Defaults.Exposed

Defaults.Exposed修復 › HTTPS 與強制安全跳轉

如何修復 HTTPS 與強制安全跳轉

HTTPS 就是瀏覽器網址列裡那把鎖——它加密你網站與客戶之間往來的一切,讓傳輸途中無人能讀取或篡改。強制安全跳轉則確保訪客即便在地址裡沒敲「https://」,也會被自動送到那個加密版本上。兩者合在一起,是一個網站能被視為安全的最基本前提。

對您業務的關鍵影響: 沒有 HTTPS,客戶發給你的每一個密碼、卡號和訊息都以可讀明文穿越網際網路,而且 Chrome、Edge、Safari 和 Firefox 都會在訪客讀到一個字之前,給你的網站蓋上「不安全」的戳。沒有跳轉,即便裝了憑證的網站,也會讓頭一次訪問毫無保護。兩者都讓你失去信任、銷售和搜尋排名——而兩者都免費、幾分鐘就能修。

這會讓您付出什麼代價

為什麼它重要。 HTTPS 是網站安全的地板,不是天花板——它讓那把鎖出現,並阻止你客戶發送的一切在途中被讀取或改動。強制安全跳轉封住了僅有憑證時還敞著的那個缺口:人們幾乎從不敲「https://」,所以沒有跳轉,他們的第一個請求會在安全版本載入前就以無保護狀態傳出去。一個缺了其中任何一項的網站,在訪客眼裡顯得不安全、在搜尋裡排名更低、並暴露真實的客戶資料——這正是為什麼它是我們評分中權重最重的單項失敗。

這是什麼,大白話版

HTTPS 是你網站的安全、加密版本——就是網址列裡顯示一把鎖的那個。訪客處於 HTTPS 時,他們瀏覽器與你網站之間往來的一切(他們看到的頁面、填的表單、密碼、卡號)都被打亂,讓中間任何人都讀不了也改不了。普通版本 HTTP 則把所有這些以可讀文字發送,同一網路上的任何人都能攔截。

把這件事做對有兩部分,我們兩個都查:

你兩個都要。一張有憑證卻沒有跳轉的網站,就是一扇上了鎖、訪客卻能直接繞過去的前門。

商業利害

這是一個網站是否安全的最基本信號——而且至關重要的是,它是你客戶能親眼看見的那一個。每一個現代瀏覽器(Chrome、Edge、Safari、Firefox)都會在網址列裡把一個沒有 HTTPS 的網站標為**「不安全」**,並在有人試圖往表單裡打字時顯示警告。你的訪客不需要懂憑證是什麼,就會對那個詞作出反應。

除了那個看得見的警告,這還影響三件業主直接在乎的事:信任(人們會離開看起來不安全的網站)、搜尋排名(Google 多年來一直把 HTTPS 當作排名信號、偏向安全網站)和真實暴露(以普通 HTTP 發送的資料確實能被同一網路上的他人讀到)。它也是一個大客戶的安全團隊在盡職調查裡幾秒鐘就會查的那類東西——缺了它可能讓一筆生意擱淺。

這會讓你付出什麼代價

它到底是什麼

當瀏覽器透過 HTTPS 連上一個網站時,會發生兩件事。第一,網站出示一張憑證——一份由受信任機構簽發的資格證明,證明網站是它所聲稱的那個。第二,瀏覽器和伺服器商定一把加密金鑰,用它打亂彼此交換的一切。我們的第一項檢查,HTTPS 可用,只是問:我們能否在標準安全埠(443)上與你的網站建立一個安全的 TLS 連線、並取回一張有效憑證?能,那把鎖就能出現,加密開啟。不能,那你的網站就根本沒有安全版本——這是我們評分中權重最重的失敗。

第二項檢查,強制安全跳轉,涵蓋了僅有憑證時還敞著的一個缺口。人們敲的是「yourbusiness.com」,而不是「https://yourbusiness.com」。那個光禿禿的請求先去了普通的 HTTP 版本。跳轉是一行指令,說「把任何到達不安全版本的人,直接送到安全版本」。我們的檢查問:當我們請求你的普通 HTTP 地址時,你的網站會把我們彈到 HTTPS 嗎?會的話,無論訪客怎麼敲你的地址,每一個人最終都受保護。不會的話,那最初無保護的一跳會以明文攜帶瀏覽器發送的一切——Cookie、表單資料。

「好」長什麼樣: 一張有效、受信任的憑證,讓每個頁面都顯示那把鎖,並且每一個普通 HTTP 請求都被自動跳轉到 HTTPS 版本(最好用永久的「301」跳轉,它還會把你的搜尋排名乾淨地傳遞給安全地址)。

如何修復(免費,約 15 分鐘)

把這一節交給你的 IT 人員或主機商支援——修復免費。 這兩部分都分文不取:受信任的憑證是免費的、會自我續期,而打開跳轉在多數平台上就是一個設定。通過這項檢查不需要任何付費產品。

有兩樣東西要打開。在多數現代主機上,做完第一樣常常讓第二樣變成一鍵開關。

1. 拿一張憑證讓 HTTPS 生效(那把鎖)。

2. 強制每一個訪客走 HTTPS(那個跳轉)。

兩者都打開後測一下:在地址前面敲上普通的 http://,確認瀏覽器自動跳到帶鎖的 https:// 版本,並確認主要頁面上都顯示那把鎖。

常見錯誤

FAQ

見上方的問題——它們涵蓋了不懂技術的「我自己能做嗎」、有鎖與強制跳轉的區別、憑證的費用與續期、純展示網站是否需要它,以及它與 HSTS 的關係。

常見問題

我不懂技術——這個我自己能搞定嗎?

你不需要懂任何細節。這兩半都由運營你網站或主機的人打開,在多數現代平台上就是一張免費憑證加一個開關——往往真的就是一個標著「始終使用 HTTPS」的核取方塊。把「如何修復」一節交給你的網站人員或主機商支援;修復分文不取,通常幾分鐘搞定。

我的網站上已經有一把鎖了——是不是就完事了?

可能沒有。那把鎖意味著你的安全(HTTPS)版本存在,但它不保證訪客被送到那個版本上。如果有人敲你的地址時沒帶「https://」,而你的網站不跳轉他們,他們的第一次連線仍是未加密的。鎖的檢查和跳轉的檢查是兩回事——你兩個都要。

憑證是不是很貴、很難續期?

不是。來自 Let's Encrypt 的免費憑證被每一個主流瀏覽器信任,且會自動續期,所以沒什麼要記的、也沒什麼要付的。付費憑證是有,但對一個普通的企業網站來說並不提供額外的安全——加密是完全一樣的。

我們網站上不收款也不需登入——這還重要嗎?

重要。無論網站做什麼,瀏覽器都會把任何非 HTTPS 網站標為「不安全」,所以哪怕一個純展示網站也會失去信任和搜尋排名。HTTPS 還能阻止中間的任何人在訪客載入頁面時,往你的頁面裡注入虛假內容、詐騙彈出視窗或惡意軟體。

打開強制跳轉會不會搞壞我的網站?

只要你的安全版本已經能用——如果你有一張有效憑證,它就能用——打開就是安全的。標準做法是先確認你的網站能透過 https:// 正常載入,再打開跳轉。唯一要留意的是混合內容(見下方「常見錯誤」),它很容易發現和修復。

這個和 HSTS 有什麼區別?

本頁講的是究竟有沒有 HTTPS、以及把訪客送上去。HSTS 是更進一步:它告訴瀏覽器記住你的網站是僅限 HTTPS,從此再也不准用不安全方式連線——它強化了你在這裡搭好的東西。先把 HTTPS 和跳轉做對;HSTS 是建在其上的。