SSL 憑證是什麼?免費與付費 SSL 比較、安裝教學與 SEO 影響解析
SSL 憑證是一張由受信任機構(CA)簽發的數位文件,它把瀏覽器與網站之間傳輸的資料加密成幾乎無法逆推的亂碼,同時向瀏覽器證明這個網站是真的、並未被假冒。嚴格說現在跑的協定是 TL…
SSL 憑證是一張由受信任機構(CA)簽發的數位文件,它把瀏覽器與網站之間傳輸的資料加密成幾乎無法逆推的亂碼,同時向瀏覽器證明這個網站是真的、並未被假冒。嚴格說現在跑的協定是 TLS,1999 年接棒後三大瀏覽器已於 2014 年起全面停用舊版 SSL。根據 Google Search Central 的官方說明,Google 自 2014 年將 HTTPS 列為排名信號,Chrome 亦自 2018 年 7 月起對所有 HTTP 網站標示「不安全」,沒裝 SSL 等於同時在搜尋排名與瀏覽器信任兩條戰線失分。
重點先看:SSL 憑證的本質是「加密傳輸+身分驗證」,加密強度免費與付費完全一樣,差別在驗證深度、效期與賠償;2020 年起憑證效期上限被強制壓到 398 天,到期沒續約整站會被瀏覽器擋下。
這份指南會把 SSL 憑證從「是什麼」一路講到「怎麼裝、怎麼驗、怎麼續」,並把坊間最常被誤解的幾件事一次說清楚。如果你正準備用 WordPress 架站新手五步驟教學 自架網站,或已經在煩惱該選 Bluehost 自架 WordPress 完整教學 這類主機的 SSL 設定,下面的內容會直接派上用場。SSL 從來不是「裝了網站就安全」的單一動作,它真正的作用是把搜尋排名、瀏覽器信任、金流合規三件事串起來的基礎設定。對於想系統化打好 SEO 底子的人,SEO 陪跑班搭配 Ahrefs 工具的學習 也會把 SSL 設定列為前置作業。
SSL 憑證的本質:加密傳輸與身分驗證
SSL 憑證是一張由受信任機構簽發的數位文件,功能是把瀏覽器與網站之間傳輸的資料(帳密、表單、信用卡)加密成亂碼,同時向瀏覽器證明這個網站是真的、並未被假冒。換句話說,它同時做兩件事:加密傳輸,以及身分驗證。很多人只記得「加密」,卻忘了「證明這個網站真的是你」其實才是它有別於單純加密技術的關鍵。
加密傳輸的本質很直觀。假設使用者在聯絡表單填了「Hello World」,這串明文經過加密後會變成類似「BPlgGyfkfYjOaa+9XCk63Yz0Fz/n3bo3Ofh=...」這種幾乎無法逆推的亂碼。攔截者就算在傳輸過程中拿到了這串字,也讀不出原始內容。這就是為什麼 WordPress 聯絡表單外掛推薦 搭配的網站都該掛上憑證,因為表單收的姓名、電話、地址全都是敏感資料。
身分驗證這一塊常被忽略。憑證會綁定網域,瀏覽器看到網址列的鎖頭,代表這個網址確實屬於憑證申請人。這層保護在釣魚網站氾濫的現在格外重要,因為它能幫使用者初步分辨「這個網站是真的官方」還是「只是長得很像的假冒站」。從這個角度看,HTTP 換 HTTPS 的完整流程 不只是技術升級,而是一整套信任機制的建立。想從更基礎的角度認識 HTTPS 在 SEO 裡的角色,可以先看 HTTPS 介紹:為什麼網站安全性很重要。當搜尋行為逐漸被 AI 代理接管,AI 友善網站與 Agentic Browsing 也把 HTTPS 視為可被正確讀取的前提。
這裡要戳破一個常見誤解:SSL 憑證讓資料「在傳輸過程中」安全,不代表網站本身安全。它擋不住伺服器被入侵,也擋不住你裝了有漏洞的外掛,更擋不住密碼太弱被暴力破解。憑證保護的是「資料從瀏覽器送到伺服器這段路」不被第三者偷看或竄改,一旦資料已經存進伺服器或資料庫,SSL 的任務就結束了,後續的儲存安全是另一回事。如果你擔心的是網站被駭,真正該看的是 WordPress 隱藏登入網址防破解、WordPress 備份外掛推薦評比 這類後端防護。SSL 解決的是「傳輸被攔截」這個特定問題,把它當成資安防護的全部,反而會讓你忽略其他入口的風險。
把 SSL 的保護範圍想清楚,會幫助你配置合理的防護預算。傳輸加密只涵蓋資料在網路上移動的那一段,這之前與之後都有各自的威脅面。使用者在裝置上輸入資料時,鍵盤側錄程式、惡意瀏覽器擴充功能可以先把資料偷走,根本輪不到傳輸層出手;資料進到伺服器後,資料庫若沒加密、權限設太鬆,一旦主機被入侵,整批會員資料照樣外洩。換句話說,HTTPS 守的是中間這條管線,前後兩端要靠其他措施補上。一個務實的安全清單會包含傳輸加密、登入防護、定期備份、外掛與核心程式更新、權限最小化這幾個面向,SSL 是其中一塊拼圖,把它單獨放大會造成資源配置失衡。
加密背後的數學基礎值得簡單認識,因為這關係到為什麼舊協定會被淘汰。現行 TLS 採用非對稱加密完成握手階段的身分交換,再用對稱加密處理後續大量資料傳輸,兼顧安全與速度。憑證機構的角色是在這個握手過程中提供一把被廣泛信任的公鑰指紋,讓瀏覽器確認對方拿出的公鑰真的屬於該網域所有人。一旦這套信任鏈任何一環出問題,例如中間憑證漏掛、或簽發機構本身失去信任,瀏覽器就會中斷連線並顯示警告。這也是為什麼同樣是「裝了憑證」,設定完整與否會直接決定使用者能不能正常打開網站。
SSL 與 TLS:同一件事的正名與俗稱
TLS 就是 SSL 的正名接班人,1999 年接棒,現今所有稱為「SSL 憑證」的產品實際發行的都是 TLS 憑證;兩者名稱混用是業界慣例,不是搞錯。所以當你在 Namecheap 網域註冊與免費 SSL 或任何憑證機構的頁面看到「SSL 憑證」這個詞,買到的是 TLS 憑證,這沒有任何問題。
SSL 2.0、3.0 因 POODLE 等漏洞被證明不安全,2014 年三大瀏覽器宣布停用舊版 SSL。TLS 1.2、1.3 才是目前實際跑的協定,其中 TLS 1.3 於 2018 年定案(RFC 8446),握手更少、速度更快也更安全。根據 IETF 公布的 RFC 8446 規範,TLS 1.3 為現行主流協定是官方文件所認定,並非網路傳言。
版本演進有實質意義,因為它直接影響你的伺服器設定要不要調整。SSL 3.0 於 1996 年定案後,陸續被 BEAST、POODLE 等攻擊手法攻破;TLS 1.0 與 1.1 雖然撐了一段時間,也因加密演算法老舊,在 2020 年起被三大瀏覽器陸續停用。目前安全且被廣泛支援的版本只剩 TLS 1.2 與 1.3,其中 1.3 砍掉了多餘的握手往返、強制使用前向保密(forward secrecy),即使日後伺服器私鑰外洩,過去錄下的加密流量也無法被回頭解開。多數現代主機預設就會優先協商 TLS 1.3,老舊主機則可能仍停留在只開 1.2,這在 SSL Labs 檢測裡會被反映出來。
沒有 SSL 的實際風險:明文裸傳與瀏覽器封鎖
沒有 SSL 的網站,所有傳輸都是明文,攻擊者能在公共 Wi-Fi、釣魚信件、偽造熱點等情境輕易截走帳密、個資、信用卡號;同時 Chrome 會把整站標成「不安全」,搜尋排名也會被打折。這類攻擊每天都在發生,並非停留在理論層面的風險。在排名被打折的期間,關鍵字廣告 SEA 與 SEM 入門 是可以暫時撐住曝光的配套。
金流與個資首當其衝。顧客在聯絡表單填的姓名電話、結帳時輸入的卡號與 CVV,全程裸傳。一個跑 WooCommerce 購物網站架設全攻略 的電商如果沒掛憑證,等於把顧客的信用卡資料放在公共走廊上任人翻閱。這也是為什麼所有金流服務商(綠界、藍新、Stripe)在串接合約裡都會強制要求 HTTPS,沒有就是不合格。隨著 Google UCP 等機制把購物流程往 AI 推進,Google UCP 與 AI 購物趨勢 對電商的 SSL 要求只會更高。如果你正在做 WooCommerce 綠界金流物流設定,憑證是先決條件。
三大常見攻擊情境值得記下來。第一是公共 Wi-Fi 偽熱點攔截:在機場、飯店連上偽造的免費 Wi-Fi,攻擊者能截下你與網站之間的所有通訊,只要網站沒掛憑證,帳密、卡號全部以明文形式直接落入對方手裡。第二是釣魚郵件誘導重設密碼:假冒知名平台寄信,信件看起來跟官方一模一樣,引誘你點進假網站輸入帳密,一旦那個假網站本身是 HTTP,你輸入的瞬間資料就被截走。第三是假冒官方網站騙取帳戶資料:造訪一個長得跟官網一模一樣的釣魚站,填了表單資料就全進了詐騙集團的資料庫。這三種情境都不需要頂尖駭客技術,工具在網路上就能買到,攻擊成本低得嚇人,這也是 HTTPS 從可有可無的加分項,一路被推到網站基本配備的原因。
根據 Google Search Central 與 Chromium 官方部落格的公告,Google 自 2014 年將 HTTPS 列為排名信號,Chrome 自 2018 年 7 月起對所有 HTTP 網站標示「不安全」。這兩個時間點之後,沒裝 SSL 等於同時在搜尋排名與瀏覽器信任兩條戰線上都失分。沒鎖頭加上「不安全」警告,訪客通常直接跳出,轉換率與信任度雙雙下滑。
| 維度 | 有 SSL(HTTPS) | 沒 SSL(HTTP) |
|---|---|---|
| 資料傳輸 | 加密成亂碼,攔截也讀不出 | 明文裸傳,可被輕易截取 |
| 瀏覽器顯示 | 鎖頭圖示、「已建立安全連線」 | 「不安全」警告(2018 年 7 月起) |
| Google 排名 | 列為排名信號之一(2014 年起) | 排名信號失分 |
| 金流串接 | 符合綠界、Stripe 等金流商要求 | 不合規,無法串接主流金流 |
| 訪客信任度 | 高,願意留下個資 | 低,跳出率高 |
不過話說回來,HTTPS 在 Google 演算法裡的權重其實不高,遠低於內容品質與外部連結。把它當成 SEO 衝排名的解法是搞錯方向,它頂多讓你「不被扣分」。如果你想把排名真的衝上去,SEO 搜尋引擎優化完整實戰 與 站內 SEO 終極優化攻略 才是主戰場,Bing 關鍵字搜尋量免費查詢方法 則能用來補足 Google 之外的搜尋需求樣貌。沒裝 SSL 你會在這條路上吃虧,但裝了也不代表排名就會往前。
免費 SSL 與付費 SSL 的差別
兩者加密強度相同,差別在驗證深度、效期長度、賠償保障與多網域支援;Let's Encrypt 之類的免費憑證對部落格、形象網站已經綽綽有餘,但處理金流、會員資料、多網域的電商就該考慮付費。判斷的唯一準則是「網站有沒有處理需要加密的敏感資料」,把問題簡化成「該不該裝 SSL」反而是搞錯方向,憑證基本上是現代網站的必裝項目,真正要選的是免費或付費、哪一種驗證等級。
加密本身沒差。免費與付費都用相同的 TLS 加密,瀏覽器鎖頭長一樣,傳輸安全性完全相同。所以千萬別被「付費 SSL 加密更強」這種話術騙了,那是沒有的事。免費憑證的代表是 Let's Encrypt,效期 90 天(依 Let's Encrypt 官方文件的說明),通常主機或外掛會自動續約,使用者幾乎無感。付費憑證效期最長 398 天,這個上限是 2020 年起 Apple、Google、Mozilla 三方聯手強制的,規範記載於 CA/Browser Forum 的 ballot 文件。
付費憑證最大的價值在損害賠償(warranty)條款。這是一筆從數十萬到數百萬不等、視方案而定的保障金額,當憑證機構因自身疏失導致憑證被誤發給假冒者、造成網站損失時,可向 CA 求償。免費憑證沒有這層保障,因為它本來就不收費,自然也沒有賠償義務。這個差別對純內容站無關緊要,對跑大額金流的電商卻可能是救命稻草。
| 比較項目 | 免費 SSL(Let's Encrypt) | 付費 SSL |
|---|---|---|
| 加密強度 | 與付費相同(TLS) | 與免費相同(TLS) |
| 瀏覽器鎖頭 | 有 | 有 |
| 效期 | 90 天,通常自動續約(Let's Encrypt 官方設定) | 最長 398 天(2020 年起強制上限) |
| 驗證等級 | 僅 DV | DV / OV / EV 皆可 |
| 損害賠償(warranty) | 無 | 有,金額視方案而定(數十萬到數百萬不等) |
| 多網域/萬用子網域 | 支援有限 | 完整支援 Wildcard、多網域 |
| 適合對象 | 部落格、形象站、個人作品集 | 電商、會員站、多網域企業 |
一個實際的判斷方法是:如果你經營的是 WordPress 部落格架設完整指南 這類純內容站、不收任何個資,Let's Encrypt 免費憑證就夠。一旦你開始做 WooCommerce 結帳表單客製化教學、處理會員訂單與金流,就該認真考慮 OV 以上等級。付費的錢買到的其實是「驗證更嚴謹、出事有得賠、多網域更方便」這三件事的組合,加密強度本身與免費方案完全相同。
免費憑證的 90 天效期理論上更頻繁地提醒你「它在運作」,但有一個前提常被忽略:主機必須能幫你自動續約。如果你用的是沒有自動續約機制的老舊主機,90 天到期沒續約就會讓整站掛掉,反而比一年期的付費憑證更危險。選主機時記得確認這點,Cloudways 雲端主機 SSL 設定、SiteGround 主機實測與 SSL 設定 這類主流服務都內建自動續約。
什麼情況不該為 SSL 多花錢:付費方案的盲目購買陷阱
並不是所有網站都需要掏錢買憑證,付費方案在特定情境下會變成純粹的浪費。判斷標準可以拆成三個問題:網站有沒有處理付款卡號、有沒有需要對外公開的公司身分、有沒有多個子網域需要一張憑證涵蓋。三個都答否,免費 DV 憑證就完全勝任,多花的錢買不到任何使用者感受得到的差異。
最普遍的陷阱是「覺得付費比較安全」的直覺誤判。加密強度由 TLS 協定與伺服器設定的加密套件決定,與憑證價格無關,免費與付費憑證在這點上完全相同。另一種浪費來自已經消失的賣點:過去 EV 憑證會在網址列顯示綠色公司名,主流瀏覽器近年已淡化這個視覺差異,付了最高價卻換不到當年那條綠色公司名條,性價比極低。還有一種是規格過剩,單一網域的小站買了 Wildcard 萬用子網域方案,卻永遠只用得到其中一個網域,等於付了覆蓋範圍的錢卻沒用到覆蓋範圍。
下面的決策評分卡把常見情境拆成幾個維度,幫你快速判斷自己落在免費還是付費那一側。每個維度依符合程度給分,分數總和越高,越有理由選付費方案。
| 判斷維度 | 免費 DV 即可(0 分) | 建議付費(2 分) |
|---|---|---|
| 是否處理信用卡或金流 | 純內容、不收款 | 有結帳、收卡號 |
| 是否需要顯示公司身分 | 個人作品集、匿名站 | 公司官網、需建立商業信任 |
| 子網域數量 | 單一網域 | 多個子網域或萬用子網域 |
| 是否需要損害賠償保障 | 無金流、無會員資料 | 大額金流、會員資料量大 |
| 主機是否支援自動續約 | 有自動續約機制 | 無自動續約、寧可一年期手動處理 |
實務經驗上,總分 0 到 2 分的站幾乎都是免費憑證的最佳受眾,多買只是徒增每年續約的行政負擔;4 分以上才值得認真評估付費 OV 或 EV。落在中間的 2 到 4 分灰色地帶,建議以「是否收付款」為最終決定因素,因為金流合規的硬性要求蓋過其他所有考量。
以這類內容站、形象站或個人作品集為例,常見的狀況是站長在比較各家付費方案時,看到單網域 OV 憑證一年約 NT$1,500-3,500、Wildcard 萬用子網域約 NT$4,000-8,000、EV 等級約 NT$8,000-15,000 這樣的價格帶,很容易被「貴一點比較安全」的直覺牽著走。但對一個不收卡號、沒有會員系統、只放文章與作品的站來說,這筆錢買到的加密強度與免費 Let's Encrypt 完全相同,鎖頭也長一模一樣,訪客根本感受不到差異。依這類站的典型流量與收入規模,每年多花這幾千元換來的,往往只是行政上的續約提醒負擔,而不是實質的安全升級。真正會讓這種站出事的,通常不是憑證等級不夠,而是免費憑證的 90 天效期碰上主機沒有自動續約,到期那天整站被瀏覽器擋下,流量大約在 1 到 3 天內明顯下滑,直到重新簽發才恢復。決策角度很直接:先把主機或外掛的自動續約確認到位,比糾結要買哪個等級的付費憑證更能降低實際風險,把省下來的預算挪去備份、登入防護這類對內容站更有感的環節,CP 值高得多。
DV、OV、EV 三種驗證等級
DV 只驗證網域所有權、最便宜也最快,適合部落格與形象站;OV 額外驗證組織真實性,適合中小企業官網與一般電商;EV 驗證最嚴格,適合金融、大型電商等高敏感場景。三者的加密強度都一樣,差別只在「憑證機構查你查得多仔細」。
DV(Domain Validation)是入門款,只確認你擁有該網域,幾分鐘就能核發,免費憑證幾乎都是這個等級。它適合純內容站、作品集網站、一頁式網站這類不收敏感資料的站點。對這些站來說,DV 已經能拿到鎖頭與 HTTPS,完全沒必要多花錢。
OV(Organization Validation)會查證公司登記,核發需 1 到 3 天。憑證內含公司名稱與地址等資訊,訪客點開憑證細節看得到。這對要建立商業信任的官網很有用,例如做 電商創業與金流安全指南 的中小企業官網。顧客看到憑證上有公司資料,會比看到一個來路不明的 DV 憑證安心。
EV(Extended Validation)是最嚴格的等級,需提交完整公司文件、核發時間更長。過去 EV 憑證會在網址列顯示綠色公司名,是它最明顯的賣點。但近年主流瀏覽器已淡化 EV 的視覺差異,綠色公司名條大多消失,實質差異因此縮小。所以除非你跑的是金融、保險、大型金流這類被合規要求 EV 的場景,否則 OV 通常就夠用了。
| 等級 | 驗證內容 | 核發時間 | 適合網站 | 價格區間 |
|---|---|---|---|---|
| DV(Domain Validation) | 網域所有權 | 幾分鐘 | 部落格、形象站、作品集 | 免費起 |
| OV(Organization Validation) | 網域+公司登記 | 1 到 3 天 | 中小企業官網、一般電商 | 付費 |
| EV(Extended Validation) | 網域+完整公司文件 | 數天,最嚴格 | 金融、大型電商、高敏感場景 | 付費最高 |
等級看下來,其實選擇邏輯可以濃縮成一句話:純內容站用 DV、有會員或訂單用 OV、牽涉大額金流或個資用 EV。如果你還在猶豫,多半是 OV。會卡在 DV 與 OV 之間的,通常是怕花錢的初創站長,但一年的 OV 憑證費用跟主機費比起來其實很有限,把它當成 WordPress 架站費用最划算搭配 的一部分就好。
WordPress 安裝 SSL 的三條路線
WordPress 裝 SSL 主要三條路線:主機後台一鍵開啟(最常見)、用 Really Simple SSL 之類外掛自動處理、或手動向憑證機構申請後安裝。絕大多數現代虛擬主機都會直接附免費 SSL,開啟後等幾小時生效即可,新手幾乎不用碰程式碼。
第一種、也最省事的是主機內建。以 Bluehost 為例,進到 My Sites 後在 Security 項目找到 Security Certificate,把開關切到 ON 就完成。Bluehost 主機方案與費用評價 與 Bluehost 主機附贈免費 SSL 憑證 都會附帶這項功能。Cloudways、SiteGround、A2 Hosting 也都預裝 Let's Encrypt,這已是 四種虛擬主機類型比較選擇 裡的主流標配,FastComet 虛擬主機架站教學、HostGator 虛擬主機與 WordPress 安裝 同樣在後台提供一鍵開啟。
主機沒有內建時,改用外掛代勞。Really Simple SSL 會自動把 http 轉 https 並修復混合內容,適合不想碰後台設定的站長。安裝方法可參考 WordPress 外掛安裝三種方法,啟用後外掛會顯示網站已成功啟用 SSL,並列出已完成與待修正的項目,剛架好站的站長通常會把它排進必裝清單。
走到手動申請這一步,多半是因為要用付費 OV/EV 憑證。向 GoDaddy、Sectigo 等機構購買後,在 cPanel 或主機面板安裝憑證檔,hosting.com 主機後台開箱評價、A2 Hosting 架站與 SSL 安裝指南 這類教學會走這條路。手動安裝需要貼憑證檔與金鑰,新手建議在熟悉 cPanel 後再嘗試,否則容易裝錯讓網站暫時掛掉。
- 確認網站已用 WordPress 安裝四種主流方法 架好、能正常以 http 開啟
- 挑路線:主機內建優先,沒有就用 Really Simple SSL 外掛,OV/EV 才走手動
- 開啟 SSL 後,到設定把網址從 http 改成 https
- 設定強制 HTTPS 導向,把所有 http 請求轉到 https
- 檢查並修復混合內容(mixed content),把頁面裡的 http 圖片、腳本、CSS 全改成 https
- 等數小時生效後,用檢測工具確認安裝成功
步驟裡的強制 HTTPS 導向與混合內容修復是兩個最容易漏掉的環節。強制導向可參考 301 與 302 轉址 SEO 實作,它會把 http 請求全部重導到 https;WordPress 永久連結 SEO 設定 與 SEO 網址優化與 HTTPS 結構 也牽涉網址一致性,建議一併處理。生效時間不等,過一天再用檢測工具確認最穩。
混合內容排解實務:鎖頭變驚嘆號的逐層抓法
混合內容是安裝 SSL 後最普遍的殘留問題,處理起來有固定流程可循。瀏覽器會把頁面裡任何一個仍用 http 載入的資源(圖片、腳本、CSS、iframe、字型)視為安全破口,後果輕則驚嘆號取代鎖頭,重則該資源被瀏覽器直接擋下不顯示,導致版面崩壞。逐層抓法的第一步是開啟瀏覽器開發者工具的 Console 與 Network 面板,過濾出混合內容警告,逐一記下是哪幾個 URL 還挂在 http。
第二步要區分混合內容的兩種類型,因為處理方式不同。被動混合內容指圖片、影片、音訊這類只顯示不執行的資源,瀏覽器通常仍會載入,只降級顯示警告;主動混合內容指 JavaScript、CSS、iframe 這類會執行的資源,現代瀏覽器多半直接封鎖,後果更嚴重,常導致功能失效。找出後,處理手段是把這些資源的 http 統一改成 https,若是外掛或佈景主題硬編碼的舊網址,就得在資料庫或檔案裡搜尋替換。
常見的混合內容來源有幾個固定熱區,先檢查這些地方能省下大量排查時間。佈景主題的 header 與 footer 常硬編碼 Google Fonts、追蹤碼或圖示字型的 http 網址;舊文章內嵌的圖片網址若當初用絕對路徑寫死,全站轉 https 後會集體變成混合內容;第三方外掛載入的分析碼、聊天室小工具、社群按讚按鈕,也可能在其設定頁面留有 http 選項。逐項確認這幾個熱區,能解決絕大多數的殘留警告。
怎麼確認 SSL 真的裝好了?三層檢測從簡易到進階
最簡單看網址列有沒有 https 與鎖頭;進一步用 GoDaddy、TWNIC 等免費線上工具檢測憑證有效性;最徹底用 Qualys SSL Labs 的 SSL Server Test,會給 A+ 到 F 的評分並列出所有設定風險。三層檢測由淺入深,遇到問題時要往上追到哪一層,取決於你想確認的是「有沒有裝」還是「裝得好不好」。看不懂網址列差異的人,可以先讀 網址路徑是什麼 把基礎結構弄清楚。
簡易判斷只要看網址列。網址開頭是 https、有鎖頭、點開顯示「已建立安全連線」,就代表憑證基本生效。這是最快的第一關,但只能確認「有掛憑證」,無法判斷設定細節。如果你的網站連這關都過不了,先回頭檢查 30 分鐘架好 WordPress 網站 與 自架網站常見錯誤與資安地雷 裡的 SSL 步驟是否漏掉。
一般工具推薦兩個。GoDaddy SSL Checker 直接輸入完整網址即可,網域申請購買與 DNS 設定、網域怎麼買的註冊指南 搭配這類工具很順手。財團法人台灣網路資訊中心(TWNIC)則提供 SSL 檢測,輸入時不可含 https://,否則會出錯,例如要查 example.com 就只填這串網域。DNS 網域名稱指向設定教學 對照使用更清楚。
| 檢測層級 | 工具 | 輸入方式 | 能確認什麼 |
|---|---|---|---|
| 簡易 | 瀏覽器網址列 | 直接開網站 | 有 https、鎖頭、安全連線 |
| 一般 | GoDaddy SSL Checker | 完整網址(含 https) | 憑證有效性、是否過期 |
| 一般 | 財團法人台灣網路資訊中心 | 僅網域(不含 https://) | 憑證有效性、網路連線 |
| 進階 | Qualys SSL Labs SSL Server Test | 網域 | 協定版本、加密套件、憑證鏈、A+ 到 F 評分 |
進階工具用 Qualys SSL Labs 的免費 SSL Server Test,它會檢測協定版本、加密套件、憑證鏈,並給出 A+ 到 F 的評分。目標是拿到 A 以上,A+ 是最高等級。結果頁會詳細列出網站的 SSL 相關設定值,並標出有風險的項目。這對技術性 SEO 與網站速度的進階調整很有參考價值。若想進一步追蹤自家品牌在網路上的被提及狀況,Ahrefs Brand Radar 指標解析 是可搭配的工具。
檢測結果常見的紅燈有幾種。憑證過期是最直接的,瀏覽器會擋下整站;憑證鏈不完整會導致部分瀏覽器不信任,需要補上中間憑證;使用已淘汰的 TLS 1.0 或 1.1 會被評分扣分,現在至少要 1.2 起跳;混合內容則會讓鎖頭變驚嘆號。這些問題在 Core Web Vitals SEO 核心指標 與 網站速度測試免費工具比較 的整體健檢裡也會一起被揪出來,若要系統性掃出整站的 http 資源,Screaming Frog SEO 爬蟲工具 是很順手的選擇。
SSL 憑證會過期嗎?續約與常見錯誤排解
會,免費憑證效期 90 天(通常自動續約)、付費憑證最長 398 天。憑證一過期,瀏覽器就會把網站標成不安全,訪客進不來、SEO 也受衝擊,所以務必設定續約提醒或開啟自動續約。這不是可以拖著不管的小事,一張過期憑證就能讓整站流量直接崩跌。
效期規則要記住。免費 Let's Encrypt 效期為 90 天(依其官方文件),付費最長約 1 年,也就是 398 天上限。2020 年起 Apple、Google、Mozilla 不再接受有效期超過 398 天的 SSL 憑證(規範見 CA/Browser Forum 的 ballot),市面上聲稱可買 2 年以上效期的多半是誤導,正確做法是設定自動續約或到期提醒,追求長效憑證反而走偏了方向。免費憑證三個月自動續約是主流主機的標配,前提是你的主機有支援。
自動續約的機制因安裝路線而異。主機或外掛(如 Really Simple SSL)通常會在到期前自動重簽,使用者無感;手動購買的付費憑證則要自己記日期,建議在行事曆設到期前一個月的提醒。如果用的是 WordPress 快取加速外掛推薦 或 CDN 網站加速與傳輸優化 這類會快取頁面的工具,續約後記得清快取,否則訪客可能還看到舊的憑證狀態。
過期徵兆很明確。瀏覽器會顯示 NET::ERR_CERT_DATE_INVALID 之類的錯誤碼,整站被擋,Google Search Console 也會出現覆蓋範圍錯誤。還沒安裝的話,先照 Google Search Console 安裝設定 把站接上,再透過 Search Console 的網址檢查工具 確認是哪一頁的憑證出問題。確認問題範圍後,回到主機或外掛重新簽發憑證;若是手動憑證,聯絡當初購買的 CA 重新核發即可。除了 Google,Bing Webmaster Tools 安裝教學 也能用來交叉比對索引與收錄狀態。
「無法建立安全連線」這個訊息的排除流程有固定套路:先檢查憑證是否到期,再確認網域 DNS 是否正確指向主機,最後看憑證鏈是否完整。這三項檢查涵蓋了九成以上的案例,剩下的一成通常是主機端的埠號或防火牆設定問題。如果是自動續約失效,回頭確認主機或外掛的排程沒被停用、憑證檔權限正確即可。跑 電商平台比較與選擇指南 這類有金流的站遇到這個錯誤要優先處理,因為每分鐘的停機都代表訂單流失。
SSL 的價值遠超過加密本身,它真正的定位是搜尋排名、瀏覽器信任、金流合規三者共通的基礎設定。先把「自己的網站在處理什麼資料」搞清楚,再依資料敏感度決定驗證等級,會比單純糾結免費或付費更有效率。裝好之後別忘了定期續約,一張過期憑證就能讓整站被瀏覽器擋下,把前面所有 SEO 與信任累積打回原點。想從更上層的角度理解 HTTPS 在 SEO 裡的位置,可以看 Google 搜尋演算法核心規則 與 EEAT 贏得 Google 信任的 SEO 策略;現在搜尋結果越來越常出現 Google AI Overviews 摘要,HTTPS 是被 AI 引用時的基本門檻。
SSL 只是網站健檢的一環,網站維護費用自己做 vs 委外 也都該一併納入例行維護清單。它解決的是傳輸加密這個特定問題,其他面向的防護一樣不能省;若你經營的是非營利組織網站,SEO 公益計畫免費資源 也會把 SSL 設定列入基礎健檢項目。
SSL 憑證常見問題
免費 SSL 跟付費 SSL 哪裡不一樣?
加密強度兩者完全相同,差別在驗證深度、效期、賠償與多網域支援。免費憑證效期 90 天且通常自動續約,付費最長 398 天並附損害賠償條款。處理金流或多網域的電商適合付費,純內容站用免費即可,主機選擇可參考 虛擬主機完整挑選指南。
DV、OV、EV 三種憑證我該選哪種?
依網站類型決定。DV 只驗網域、核發快,適合部落格與形象站;OV 額外驗公司、適合中小企業官網與一般電商;EV 驗證最嚴、適合金融與高敏感場景。加密強度三者相同,差別只在驗證深度。若網站牽涉重複網址問題,可一併看 Canonical URL 重複內容處理。
SSL 憑證會過期嗎?多久要續約一次?
會。免費憑證效期 90 天,通常由主機或外掛自動續約;付費憑證最長 398 天,需手動續約或設提醒。憑證一過期瀏覽器就會擋下整站,SEO 與流量都會受衝擊,可用 Google Search Console 驗證設定教學 與 Search Console SEO 成效檢查技巧 追蹤覆蓋範圍錯誤,Google Search Console 基礎介紹 則適合剛接觸這套工具的人先讀過一遍,續約後記得做一次完整備份。
為什麼網址列顯示不安全?
常見原因是網站沒裝 SSL、憑證已過期,或頁面存在混合內容(部分資源仍用 http 載入)。自 2018 年 7 月起 Chrome 對所有 HTTP 網站標示「不安全」,沒掛憑證的網站一律會出現這個警告。
有了 SSL 網站就一定安全嗎?
不一定。SSL 只保護資料在傳輸過程中被攔截,無法防止伺服器被入侵、外掛漏洞或弱密碼破解。網站安全還需要搭配登入防護、定期備份、外掛更新等多層措施,SSL 只是其中一環,完整的 WordPress 自架網站費用拆解 會把資安成本算進去,SEO 友善網站架構設計 與 UpdraftPlus 備份還原教學 也該一併規劃。