博客启用HTTPS

支持HTTPS已经是大势所趋，（托运营商的福）工作中项目对HTTPS有要求已经是常态，谷歌、苹果等巨头也在不遗余力地推广这个，宣传加密传输的各种好处，以及将未启用HTTPS网站的各种降权处罚的措施。

听起来HTTPS都是有百利而无一害，但我觉得个人博客没有必要特意去开HTTPS。

启用HTTPS就意味着存在SSL证书的期限问题，博主需要关心证书何时到期，而如果未及时更换证书或是证书配置错误，就会出现安全警告。我遇到太多证书过期、自签证书之类的网站，一访问就是Chrome的安全警告，而且其中不少都是只能使用HTTPS访问（HTTP会跳转到HTTPS），要想访问只能跳过安全警告，体验非常差。

顺便吐嘈一下谷歌和苹果等公司对于HTTPS的处理方法太过激进。谷歌先是宣称搜索爬虫要优先收录启用HTTPS的站点，这自然是好的，毕竟后者有着无可比拟的安全优势；目前版本的Chrome会在用户向HTTP站点填表的时候提示“不安全”（Firefox也会），这点也能理解；但谷歌宣布的长期计划是通过把所有HTTP网站都用红色“不安全”警告的方法来淘汰HTTP，实现use HTTPS everywhere，这点我就非常不解了，这意味着大量的存档性质的网站很难被检索到，会有优质内容仅仅因为HTTPS的问题而无法被查到，何况这部分仅支持HTTP的网站目前还占据着相当一部分的比例，所以我一直觉得谷歌的计划迟早跳票（或者像苹果一样延期）。

也正因此，博客一直没有支持HTTPS访问。不过最近在折一个云平台，平台要求HTTPS调用，本来以为像微信小程序那样只要让WordPress的RESTful API挂上SSL证书就行，但仔细研究了一下发现还蛮麻烦的，索性就全站HTTPS了，真香！

开启HTTPS的方法很简单，个人博客有certbot、caddy等一众软件可以用，Let’s encrypt的证书也是免费的。我用的虚拟空间也可以用CDN开启HTTPS的方法来曲线支持HTTPS访问。

以我用的万网虚拟空间为例，只需要在阿里云上申请一张免费证书，导入CDN，然后在WordPress中开启HTTPS访问就可以了，如果页面上有HTTP引用的js或图片就替换成HTTPS的。详细步骤可以参考：阿里云虚机 WordPress HTTPS(SSL) CDN-AgainFly

既然都开了HTTPS，就一块儿把HTTP/2也启用了。目前博客已经支持HTTP/2访问，欢迎体验。