现在还有人发表独立 IP 对 SEO 有用这种言论...真的是 “大清亡了？”
某些人为抬杠而抬杠..何苦。。

RobertYang

2017-12-02 11:40:08 +08:00

@dallaslu 同对你的用户群体表示担忧，顺便 SEO 和独立 IP 有关系你是听谁吹的？

RobertYang

2017-12-02 11:41:31 +08:00

@LanFomalhaut 键盘在手，嘴炮无忧😃

msg7086

2017-12-02 11:45:34 +08:00

@dallaslu
首先，我说的是就算是 D 都比 HTTP 强，不管你放任也好不放任也好，都是强。
然后我试过 Debian 稳定版默认安装上 nginx 配上证书以后测出来就已经是 A 级，这结果你不满意吗？
对 https 不友好的场合，与 https 的普及程度本来就是互相相关的。要是大家都用 https，你觉得会遇到第三方资源不支持的问题吗，会遇到新浪判定非法的问题吗（新浪判全球所有网站非法？）。你这个不用 https 的理由，恰恰就是 https 普及还不够造成的。
时间成本，那解决被 ISP 劫持需要时间成本吗？
最后这个新证书的问题，是因为你没用 acme.sh 吗？我这好像只要改个配置文件加上新域名，再强制重签一下就解决问题了呢。

scriptB0y

2017-12-02 11:48:14 +08:00

当然有必要，防被劫持 + 防被墙

msg7086

2017-12-02 11:48:50 +08:00

@RobertYang 更惨的是 SEO 和是否用 HTTPS 还是有关系的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/411165

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.