浏览器地址栏那个小锁图标?那就是 HTTPS
访问一个网站时看到 URL 旁边的小锁,说明浏览器和服务器之间的连接是加密的。这就是 HTTPS 的作用。
没有它,浏览器会显示"不安全"警告——Google 也会。从 2014 年起,HTTPS 就是确认的排名信号。从 2018 年起,Chrome 把所有 HTTP 页面标记为"不安全"。还在用 HTTP 的网站,真的没有理由了。
没有 HTTPS 会怎样
数据以明文传输。 用户输入的任何东西——密码、表单数据、搜索查询——都可以被同一网络上的任何人截获。在咖啡店的 Wi-Fi 里,那就是所有人。
浏览器吓跑访客。 "不安全"的警告会瞬间杀死信任。转化率下降,跳出率飙升。
损失排名权重。 Google 已经非常明确:HTTPS 是排名信号。其他条件相同的情况下,HTTPS 页面胜出。
现代功能被封锁。 HTTP/2、Service Worker、地理位置 API 等许多浏览器功能都需要 HTTPS。没有它,你的网站就被困在过去。
混合内容陷阱
一个隐蔽的问题:你的网站有 HTTPS,但某些资源(图片、脚本、样式表)仍然通过 HTTP 加载。这叫混合内容,它会:
- 即使在 HTTPS 页面上也触发浏览器警告
- 如果浏览器拦截了不安全的资源,会破坏功能
- 削弱 HTTPS 本应提供的安全性
混合内容是最常见的 HTTPS 问题之一——也是最容易忽略的。
常见的 HTTPS 问题
| 问题 | 后果 |
|---|---|
| 完全没有 SSL 证书 | 浏览器显示"不安全",用户离开 |
| 证书过期 | 浏览器用吓人的警告完全阻止访问 |
| 混合内容 | 部分资源通过 HTTP 加载,触发警告 |
| HTTP 页面没有重定向到 HTTPS | 重复内容,链接权重分裂 |
| 证书与域名不匹配 | 浏览器拒绝连接 |
怎么做对
安装有效的 SSL/TLS 证书。 Let's Encrypt 提供免费证书。大多数托管服务商也会附带。
把所有 HTTP 重定向到 HTTPS。 每个 HTTP URL 都应该 301 重定向到 HTTPS 对应版本。没有例外。
修复混合内容。 把所有内部引用(图片、脚本、样式表)更新为 HTTPS URL。
更新 sitemap 和 canonical 标签。 确保都指向 HTTPS 版本。
全站审计 HTTPS
单个页面可能看起来没问题,但混合内容和重定向问题往往藏在网站深处。自动化审计应该:
- 检查每个页面是否通过 HTTPS 提供
- 检测每个页面的混合内容
- 验证 HTTP→HTTPS 重定向是否到位
- 检查证书有效性和到期日期
- 标记证书不匹配错误
Kaitico 检查每个爬取页面的 HTTPS 状态和混合内容,帮你发现并修复全站的安全问题。