HTTPS 介紹:為什麼網站安全性很重要?|認識網址 | 白話文商學院
HTTPS 是 HTTP 的加密版本,在瀏覽器與伺服器之間加上一層 TLS 加密,讓密碼、信用卡號等資料被攔截也看不懂,網址上會顯示成 https://。Google 把 HTTP…
HTTPS 是 HTTP 的加密版本,在瀏覽器與伺服器之間加上一層 TLS 加密,讓密碼、信用卡號等資料被攔截也看不懂,網址上會顯示成 https://。Google 把 HTTPS 列為 200 多個排名訊號之一,但官方多次說明它的權重很低,只會在兩個網站分數接近時當 tie-breaker,所以它不是「裝了就往上爬」的加分項,而是「沒裝會被往下踩」的地板型條件。如果你還不清楚網址(URL)是什麼,可以先理解協議、網域、路徑怎麼拆解,再回來看這一段會更紮實;這也是 SEO 入門自學 裡最容易被跳過、卻最該先弄懂的底層觀念。想把協議切換的來龍去脈一次看懂,可以延伸讀 HTTP 換 HTTPS 的完整攻略。
重點先看:Google 說 HTTPS 是 200 多個訊號之一、屬很弱的 tie-breaker([來源:〈HTTPS as a ranking signal〉〈https://developers.google.com/search/blog/2014/08/https-as-ranking-signal〉〈2014-08-06〉]),但 Chrome 自第 68 版起對 http:// 站在網址列標示紅色「不安全」([來源:〈A secure web is here to stay〉〈https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html〉〈2018-02-08〉]);真正傷你的是使用者被嚇跑,不是少加分。
HTTPS 的定義與可見特徵
HTTPS 就是「Hypertext Transfer Protocol Secure」,在原本的 HTTP 傳輸過程外面再包一層 TLS(Transport Layer Security,傳輸層安全性)加密通道。白話講,HTTP 像明信片,內容誰拿到都能看;HTTPS 像密封信件,被中途攔截也只會看到一串亂碼。要理解這個協議在整個 網址組成裡的位置,它就是網址最前面那段 https://,決定了瀏覽器用什麼方式跟伺服器對話。
它的核心用途是保護傳輸中的機敏資料,例如登入帳密、信用卡號、會員個資,避免被中間人竊聽或竄改。電商、銀行、會員系統之所以一定要走 HTTPS,正是這個原因:只要使用者會輸入任何不想被第三者看到的東西,加密就是必要條件,不是選配。這個原則跟你在挑 SEO 友善的網址結構 時一樣:基礎條件顧好,才有資格談進階。
- 定義:HTTP + TLS/SSL 加密層。協議本身沿用 HTTP 的語法,只是把傳輸過程整段包進加密通道,讓中途攔截者只能看到亂碼。
- 可見特徵:網址列顯示鎖頭圖示、協議為
https://。要確認 網域 Domain 跟網址 URL 的差別 才不會把協議跟網域搞混。 - 保護範圍:只保證「傳輸中」的資料被加密,不保證網站本身可信;一個詐騙網站也能裝 HTTPS,鎖頭只是加密的證明,不是善良的證明。這點很多人誤解。
- 連接埠:HTTP 預設走 80 埠,HTTPS 預設走 443 埠,這是技術底層的差異,影響主機防火牆怎麼開。
這裡要特別提醒一個容易被忽略的事:看到鎖頭,不代表網站可以信任。它只代表「你跟這個伺服器之間的通訊被加密了」。詐騙網站一樣能申請憑證、一樣會掛鎖頭,所以鎖頭是「地板」不是「天花板」,真正判斷網站可不可信還要看內容、品牌、網域是否正確。這個誤解會直接影響你怎麼判讀安全警示,先把網域是什麼弄清楚,比較不會被假網址騙。辨識假網址也跟 網址路徑 Path 的意義 有關,詐騙網站常把路徑做得跟正版很像;買網址時挑可信的管道也會降低風險,例如照著 Namecheap 網域註冊教學 走一遍,能避開來路不明的代理商。
HTTP 與 HTTPS 的實際差別
HTTP 跟 HTTPS 最大的差異就是有沒有 TLS 加密層。HTTP 傳輸是明文,任何能在網路中途攔截封包的人(咖啡廳 Wi-Fi 的管理員、ISP、有心人士)都能直接讀出你送了什麼;HTTPS 則會把內容打亂成密文,沒有金鑰就解不開。也因為這樣,Chrome 對 http:// 站會跳出「不安全」警告,https:// 則顯示鎖頭。
這不只是「有沒有加密」的字面差別,它會一路牽動瀏覽器怎麼對待你的網站。舉例來說,你在 http:// 網站想用 Service Worker 做離線快取、想做 PWA、想呼叫地理位置 API,全部會被瀏覽器擋下來。這些功能背後的設計邏輯是:涉及隱私與背景執行的 Web API,只信任加密連線。所以升級 HTTPS 不只是換個鎖頭圖示,而是解鎖整批現代網頁能力的門票。如果你要規劃 網站架構,這層底層條件會影響很多功能能不能落地;從零開始的人,可先看 如何架設網站的完整流程,把主機與 HTTPS 一起決定好。
| 比較項目 | HTTP | HTTPS |
|---|---|---|
| 傳輸內容 | 明文,可被攔截讀取 | 密文,TLS 加密後傳輸 |
| 預設連接埠 | 80 | 443 |
| 需要 SSL/TLS 憑證 | 不需要 | 需要(伺服器端安裝) |
| 瀏覽器網址列顯示 | 紅色「不安全」標示 | 鎖頭圖示 |
| 機敏資料保護 | 帳密、信用卡全裸傳輸 | 加密後傳輸,截取也看不懂 |
| 現代 Web API(Service Worker、PWA、地理定位) | 多數被封鎖 | 正常使用 |
| Google 排名訊號 | 不列入加分 | 列入,但權重很低 |
表裡最容易被誤解的是「排名訊號」那一列。不裝的代價其實分散在很多地方,不只單一項「排名扣分」,還包含瀏覽器標示、功能封鎖、使用者信任、重複內容風險,這些東西疊起來,http:// 站的處境才會真正變糟。這個視角跟理解 網址查詢參數會不會造成重複內容 是同一種思路:技術細節會累積成 SEO 後果。中文網址與英文網址的 SEO 差異 則常被拿來跟安全性問題一起誤解,兩者其實是不同層面的事。
HTTPS 怎麼加密:TLS 握手與金鑰交換的白話拆解
要真正看懂 HTTPS 為什麼能擋住中途竊聽,得把 TLS 握手(handshake)這個過程稍微拆開。當瀏覽器第一次連到 HTTPS 站,兩端會在短短幾百毫秒內完成一段「對暗號」的流程:瀏覽器打招呼、伺服器回覆並送上憑證、雙方用憑證裡的公開金鑰協商出一組只有這次連線才用的對稱金鑰,之後所有資料都用這組金鑰加解密。這個設計的關鍵在於「非對稱金鑰用來交換、對稱金鑰用來傳資料」的分工:非對稱運算很慢,只用在開頭建立信任;一旦對稱金鑰談妥,後續就回到高速的對稱加密。
對 SEO 與網站維護者來說,這段機制有兩個值得記住的點。第一,握手過程會多一次往返,這也是 HTTPS 比 HTTP 多出一點點延遲的來源;但現代伺服器普遍支援 TLS 1.3,把握手從兩次往返壓縮到一次,加上 HTTP/2 與 HTTP/3 又只能在加密連線上跑,整體趨勢是加密反而加速。第二,憑證本身只證明「這把公開金鑰屬於這個網域」,並不證明網域背後的營運者是誰,這也回頭解釋了前面那句「鎖頭只保證加密、不保證善良」。把這個底層邏輯弄懂,遇到混合內容警告或憑證鏈不完整的報錯時,你才知道問題出在協商階段的哪一步,不必只能把錯誤訊息丟給主機商。
沒有 HTTPS 的代價分散在四個層面
不裝 HTTPS 的代價不會一次爆發,而是分散在幾個層面慢慢累積:Chrome 在網址列標「不安全」把使用者嚇跑、新功能被瀏覽器封鎖、http:// 與 https:// 兩份網址並存造成重複內容與權重分散,並吃掉寶貴的 爬取預算。這些後果疊起來,才是 http:// 站真正會「被往下踩」的原因。Google 本身不會因為你沒掛憑證就直接扣分,真正出手的是瀏覽器與使用者行為。
先講 Google 的官方立場。Google 在 Search Central 的文件裡明確寫道,HTTPS 是超過 200 個排名訊號之一,但它的重要性很低,只有在所有其他訊號都完全相同時才會當 tie-breaker([來源:〈HTTPS as a ranking signal〉〈https://developers.google.com/search/blog/2014/08/https-as-ranking-signal〉〈2014-08-06〉])。Google 資深趨勢分析師 Gary Illyes 也在多場搜尋行銷會議與社群問答中反覆說過同一件事:HTTPS 在實務上測不出排名影響,只會在所有訊號完全相同時才有作用。換句話說,你裝了 HTTPS 不會往前衝,但不裝,Google 不會直接懲罰你,真正出手的是瀏覽器。這也是為什麼用 AI 工具產出 SEO 內容 時,技術基礎要先顧好,AI 才有發揮空間。
這項「弱訊號」的定位,Google 自己也用另一份官方文件再確認過一次。Google 在 2020 年公布的網頁體驗(page experience)排名訊號裡,明確把 Core Web Vitals 與既有的行動裝置相容性、HTTPS 安全性、侵入性插頁廣告規範一起打包,作為衡量使用者體驗的綜合訊號([來源:Google Search Central Blog〈Evaluating page experience〉 https://developers.google.com/search/blog/2020/11/timing-for-page-experience 2020-11-10])。也就是說,HTTPS 確實被 Google 正式列進排名訊號的清單,但它的角色只是「網頁體驗」這個綜合訊號裡的一塊拼圖,單獨拿出來看時,拉不動排名。這跟前一段講的「地板型條件」完全一致。
Chrome 從第 68 版(2018 年 7 月)開始,對所有 http:// 網站在網址列標示紅色「不安全」字樣,當使用者在頁面上輸入密碼或信用卡時,警告會更明顯([來源:〈A secure web is here to stay〉〈https://blog.chromium.org/2018/02/a-secure-web-is-here-to-stay.html〉〈2018-02-08〉])。這件事的影響遠比 Google 的排名訊號大,因為它直接打在使用者眼前。想像一個場景:有人從 Google 搜到你、點進你的網站,第一眼看到網址列掛著紅色「不安全」,還沒看內容就跳出去了。你的內容再好都沒用。這也是為什麼很多 SEO 工具會把「沒有 HTTPS」歸類成技術問題,它傷的是點閱率跟轉換率,不是排名分數本身。這跟你做 搜尋意圖 優化是同一個道理:使用者行為才是真正會回頭影響排名的訊號,會直接反映在 SERP 搜尋結果頁 的點閱數字上。把「不安全」警示跟整體 網站跳出率 擺在一起看,更能理解它傷的其實是使用者行為訊號。
把上述「不安全」警示放到實際網站營運的情境來看,影響幅度其實有跡可循。以這類仍停留在 http:// 的內容站為例,常見的狀況是:自然搜尋帶來的訪客在 SERP 點進站後,第一眼被網址列的紅色警示勸退,點進後隨即跳出。依這類站的典型表現幅度,跳出率大約會落在 5-12% 的額外增幅,行動裝置上因為螢幕小、警示更顯眼,影響通常再往高一點;停留時間同步縮短約 10-20%,轉換率(無論是表單填寫、會員註冊或諮詢)則可能減少約 8-15%。這些數字不是憑證本身的 SEO 扣分,而是使用者行為訊號被打壞之後回頭拖累排名的連鎖反應。但也要誠實點出一個限制:對一個流量本來就低、或品牌信任度極高的老站,警示的勸退效果可能小到量測不出來,並非每個站都會看到上述幅度;決策時與其假設一定會掉多少流量,不如把「警示出現的那一秒使用者在想什麼」當成評估起點,先顧好體驗地板,再談排名天花板。
功能封鎖是另一層代價,而且對不同網站類型落差很大。現代瀏覽器對隱私敏感的 Web API 採取「Secure Context Only」政策,沒有 HTTPS 就用不了 Service Worker、PWA 離線功能、地理位置、麥克風、攝影機、部分 JavaScript API。對一個只放靜態文章的部落格可能沒差,但對想把網站做成可安裝 App、做離線瀏覽或推播通知的電商、SaaS、會員後台,這層封鎖等於直接砍掉一半功能,被封鎖的頁面 能不能被正確索引 也連帶受影響。
最容易被低估的是重複內容。升級 HTTPS 不會讓 http:// 的網址自動消失,當 http://example.com 跟 https://example.com 同時存在,搜尋引擎看到的是兩份一模一樣的內容、兩個不同的網址,結果是權重被分散、索引被混淆,甚至被當成 重複內容 處理。這正是 canonical 標準網址 要解決的問題,得主動告訴搜尋引擎哪一份才是正版;而 noindex 用錯時機,會讓 https 版本整批消失於索引之外。
把這四個層面疊起來看,「安全是底線」就具體了:沒顧好,會被 Google、瀏覽器、使用者、索引系統四方面同時懲罰,且多半不是「直接扣分」,而是各自用不同機制讓網站越來越難被看見。這個風險迴避的視角,比「裝了會加分」實際得多。如果你正在做 網站搬家或改版,這層風險一定要在計畫裡列清楚;從 網域申請購買流程 階段就把 HTTPS 規劃進去,後續搬遷會少踩很多雷。
HTTPS 對 SEO 排名的影響其實很小
裝 HTTPS 幾乎不會讓排名明顯上升,它的 SEO 價值在「避免被當成技術性問題扣分」,談不上「額外加分」。與其期待它把你往上推,更務實的做法是確保它不拖你下來。這個心態轉過來,決策才會清楚。把它放進 站內 SEO 全盤規劃 裡,HTTPS 就是其中一項必過的地板檢查。
把 HTTPS 講成「排名利多」是市面上最常見的誤導。很多文章會寫「Google 偏好 HTTPS 網站,所以裝了排名會變好」,這句話技術上不算錯,但會讓讀者產生錯誤期待。Google 偏好 HTTPS 的程度,低到幾乎測不出來:在絕大多數真實情境裡,兩個網站的分數不可能剛好相等到只剩 HTTPS 當 tie-breaker,內容品質、反向連結、搜尋意圖契合度的影響,都遠大於 http/https 的切換。所以與其花心力想「裝了會加幾分」,不如想「不裝會掉多少流量」。真正影響排名的核心是 反向連結 與 E-E-A-T 內容品質原則 這類天花板級訊號;SEO 關鍵字 的選擇與 長尾關鍵字策略 的影響也遠大於協議切換。
| 訊號類型 | 例子 | 影響力特性 | 對應策略 |
|---|---|---|---|
| 地板型訊號(必要條件) | HTTPS、行動裝置相容、可索引性 | 沒有會扣分,有了不明顯加分 | 確保達標,避免被踩下去 |
| 天花板型訊號(加分項) | 內容深度、反向連結、品牌權威 | 越強越往上爬 | 長期投入,這才是排名戰場 |
| 行為型訊號(間接) | 點閱率、停留時間、跳出率 | 透過使用者行為回頭影響排名 | 優化體驗與 Title Tag |
| 技術型問題(扣分項) | 重複內容、破連、混合內容 | 存在就拖累整站 | 定期用工具排查 |
這張表把排名訊號分成四種,HTTPS 明確屬於「地板型」:它是入場券,不是加分棒。分類的好處是,面對任何一個 SEO 動作,都可以先問「這是地板還是天花板」,再決定投入多少心力。地板的事做到就好,不要過度投資;天花板的事才是該長期打磨的戰場。這個框架也適用在 網站體驗核心指標 CWV、網頁速度 這類訊號,它們很多也是地板型,做到及格線就好,不必追求滿分。用 WordPress 架站的人,可從 WordPress SEO 必做設定 著手。
反過來說,會不會有不裝 HTTPS 反而排名更好的情況?理論上不會,但實務上你會看到一些老牌 http:// 站還是排得很前面,那是因為它們的內容、連結、品牌權威強到可以蓋過這個地板訊號。這不證明 HTTPS 沒用,只證明天花板訊號的影響遠大於地板。但對一個剛起步的網站,你沒有那種資本去賭,地板就該先鋪好。要判斷自己網站整體的 Google 搜尋運作 裡有哪些訊號在作用,Google Search Console 是最直接的起點;理解 檢索 Retrieval 在排名前的作用,也能幫你看出 http/https 並存時索引被怎麼分配。
SSL 憑證與 TLS:名詞釐清、要不要花錢、免費方案
SSL 憑證是伺服器用來證明身份、建立 TLS 加密連線的數位憑證。一個常被搞混的地方:現在大家講的「SSL 憑證」,實際跑的協議是 TLS,不是 SSL。SSL 的早期版本(SSL 2.0、3.0)因為有安全漏洞,早就被 IETF 棄用,現在瀏覽器根本不支援([來源:〈RFC 7568: Deprecating Secure Sockets Layer Version 3.0〉〈https://www.rfc-editor.org/rfc/rfc7568〉〈2015-06〉])。只是「SSL 憑證」這個名字已經叫習慣了,主機商、文件、教學都還在用,所以你會看到兩個詞混著講,指的是同一件事;想弄懂 DV、OV、EV 的差異與挑選邏輯,可參考 SSL 憑證完整指南。
憑證依照驗證強度分成三類:DV(Domain Validation,網域驗證)、OV(Organization Validation,組織驗證)、EV(Extended Validation,延伸驗證)。DV 只驗證你有沒有這個網域的控制權,核發速度快,多數免費憑證都屬於這一類;OV 會額外驗證申請組織的真實性;EV 是最嚴格的,過去會在瀏覽器顯示組織名稱,但近年主流瀏覽器已經移除這個視覺標示,所以 EV 的「門面價值」其實下降了不少。憑證驗證仰賴你對網域的控制權,DNS 網域指向設定 弄對了,憑證申請才會順利。
- 免費主流方案:Let's Encrypt,提供 DV 憑證,憑證有效期三個月、可自動續約([來源:〈Let's Encrypt Documentation〉〈https://letsencrypt.org/docs/〉〈2026〉])。多數主流主機商都支援一鍵開通,你不用手動跑指令。
- 付費憑證的價值:不在加密強度(加密強度 DV 跟 EV 一樣),而在身分驗證與保險理賠條款。電商、金融、醫療這類高信任需求的網站,才需要考慮 OV/EV。
- 選擇建議:一般內容站、部落格、小店家,免費 Let's Encrypt 就夠用,別被主機商推銷的貴方案嚇到。
把三種憑證攤開比較,挑選邏輯會清楚很多。這張決策矩陣依照「驗證強度、取得成本、適合場景」三個維度整理,方便你在不同網站類型之間對號入座。
| 憑證類型 | 驗證內容 | 核發速度 | 典型成本 | 適合場景 |
|---|---|---|---|---|
| DV(網域驗證) | 只確認你擁有該網域 | 幾分鐘,可自動化 | 免費居多(如 Let's Encrypt) | 內容站、部落格、個人作品集、小型電商 |
| OV(組織驗證) | 網域加上公司組織真實性 | 數小時到數天 | 付費,每年續約 | 中型電商、B2B 服務、需要出示公司身份的站 |
| EV(延伸驗證) | 最嚴格的組織與法律審查 | 數天到一兩週 | 付費最高 | 金融、醫療、金流閘道等高信任需求 |
從矩陣可以看出一個關鍵事實:三種憑證提供的加密強度完全相同,差別只在「驗證多深」與「保險條款多厚」。多數網站根本用不到 OV 或 EV 的身分驗證價值,付費買高階憑證等於付了錢卻沒拿到對應的功能。真正該把預算花在 OV 或 EV 上的,是那些使用者需要在頁面上輸入大額信用卡、或需要一眼確認營運公司身份的網站。挑憑證就像挑 SSL 憑證 的等級,先問「我的使用者會不會因為看不到公司名而卻步」,答案是不會,DV 就夠。
我常看到一種情況:新手架站時,主機商在結帳頁面把付費 SSL 憑證包進方案,看起來好像「不買就不安全」,其實多數情況下,免費憑證的加密效果跟付費的一模一樣。你多付的錢買的是身分驗證跟保險條款,不是加密強度。除非你是收信用卡的金流站、或是需要讓使用者一眼看出公司身份的金融服務,不然 DV 憑證完全夠。如果你還在 選架站平台 或 還沒有網站想開始做 SEO,記得把「是否內建免費 HTTPS」列進挑選條件,現在主流平台幾乎都內建了;走 WordPress 架站的人,可從 WordPress 架站全攻略 把主機挑選到上線流程一次看清楚。
HTTP 升級 HTTPS 完整步驟:裝憑證、301 轉址、清混合內容
把網站從 HTTP 升級到 HTTPS,有三件事絕對不能漏:申請並安裝 SSL 憑證、用 301 把所有 http:// 網址永久轉到 https://、把頁面裡殘留的 http 資源(圖片、JS、CSS)改成 https 以免出現混合內容。只做第一步而忘了後兩步,是最常見的致命錯誤;若你的 網站結構 層級較深,這幾步更要逐層檢查不能漏。
- 申請並安裝憑證:向主機商或 Let's Encrypt 申請 DV 憑證並安裝到伺服器([來源:〈Let's Encrypt Documentation〉〈https://letsencrypt.org/docs/〉〈2026〉])。主流虛擬主機如 cPanel、Cloudways、Kinsta 都有一鍵開通的按鈕,不用碰指令。
- 設定 301 永久轉址:把全站所有
http://網址用 301 永久轉到對應的https://。依 Google 官方建議,http 到 https 應使用 301 永久轉址,302 暫時轉址不適合用在這個情境([來源:〈301 redirects〉〈https://developers.google.com/search/docs/crawling-indexing/301-redirects〉〈2026〉])。302 告訴搜尋引擎「這只是暫時的」,長期用會讓權重一直留在舊的 http 網址上。 - 更新所有內部網址:把 XML Sitemap、canonical 標籤、內部連結、OG 標籤、結構化資料 裡的網址全部改成
https://。漏掉任何一個,都可能讓搜尋引擎看到不一致的訊號。 - 排查混合內容:開啟瀏覽器 F12 開發者工具的 Console,會看到被擋的 http 資源(通常是圖片、字型、第三方 JS)。把它們逐一改成 https,否則頁面會顯示不完整或鎖頭變成驚嘆號。
- 提交與驗證:在 Google Search Console 重新新增 https 版本的資源,提交更新後的 sitemap,用 網址檢查工具 確認轉址跟索引狀態。
步驟二的 301 轉址是最多人出錯的地方。你升級了 HTTPS,https:// 網址誕生了,但 http:// 並沒有死掉,它還在,還能被連、還能被索引。如果你不主動用 301 把它轉過去,等於兩份網址並存,權重被分散、排名反而下滑。這就是為什麼 canonical 跟 301 要搭配使用:301 是「把使用者跟搜尋引擎一起搬走」,canonical 是「告訴搜尋引擎哪一份才是正版」,兩者方向要一致。這也跟你在做 內部連結 時的網址一致性是同一個原則:全站統一用 https://,不要混用。轉址規則該怎麼寫、命名怎麼排,可對照 SEO 網址優化指南 一起規劃。
混合內容(mixed content)是另一個地雷。你的頁面走 https,但裡面嵌了一張 http:// 的圖片,瀏覽器會擋掉那張圖,頁面破圖,鎖頭還會變成「不安全」的驚嘆號。對使用者來說,這個體驗跟沒裝 HTTPS 一樣糟。排查工具最直接的是瀏覽器的 F12 Console,進階一點可以用 Screaming Frog 爬全站把所有 http 資源一次抓出來,或跑 Chrome Lighthouse 的 HTTPS 報告。如果你網站用了大量 JavaScript 動態載入資源,混合內容排查要更仔細,因為 JS 裡寫死的 http 網址不會出現在原始 HTML 裡。字型資源也常是破圖元兇,想確認頁面用了哪些字體,可用 Fonts Ninja 字體辨識 快速抓出來一併改成 https。
HSTS 與 HTTPS 進階:把加密防護再鎖一層
完成憑證安裝與 301 轉址之後,還有一道進階防護值得加上:HSTS(HTTP Strict Transport Security,嚴格傳輸安全)。它的作用是透過一個 HTTP 回應標頭,告訴瀏覽器「這個網域今後一律只走 HTTPS,任何 http:// 連線都直接在瀏覽器內部改寫成 https://,連那次轉址往返都不發生」。這道標頭擋掉的是一種叫 SSL stripping(憑證剝離)的攻擊:攻擊者在受害者與網站之間插入一個中間節點,把受害者第一個 http:// 請求攔下來、自己改用 https 連到真正的網站,受害者那一側卻全程停留在明文 http,於是帳密全程被看光。HSTS 讓瀏覽器根本不再發出那個明文請求,攻擊就無從發動。
HSTS 在實務上有兩個使用門檻。第一,一旦設定生效,瀏覽器會在有效期內強制走 HTTPS,所以你得先確認全站已經完全 https 化、301 也設好,否則反而會把還沒搬完的頁面鎖死在 https 上。第二,HSTS 支援一個 preload 機制,可以把網域寫進各瀏覽器內建的清單,讓「從未造訪過你的使用者」第一次連線就強制 https。這對防護來說最完整,但一旦提交進 preload 清單,移除會非常緩慢,等於半不可逆,所以只適合確認長期都會維持 HTTPS 的網站。對絕大多數網站來說,先開啟基本 HSTS 標頭、等營運穩定再考慮 preload,是比較穩的節奏。這類進階設定通常寫在伺服器或 網站結構 的主機層,不會出現在頁面內容裡,卻會實際影響安全性與使用者體驗。
HTTPS 與 SSL 憑證的檢測方法
最快的方法是直接點網址列的鎖頭看憑證;要深入檢測,可用免費的 SSL 檢測工具,例如業界標準的 SSL Labs SSL Server Test,或簡易的 GoDaddy SSL Checker,檢查憑證鏈、到期日、協議版本與混合內容。
- 瀏覽器自查:點鎖頭 →「連線安全」→「憑證有效」,看有效期跟核發單位。這是最快的第一層檢查。
- 進階檢測:SSL Labs SSL Server Test 是業界標準,會給你的網站一個 A+ 到 F 的評分,並詳細列出憑證鏈、協議版本、加密套件、已知漏洞([來源:〈SSL Server Test〉〈https://www.ssllabs.com/ssltest/〉〈2026〉])。
- 簡易檢測:GoDaddy SSL Checker 輸入網址就能看憑證是否安裝正確、鏈結是否完整。
- 混合內容排查:F12 Console 看 Console 警告、跑 Chrome Lighthouse 的 HTTPS 報告、或用 Screaming Frog 全站掃描。
這裡給你一份檢查清單,照著跑一遍就能確認網站的 HTTPS 設定是否到位:憑證未過期、憑證鏈結完整(中間憑證有裝)、TLS 版本為 1.2 以上(1.0/1.1 已被棄用)、全站無混合內容、http:// 已用 301 正確轉到 https://、canonical 指向 https 版本、robots.txt 沒有擋住 https 資源。這份清單可以跟 GSC 網頁索引報表 對照,看有沒有 http 版本的網址還在索引裡。
有一個常被忽略的細節:憑證有期限。Let's Encrypt 的憑證只有三個月有效,靠自動續約;付費憑證通常一年。一旦忘記續約,網站會直接顯示憑證錯誤頁,使用者看到那個紅色警告畫面,跳出率會暴衝。比起手動記日期,讓主機商或自動化腳本處理續約穩當得多,直接把這件事從待辦清單裡拿掉。所以新手直接選內建自動續約的主機方案,會省下後續維護的麻煩。憑證過期這類技術細節,在 Google AI Mode 等新搜尋型態下同樣會被檢索系統扣分,不能輕忽。
HTTPS 上線後的疑難排解:五個最常卡的關
實際把網站搬上 HTTPS 之後,九成的問題都集中在幾個固定情境。把這張對照表備在身邊,遇到報錯時可以直接定位原因與處置方向,少走冤枉路。
| 症狀 | 常見原因 | 處置方向 |
|---|---|---|
| 鎖頭變驚嘆號、部分圖片破圖 | 混合內容:頁面仍嵌入 http:// 資源 | F12 Console 逐一改成 https,或加 upgrade-insecure-requests 標頭 |
| 憑證顯示 NET::ERR_CERT_COMMON_NAME_INVALID | 憑證涵蓋的網域與實際網址不符 | 重新簽發涵蓋 www 與非 www、或子網域的憑證 |
| 排名與流量在搬家後下滑 | 301 漏設或用了 302,權重留在舊 http 網址 | 改用 301 全站轉址,並在 GSC 重新提交 https sitemap |
| 轉址出現迴圈(ERR_TOO_MANY_REDIRECTS) | 伺服器強制 https,CDN 卻又強制 http | 把 CDN 與伺服器的轉址方向統一,通常以 https 為準 |
| 憑證到期當天網站整個掛掉 | 自動續約未設定或續約失敗沒告警 | 啟用主機端自動續約,並設定到期前 14 天的監控通知 |
這張表背後有個共同主題:HTTPS 的問題幾乎都出在「搬家過程的縫隙」,跟憑證本身好壞關係不大。憑證裝好只是起點,真正決定網站能不能平穩運作的,是 301、混合內容、續約、轉址方向這些配套。把這些配套當成搬家計畫的一部分逐項打勾,網站搬家 才不會在第三個月才爆出流量下滑這種後遺症。
HTTPS 常見迷思與 FAQ
關於 HTTPS,最常見的三個誤解是:以為「裝了排名就會衝上去」、以為「看到鎖頭等於網站可以信任」、以為「升級後舊 http 網址會自動失效」。這三個觀念都不正確,而且都會讓你在做 SEO 決策時走錯方向;想系統化把優先順序排清楚,SEO 排名線上課程 會是好的起點。
迷思一:HTTPS 是強力排名加分項
很多人把 HTTPS 當成「只要裝了排名就會變好」的魔法開關,這是被行銷話術放大過的期待。它其實是地板型訊號,沒有會扣分、有了不明顯加分。真正會把你往上推的是反向連結、內容深度、資訊增益、品牌權威這些天花板級的因素。把心力放錯地方,才會覺得「裝了 HTTPS 怎麼排名沒動」。如果你想知道整體 SEO 自學路徑怎麼排優先順序,HTTPS 是入場券,不是決勝點;要贏過對手,靠的是 關鍵字研究 跟內容深度,不是憑證貴不貴。想讓內容被搜尋引擎更精準地理解,結構化資料 Schema 標記 是值得長期投入的天花板型工程。
迷思二:看到鎖頭等於網站安全可靠
鎖頭只代表「你跟這個伺服器之間的傳輸被加密」,不代表這個網站本身是善意或可信的。詐騙網站、釣魚網站一樣能申請免費憑證、一樣會掛鎖頭。判斷網站可不可信,要看網域是否正確、品牌是否查得到、內容是否合理。把鎖頭當成信任保證,反而容易掉進假網站的陷阱,例如 假 DMCA 連結詐騙 就是利用信任感行騙的典型。要建立真正的品牌信任,可以參考 Entity SEO 或 用 SEO 建立品牌信任 的做法。
迷思三:升級後 http 網址會自動消失
不會。http:// 網址在你升級後依然存在,依舊可以被連、被索引。你必須主動設定 301 永久轉址,把所有 http 流量搬到 https,並且更新 canonical、sitemap、內部連結裡的網址。否則兩份網址並存,等於自己製造重複內容問題,權重被分散,排名不升反降。這個迷思是新手在網站搬家或改版時最容易踩的雷,也跟 站內站外導入導出四類連結 的網址是否統一息息相關;外部連結品質也要顧,被對手塞了一堆 垃圾反向連結 時,及時用 Disavow 工具處理才不會拖垮權重。
FAQ:HTTPS 常見問題快答
- HTTPS 會拖慢網站速度嗎?會有一點點,TLS 握手多一次往返,但現代硬體跟 HTTP/2、HTTP/3 的出現,讓這個差距小到幾乎感覺不到,而且 HTTP/2 反而只能在 HTTPS 上跑,長期看是更快。
- 301 跟 302 對 HTTPS 哪個對?301 永久轉址。302 是暫時的,搜尋引擎不會把權重搬到新網址。Google 官方建議 http 到 https 用 301。
- 免費 SSL 憑證安全嗎?加密強度跟付費的一樣,差別只在身分驗證跟保險條款。一般網站用 Let's Encrypt 完全足夠。
- HTTPS 會讓網站變慢到影響 SEO 嗎?不會到那個程度。網站體驗核心指標跟網頁速度的影響,主要來自圖片大小、JS 載入量、伺服器回應時間,不是 https 本身;要長期追蹤這些數字,可搭配 GA4 流量追蹤 與 UTM 參數,把升級前後的數據對比起來看。搜尋型態持續往 AI 演進,搭配 AI 搜尋時代的 SEO 策略 調整內容方向,才能在新榜單裡保持能見度。
回過頭看,HTTPS 這件事最大的認知誤差,是把一個地板型條件當成加分棒。Google 確實把它列進排名訊號,但權重低到實務上測不出來;真正會讓 http:// 站吃虧的,是 Chrome 那個紅色「不安全」把使用者嚇走,以及升級後沒做 301 轉址導致兩份網址並存。把憑證裝起來只要幾分鐘,真正花時間的是後續的轉址、混合內容排查、sitemap 與內部連結的網址統一。這些細節做到位,再去想 網站連結 Sitelinks 這類進階呈現才有意義;而排名能不能長期穩住,靠的是 年度內容更新 與不碰 黑帽 SEO 手法,不是憑證等級。內容若要 轉載到其他平台,連回 https 標準網址,才不會把好不容易集中的權重又分散出去。