再不进行全站HTTPS，就真的赶不上末班车了？

谷歌宣布，自今年七月起，Chrome浏览器的地址栏将不再宽容对待HTTP，所有HTTP网站都将被标示为“不安全”。这是谷歌浏览器针对HTTP网站采取的有力措施中的第三步。而最近，Firefox也计划跟进这一举措。与此苹果公司从iOS9开始，通过引入新的特性App Transport Security (ATS)，要求应用程序访问的所有网络都必须通过HTTPS协议进行。

在即将发布的Chrome 68版本中，地址栏将明确显示这一变化。对于这一变革，谷歌解释道，新界面的目的是帮助用户认清所有HTTP网站的不安全性，转而选择使用更加安全的HTTPS网站。谷歌指出，HTTPS相比HTTP提供了性能提升和更多功能，并且更加便利和实惠。

在Chrome中，“不安全”字样目前以黑色字体显示，但未来谷歌计划将其改为醒目的红色，并配以警告图标。在最新发布的iOS 11.3中，苹果已经开始实施这一策略，对部分HTTP页面进行“不安全”的标注。

在实施全站HTTPS时，需要考虑页面混合资源处理、SSL协议版本及加密套件选择等问题。HTTPS网页中加载的HTTP资源被称为Mixed Content，为了用户体验，应避免HTTPS网站出现任何Mixed Content，且不要向HTTP页面提交表单。服务端应开启upgrade-insecure-requests以支持新型浏览器自动替换资源路径。在选择SSL协议版本及加密套件时，需考虑客户端的兼容性，确保安全并顺利完成SSL握手。关于HTTPS漏洞检测与证书密钥管理的报告

随着网络安全威胁的不断升级，对HTTPS的安全部署变得尤为重要。我们持续关注SSL/TLS的安全动态，对网站的SSL部署进行定期的安全评估，确保服务器免受高危漏洞的威胁。

一、HTTPS漏洞检测

完成证书安装配置后，我们利用Symantec的安装配置检查工具来确认网站SSL证书的部署情况。我们定期通过SSL Labs等专业的SSL证书评估工具，对网站的证书部署进行全面的扫描和评估。

二、证书密钥管理

对于证书私钥的管理，我们采取严格的安全措施，防止未经授权的访问。我们定期更换证书密钥对，并撤销可能存在安全隐患的证书。我们采用合理的分布式部署方案，以降低密钥泄露的风险。我们还灵活使用不同密钥算法的证书，并启用新型的安全密钥算法，以确保网络安全。

三、服务器性能影响及优化方案

虽然HTTPS增加了TLS握手环节，需要使用对称加密算法进行数据传输，从而可能影响服务器性能，但我们仍可以通过一些方法来优化全站HTTPS的性能。

1. 服务器性能及架构优化：全站HTTPS无疑会增加服务器额外的系统资源开销，特别是TLS握手环节。评估SSL证书的安装部署位置十分重要。我们根据确定的网络架构，制定合理的优化方案，如升级服务器CPU、优化网络架构等。

2. SSL卸载：为了减轻服务器压力，我们可以将服务器所需要的SSL压力转移到其他前端设备或服务上，即进行SSL卸载。我们可以使用专业的负载均衡设备、PIC-E硬件SSL卸载卡或Web前端代理软件来实现SSL卸载。

3. 配置优化：在不增加成本的前提下，我们通过配置优化方式提升站点HTTPS性能。这涉及到前端Server对HTTPS新技术的支持情况及详细的参数设置。更多内容可参见轮推网相关技术服务文档。

总结，我们致力于通过全面的HTTPS安全部署和优化的方案，确保网站的安全性和性能。我们将持续关注SSL/TLS的安全动态，并定期进行安全评估，以确保服务器的安全稳定运行。