Defaults.Exposed › 修復 › HTTPS 與強制安全跳轉
如何修復 HTTPS 與強制安全跳轉
HTTPS 就是瀏覽器網址列裡那把鎖——它加密你網站與客戶之間往來的一切,讓傳輸途中無人能讀取或篡改。強制安全跳轉則確保訪客即便在地址裡沒敲「https://」,也會被自動送到那個加密版本上。兩者合在一起,是一個網站能被視為安全的最基本前提。
對您業務的關鍵影響: 沒有 HTTPS,客戶發給你的每一個密碼、卡號和訊息都以可讀明文穿越網際網路,而且 Chrome、Edge、Safari 和 Firefox 都會在訪客讀到一個字之前,給你的網站蓋上「不安全」的戳。沒有跳轉,即便裝了憑證的網站,也會讓頭一次訪問毫無保護。兩者都讓你失去信任、銷售和搜尋排名——而兩者都免費、幾分鐘就能修。
這會讓您付出什麼代價
- 一個初次訪客在你的頁面載入的瞬間看到一個大大的「不安全」警告。多數人會以為這網站是假的、壞的或不安全的,轉身去找競爭對手——而你甚至不知道這筆生意丟了。
- 一個客戶在咖啡館、酒店或機場透過未加密連線輸入卡號或登入。同一 WiFi 上的某人以明文讀到了它,隨後發生的盜刷被算到你頭上。
- 一個大客戶的採購或安全團隊在簽約前快速掃一下,發現沒有 HTTPS 或缺少強制安全跳轉,於是把合約擱置,直到你能證明已修好。
- Google 把你排在提供 HTTPS 的競爭對手之後,於是你多年裡悄悄流失搜尋流量,卻從未把它和這個缺口聯繫起來。
- 監管方或你的付款服務商把以明文發送個人或卡資料當作須上報的過失,讓一個五分鐘的免費修復變成一個合規問題。
為什麼它重要。 HTTPS 是網站安全的地板,不是天花板——它讓那把鎖出現,並阻止你客戶發送的一切在途中被讀取或改動。強制安全跳轉封住了僅有憑證時還敞著的那個缺口:人們幾乎從不敲「https://」,所以沒有跳轉,他們的第一個請求會在安全版本載入前就以無保護狀態傳出去。一個缺了其中任何一項的網站,在訪客眼裡顯得不安全、在搜尋裡排名更低、並暴露真實的客戶資料——這正是為什麼它是我們評分中權重最重的單項失敗。
這是什麼,大白話版
HTTPS 是你網站的安全、加密版本——就是網址列裡顯示一把鎖的那個。訪客處於 HTTPS 時,他們瀏覽器與你網站之間往來的一切(他們看到的頁面、填的表單、密碼、卡號)都被打亂,讓中間任何人都讀不了也改不了。普通版本 HTTP 則把所有這些以可讀文字發送,同一網路上的任何人都能攔截。
把這件事做對有兩部分,我們兩個都查:
- 到底有沒有 HTTPS? 你的網站有沒有一張能用的安全憑證,讓那個加密、帶鎖的版本存在?這是兩者中更嚴重的一個——沒有它就根本沒有加密。
- 你的網站強制訪客用它嗎? 幾乎沒人會手動敲「https://」。如果有人只敲你的網域,他們的瀏覽器會先試普通的 HTTP 版本。一個強制安全跳轉會自動把那個請求彈到加密版本。沒有它,即便你有憑證,每次訪問的最初片刻也是無保護的。
你兩個都要。一張有憑證卻沒有跳轉的網站,就是一扇上了鎖、訪客卻能直接繞過去的前門。
商業利害
這是一個網站是否安全的最基本信號——而且至關重要的是,它是你客戶能親眼看見的那一個。每一個現代瀏覽器(Chrome、Edge、Safari、Firefox)都會在網址列裡把一個沒有 HTTPS 的網站標為**「不安全」**,並在有人試圖往表單裡打字時顯示警告。你的訪客不需要懂憑證是什麼,就會對那個詞作出反應。
除了那個看得見的警告,這還影響三件業主直接在乎的事:信任(人們會離開看起來不安全的網站)、搜尋排名(Google 多年來一直把 HTTPS 當作排名信號、偏向安全網站)和真實暴露(以普通 HTTP 發送的資料確實能被同一網路上的他人讀到)。它也是一個大客戶的安全團隊在盡職調查裡幾秒鐘就會查的那類東西——缺了它可能讓一筆生意擱淺。
這會讓你付出什麼代價
- 無聲的離開。 一個潛在客戶從搜尋結果或廣告點進來,頁面帶著一個灰色的「不安全」徽章載入出來——或者更糟,一個全螢幕警告。他們不會發郵件來問為什麼;他們只是關掉標籤頁,點下一條結果。你為那次訪問付了錢,卻在他們讀到一個字之前就把它弄丟了,而你的分析裡沒有任何東西告訴你原因。
- 被攔截的登入或付款。 一個客戶在酒店或咖啡館用共享 WiFi 時登入或結帳。因為連線沒有加密,附近某人以明文捕獲了他的密碼或卡號。隨之而來的欺詐被報為你的洩露,而接那些憤怒電話和退款的是你。
- 擱淺的生意。 一個大客戶準備簽了,但他們的採購流程包含對你網站的快速安全檢查。結果標記出沒有 HTTPS、或缺少強制安全跳轉。一下子你不是在成交,而是在解釋一個基本的安全缺口——合約等著,或悄悄花落於通過了檢查的競爭對手。
- 緩慢的排名滲漏。 兩家企業賣同樣的東西;一家提供安全 HTTPS,一家沒有。搜尋引擎把安全的那家往上推。幾個月裡你穩穩流失一縷免費流量,卻從未把它和這一個設定聯繫起來。
- 你從沒寫過的注入內容。 在未加密連線上,中間的任何人——一個可疑的公共網路、一個被攻陷的路由器——都能在訪客載入你頁面時,往裡塞虛假彈出視窗、詐騙優惠或惡意軟體。對那個訪客而言,看起來就像是你的網站干的。
它到底是什麼
當瀏覽器透過 HTTPS 連上一個網站時,會發生兩件事。第一,網站出示一張憑證——一份由受信任機構簽發的資格證明,證明網站是它所聲稱的那個。第二,瀏覽器和伺服器商定一把加密金鑰,用它打亂彼此交換的一切。我們的第一項檢查,HTTPS 可用,只是問:我們能否在標準安全埠(443)上與你的網站建立一個安全的 TLS 連線、並取回一張有效憑證?能,那把鎖就能出現,加密開啟。不能,那你的網站就根本沒有安全版本——這是我們評分中權重最重的失敗。
第二項檢查,強制安全跳轉,涵蓋了僅有憑證時還敞著的一個缺口。人們敲的是「yourbusiness.com」,而不是「https://yourbusiness.com」。那個光禿禿的請求先去了普通的 HTTP 版本。跳轉是一行指令,說「把任何到達不安全版本的人,直接送到安全版本」。我們的檢查問:當我們請求你的普通 HTTP 地址時,你的網站會把我們彈到 HTTPS 嗎?會的話,無論訪客怎麼敲你的地址,每一個人最終都受保護。不會的話,那最初無保護的一跳會以明文攜帶瀏覽器發送的一切——Cookie、表單資料。
「好」長什麼樣: 一張有效、受信任的憑證,讓每個頁面都顯示那把鎖,並且每一個普通 HTTP 請求都被自動跳轉到 HTTPS 版本(最好用永久的「301」跳轉,它還會把你的搜尋排名乾淨地傳遞給安全地址)。
如何修復(免費,約 15 分鐘)
把這一節交給你的 IT 人員或主機商支援——修復免費。 這兩部分都分文不取:受信任的憑證是免費的、會自我續期,而打開跳轉在多數平台上就是一個設定。通過這項檢查不需要任何付費產品。
有兩樣東西要打開。在多數現代主機上,做完第一樣常常讓第二樣變成一鍵開關。
1. 拿一張憑證讓 HTTPS 生效(那把鎖)。
- Cloudflare: 如果你的網站在 Cloudflare 後面,SSL 由它替你處理。把 SSL/TLS 模式設為「Full」(若你的來源端也有憑證則設為「Full (strict)」)。
- 建站工具和託管主機(Squarespace、Wix、Shopify、Webflow、GoDaddy 建站工具,多數 Microsoft 365 / Google Workspace 網站託管):HTTPS 自動提供;只要確認在你的網站/網域設定裡啟用了——通常沒什麼要安裝的。
- cPanel 主機: 打開 SSL/TLS Status 並執行 AutoSSL,它會簽發一張免費的 Let’s Encrypt 憑證。
- 你自己的伺服器(VPS): 用 Certbot 安裝 Let’s Encrypt——
sudo certbot --nginx -d yourdomain.com(或--apache)。它會取得並安裝一張免費憑證,並設好自動續期。 - 其他任何情況: 聯繫你主機商的支援,請他們「為我的網域啟用一張免費的 SSL 憑證」。幾乎所有主機商都免費提供這個。
2. 強制每一個訪客走 HTTPS(那個跳轉)。
- Cloudflare: SSL/TLS → Edge Certificates → 打開 「Always Use HTTPS」。這就是全部活兒。
- 建站工具(Squarespace、Wix、Shopify 等): 在你的網站設定裡找一個「Force HTTPS」或「Secure (HTTPS)」開關,把它打開。
- Nginx: 在 80 埠加一個返回永久跳轉的 server 區塊——
return 301 https://$host$request_uri;。 - Apache(.htaccess): 啟用重寫並跳轉任何非 HTTPS 請求——
RewriteEngine On、RewriteCond %{HTTPS} off、RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]。 - IIS(Windows 主機): 安裝 URL Rewrite 模組,添加一條「HTTP to HTTPS」跳轉規則。
兩者都打開後測一下:在地址前面敲上普通的 http://,確認瀏覽器自動跳到帶鎖的 https:// 版本,並確認主要頁面上都顯示那把鎖。
常見錯誤
- 裝了憑證,卻沒有跳轉。 最常見的缺口。你訪問自己網站時看到那把鎖(因為你的瀏覽器記住了 HTTPS),就以為搞定了——但敲光禿禿網域的新訪客仍然先落在 HTTP 上。永遠顯式地測一下普通的
http://版本。 - 混合內容。 你的頁面透過 HTTPS 載入,卻從一個舊的
http://地址引入圖片、腳本或字型。瀏覽器要麼攔掉它、要麼把鎖降級成警告。把那些引用更新到https://(或改成相對連結)。多數平台都有一個「混合內容」或「不安全內容」報告能找到它們。 - 用了臨時(302)跳轉而非永久(301)跳轉。 302 對訪客有效,但告訴搜尋引擎這次遷移是臨時的,所以排名價值不會乾淨地傳到你的安全地址。用永久的 301。
- 只跳轉光禿禿的網域,不管「www」(或反過來)。 確保
yourdomain.com和www.yourdomain.com都落到 HTTPS 上,否則有一條路徑仍然暴露。 - 讓憑證過期。 一張失效的憑證會拋出一個全螢幕瀏覽器報錯,把訪客當場擋住。免費的 Let’s Encrypt 憑證自動續期;如果你是手動買的,就提前設個日曆提醒。
FAQ
見上方的問題——它們涵蓋了不懂技術的「我自己能做嗎」、有鎖與強制跳轉的區別、憑證的費用與續期、純展示網站是否需要它,以及它與 HSTS 的關係。
常見問題
我不懂技術——這個我自己能搞定嗎?
你不需要懂任何細節。這兩半都由運營你網站或主機的人打開,在多數現代平台上就是一張免費憑證加一個開關——往往真的就是一個標著「始終使用 HTTPS」的核取方塊。把「如何修復」一節交給你的網站人員或主機商支援;修復分文不取,通常幾分鐘搞定。
我的網站上已經有一把鎖了——是不是就完事了?
可能沒有。那把鎖意味著你的安全(HTTPS)版本存在,但它不保證訪客被送到那個版本上。如果有人敲你的地址時沒帶「https://」,而你的網站不跳轉他們,他們的第一次連線仍是未加密的。鎖的檢查和跳轉的檢查是兩回事——你兩個都要。
憑證是不是很貴、很難續期?
不是。來自 Let's Encrypt 的免費憑證被每一個主流瀏覽器信任,且會自動續期,所以沒什麼要記的、也沒什麼要付的。付費憑證是有,但對一個普通的企業網站來說並不提供額外的安全——加密是完全一樣的。
我們網站上不收款也不需登入——這還重要嗎?
重要。無論網站做什麼,瀏覽器都會把任何非 HTTPS 網站標為「不安全」,所以哪怕一個純展示網站也會失去信任和搜尋排名。HTTPS 還能阻止中間的任何人在訪客載入頁面時,往你的頁面裡注入虛假內容、詐騙彈出視窗或惡意軟體。
打開強制跳轉會不會搞壞我的網站?
只要你的安全版本已經能用——如果你有一張有效憑證,它就能用——打開就是安全的。標準做法是先確認你的網站能透過 https:// 正常載入,再打開跳轉。唯一要留意的是混合內容(見下方「常見錯誤」),它很容易發現和修復。
這個和 HSTS 有什麼區別?
本頁講的是究竟有沒有 HTTPS、以及把訪客送上去。HSTS 是更進一步:它告訴瀏覽器記住你的網站是僅限 HTTPS,從此再也不准用不安全方式連線——它強化了你在這裡搭好的東西。先把 HTTPS 和跳轉做對;HSTS 是建在其上的。