很多站长应该收到 Google 发来的 email 了。从 Chrome 56 开始，任何网页，如果有输入密码或者信用卡资料的，却没有使用 HTTPS，将被 Chrome 浏览器标识为不安全。

其实这只是第一步，之后，任何没有使用 HTTPS 协议的网页都会被标识为"不安全"，或者 "Not Secure"。

之前 DavidYin 就建议过，要使用 HTTPS，而且过去我也认为只有在有支付等需求的网站才需要上 HTTPS，现在看来还不够，从2017年1月开始，任何网站都要考虑到上 HTTPS了，新网站从设计，从买域名开始就要考虑到这一点。现有网站也要尽快加上 HTTPS。

过去用 HTTPS，买 SSL 证书都是一个比较大的成本。从去年的 Let's Encrypt 可以免费签发证书后，这就不再是一个费用的问题了，而且网上有不少自动签发证书以及续签的脚本，找一个用上就是了。还有一些虚拟空间的服务商，比如 Dreamhost ， 也免费提供 Let's Encrypt 的自动签发服务，你都不用去找脚本了，直接在管理后台改一个设置就成了，以后每三个月自动给你续签。

如果想要用付费的域名，我推荐使用 gogetssl ，他们的 SSL 证书价格有优势，而且验证域名所有权以及签发的速度都是非常快的，一般我都是在一个小时内都可以完成了。

Gogetssl 的证书价格，就举几个最低的好了。

• Comodo Essential SSL，3年USD$25。
• Comodo PositiveSSL， 3年USD$11.25。
• GGSSL Domain SSL， 3年USD$9.65。

这三个是 DV 证书而已，我都有买过，用过。可以签发 ECC 证书。

这里 DavidYin 总结一下目前对于 HTTPS 的形势，告诉你如何做好 HTTPS 的8点。

1. 所有网站都要加上 HTTPS。
2. SSL 要用 ECC 证书，即使因为某种原因必须要用 RSA 证书的，那么也要用双证书，就是 ECC + RSA两个证书。
3. 沃通已经信用破产，哪怕以后改个名字再来，也不要用。
4. 有条件上 HTST 的，那就加上，这无疑会更加安全。
5. 只使用 TLS 协议，包括 TLSv1.0， TLSv1.1，TLSv1.2。禁止 SSL 协议。
6. 在加密算法上，要去掉 RC4。
7. SSL 证书的签名算法，要使用 SHA-2，不要使用已经被证明有严重缺陷的 SHA-1了。
8. 前向安全性，Forward Secrecy，就是说要使用 DHE 或者ECDHE 密钥交换。

把网站放在Dreamhost，通过LinkWorth获取广告收益，每个链接高达$40。
G2links Web Directories

延伸阅读

• SSL证书的相关知识
• Amazon CloudFront 502 cannot connect to origin
• 加入 HSTS Preload 申请
• Google 搜索引擎是否更倾向于加密网页
• SSL 性能低下的迷思 - 5 个 SSL 优化的措施
• 网址 URL
• 百度也开始收录https站点了
• 更进一步的提高 SSL 的安全性，支持 Forward Secrecy