你的网站网址在浏览器地址区为何前面没有绿色锁头?

不太关注细节的人可能没有意识到这个位于浏览器地址区的那个绿色锁头有什么重要性。过去大家一般以为,只有需要客户登录的一些商业网站才需要 SSL (Secure Socket Layer 安全套接层)。这是一种在网站和用户之间对传输的数据进行加密的一种协议证书,现在一般叫 Transport Layer Security (TLS 传输层安全协议)。其功用是将要传输的信息解密,防止中间过程被人拦截,使得一些个人账户、信用卡号、密码等信息被盗。

安装过 SSL 的人都知道其安装的麻烦,付费不说,还需要一些繁琐的程序,不是一般人可以完成的。而且每年都需要重新来过一遍,有时忘记更新,更是麻烦多多,引起用户对网站的种种猜疑,有时甚至一些大公司的网站都忘记更新,十分尴尬。

有无SSL的外在不同在于,安装SSL的网站网址是 httpS://domain.com – 注意不是 http://domain.com。近些年来,大多数的浏览器都特别在网址输入区的前面用绿色的锁头来表明某网站当前页的所有内容都是通过加密才显示的。

随着网络犯罪行为的方便和肆虐,谷歌和其它一些大的网络公司从大概2014年,开始大力提倡SSL,即从HTTP到HTTPS的转换。谷歌为了鼓励所有的网站安装SSL证书,对有安装的网站提高在其搜索引擎上的排名(点击这里看谷歌的有关文章)。

我个人是因为管理神道出版社的三个网络书店的缘故,考虑到SSL的必要性的。而且知道一家非盈利公司 Let’s Encrypt(LE)从2016年初开始,就为所有的网站自动发放SSL证书,适用于绝大多数的浏览器使用。但因为我所用的伺服器数据中心不支持LE的安全证书,一直没有考虑此事。

就在前一段时间了解到,因着北美和欧洲在虚拟伺服器主机(VPS)方面的竞争激烈,很多家公司提供价钱低廉的服务。就拣选了一家叫 Ramcode 的公司(现在找到一家更好的公司叫 Linode),选用了他们最低档次的虚拟主机,测试自动设置LE安全证书的可能性。最先测试的网站是神道出版社的简体网络书店 1459919.com(现在的网址是 jian.1459919.com)。但奇怪的是,无论如何确保网页上的图片地址从 http 改为 https,火狐浏览器的网址显示区那里仍然出现一个叫 mixed content(安全和非安全内容混杂)的警告标志,见下图:

在另外一个英文网络书店 1459919.net/ebook(现在的网址是 eng.1459919.net)查询的时候,发现在其首页的源代码中有这样一行:

<link rel="profile" href="http://gmpg.org/xfn/11">

在WordPress外观主题处安装了子主题(child theme)后,在子主题的文件 header.php 中,将这一行拿掉,刷新浏览器再看此网站的时候,那个期望的绿色锁头就赫然出现了,见下图:

如果你的 WordPress 网站也有这个问题,而你有不愿意拿掉这一行,你也可以在其中的网址上加上”s”,好似这样:

<link rel="profile" href="https://gmpg.org/xfn/11">

注意,不同的浏览器的警告方式不同,但火狐浏览器的警告是最明显的一个三角形图标。如果你的网站也有这个问题,你最好查看一下并解决这个问题。

Leave a Reply

发表评论

电子邮件地址不会被公开。 必填项已用*标注