HTTPS(超文字傳輸協議安全版)是 HTTP 的加密版本——瀏覽器與網站通訊使用的協議。當站點使用 HTTPS 時,瀏覽器與伺服器之間的所有資料都被加密,防止中間任何人讀取或修改。
你可以透過 URL 中的 https:// 字首和瀏覽器位址列中的鎖頭圖示識別 HTTPS 站點。截至 2026 年,86.9% 的網站使用 HTTPS,瀏覽器將所有 HTTP 站點標記為”不安全”。
HTTPS 如何工作
HTTPS 在常規 HTTP 之上新增 TLS(傳輸層安全)加密。當你訪問 HTTPS 網站時,毫秒內會發生 TLS 握手:
- 瀏覽器連線 —— 向伺服器傳送支援的 TLS 版本、密碼套件和隨機數
- 伺服器響應 —— 傳送選定的密碼套件、SSL/TLS 證書(包含公鑰)和隨機數
- 瀏覽器驗證 —— 檢查證書是否過期、是否匹配域名、是否由受信任的憑證授權機構簽名
- 協商會話金鑰 —— 雙方使用非對稱加密(Diffie-Hellman 金鑰交換)協商共享會話金鑰
- 加密通訊開始 —— 所有後續資料用對稱會話金鑰加密
握手後,一切都被加密:HTML、圖片、CSS、JavaScript、表單提交、Cookie、API 響應和 URL 路徑。
HTTP vs HTTPS
| HTTP | HTTPS | |
|---|---|---|
| 加密 | 無——資料明文傳送 | 所有資料用 TLS 加密 |
| 預設埠 | 80 | 443 |
| URL 字首 | http:// | https:// |
| 需要證書 | 否 | 是(SSL/TLS 證書) |
| 瀏覽器標識 | ”不安全”警告 | 鎖頭圖示 |
| 資料完整性 | 無——資料可被中途篡改 | 有——篡改會被檢測 |
| 身份認證 | 無——無法證明伺服器真實性 | 證書證明伺服器身份 |
| SEO 訊號 | 負面(自 2014 年) | 正面(Google 排名因素) |
| HTTP/2 支援 | 否(實際上) | 是——更快的頁面載入 |
| 必需於 | 無現代功能 | Service workers、地理位置、攝像頭/麥克風 API、支付表單 |
差距不僅僅是安全性——HTTPS 啟用了 HTTP 無法使用的現代 Web 功能。瀏覽器將 Service Workers、Geolocation API、Clipboard API 和其他強大 API 限制為僅 HTTPS 來源。
為什麼每個網站都需要 HTTPS
隱私
沒有 HTTPS,同一網路上的任何人都能看到你在做什麼。咖啡店 Wi-Fi 運營者、企業代理、ISP——他們能讀取你訪問的每個頁面、提交的每個表單、傳遞的每個 Cookie。HTTPS 加密所有這些。
這不是理論上的。ISP 已被記錄向未加密的 HTTP 流量注入廣告和跟蹤程式碼。
資料完整性
HTTPS 保證你收到的資料在傳輸中未被修改。沒有它,惡意網路運營者可以:
- 向你的頁面注入廣告或加密貨幣礦工
- 用惡意軟體替換下載連結
- 修改你網站上的價格或條款
- 插入跟蹤指令碼
HTTPS 檢測任何修改——瀏覽器拒絕被篡改的資料。
身份認證
證書證明你連線的是真實伺服器,而非冒充者。沒有 HTTPS,惡意 Wi-Fi 熱點(名為”Free Airport WiFi”)可以悄悄將你重新導向到任何網站的虛假版本。有 HTTPS 時,虛假站點無法出示該域名的有效證書——瀏覽器阻止連線。
SEO
Google 自 2014 年起將 HTTPS 作為排名訊號。雖然是輕量級訊號(Google 描述為”決勝因素”),但它是最容易實施的訊號之一。更重要的是,HTTP 頁面觸發 Chrome 的”不安全”警告,增加跳出率——跳出率間接影響排名。
效能
常見誤解是 HTTPS 更慢。實際上:
- TLS 握手增加一次往返(TLS 1.3)或兩次(TLS 1.2)——通常 10-50ms
- HTTP/2(需要 HTTPS)透過多路複用、頭部壓縮和伺服器推送顯著更快
- 會話恢復消除了回訪者的握手開銷(TLS 1.3 中為 0-RTT)
- 現代 CPU 在硬體中處理 AES 加密(AES-NI)——CPU 成本可忽略
實際上,使用 HTTP/2 的 HTTPS 站點比 HTTP/1.1 站點載入更快。
瀏覽器要求
現代瀏覽器將強大 API 限制為安全上下文(僅 HTTPS):
- Service Workers —— PWA、離線支援、推送通知所需
- Geolocation API —— GPS 和位置訪問
- Camera/Microphone —— 視訊通話的
getUserMedia() - Clipboard API —— 從剪貼簿讀取
- Payment Request API —— 原生支付 UI
- Web Bluetooth, Web USB —— 硬體訪問
如果你的站點需要這些功能中的任何一個,HTTPS 是強制的——不是可選的。
常見誤解
“HTTPS 只在登入頁和支付時需要。” 每個頁面都應該使用 HTTPS。即使是靜態部落格文章也會傳輸可能在 HTTP 上被竊取的 Cookie。HTTP 頁面可以在傳輸中被修改以注入惡意內容。瀏覽器現在對所有 HTTP 頁面警告——不僅僅是有表單的。
“HTTPS 讓我的站點更慢。” TLS 1.3 在首次連線增加約 10-40ms。HTTP/2(需要 HTTPS)透過多路複用和壓縮足以彌補。會話恢復使後續訪問更快。在現代硬體上,加密本身由 CPU 指令(AES-NI)處理,不增加可測量的開銷。
“HTTPS 證書很貴。” Let’s Encrypt 免費簽發證書。超過 3 億網站使用它們——包括大型企業和政府網站。透過 GetHTTPS,你可以在 5 分鐘內獲取一張,無需安裝任何軟體。
“鎖頭圖示意味著站點是安全的。” 鎖頭意味著連線是加密的——不是網站本身值得信賴。超過 90% 的釣魚網站現在使用 HTTPS。鎖頭確認你連線的是誰(透過證書),不是他們是否誠實。
如何為你的網站啟用 HTTPS
-
獲取證書 —— 使用 GetHTTPS 在瀏覽器中獲取免費的 Let’s Encrypt 證書。無需安裝,無需賬戶。
-
安裝到伺服器 —— 參見我們的指南:Nginx、Apache、cPanel、WordPress、IIS 或 Docker。
-
將 HTTP 重新導向到 HTTPS —— 強制所有流量使用安全版本。重新導向指南 →
-
修復混合內容 —— 確保所有資源(圖片、指令碼、CSS)透過 HTTPS 載入。混合內容指南 →
-
設定續簽 —— Let’s Encrypt 證書有效期 90 天。續簽指南 →
HTTPS 的未來
證書有效期正在縮短。 CA/Browser Forum 投票決定到 2029 年將最長有效期減至 47 天。這使自動續簽工具(Certbot、acme.sh)或簡便的手動工具(GetHTTPS)越來越重要。
HTTP/3 和 QUIC。 下一代 HTTP 執行在 QUIC 上,傳輸層內建加密——沒有未加密版本。HTTPS 不再只是一個層;它正在與協議本身融為一體。
Encrypted Client Hello(ECH)。 TLS 1.3 加密了大部分握手內容,但 SNI(Server Name Indication)——揭示你連線的域名——仍然可見。ECH 也將加密 SNI,使網路觀察者無法看到你在共享伺服器上訪問的是哪個具體站點。
常見問題
HTTPS 真的安全嗎?
使用現代 TLS(1.2 或 1.3)的 HTTPS 對竊聽和篡改極為安全。對正確配置的 TLS 1.3 沒有實際可行的攻擊。剩餘風險在端點(裝置上的惡意軟體、被入侵的伺服器),不在加密連線本身。
靜態網站需要 HTTPS 嗎?
需要。即使沒有表單或登入,HTTPS 防止內容注入(廣告、惡意軟體),保護訪客隱私(他們檢視了哪些頁面),啟用 HTTP/2(更快載入),避免”不安全”瀏覽器警告。
HTTPS 影響 SEO 嗎?
影響。Google 在 2014 年確認 HTTPS 為排名訊號。它是輕量級訊號,但結合”不安全”警告(增加跳出率),HTTP 站點面臨可衡量的 SEO 劣勢。
SSL 和 TLS 有什麼區別?
SSL(安全套接層)是最初的加密協議,由 Netscape 在 1990 年代建立。TLS(傳輸層安全)取代了它。所有 SSL 版本已棄用且不安全。人們今天說”SSL 證書”時,指的是用於 TLS 的證書。術語在實踐中可互換使用。
HTTPS 要花多少錢?
零——如果使用 Let’s Encrypt。GetHTTPS 直接在瀏覽器中免費簽發 Let’s Encrypt 證書。付費證書($50-500/年)存在但提供相同的加密強度——區別在於身份驗證級別,不是安全性。
HTTPS 能防禦所有攻擊嗎?
不能。HTTPS 保護傳輸中的資料——它防止竊聽、篡改和伺服器冒充。它不能防止:使用者裝置上的惡意軟體、應用程式碼漏洞(XSS、SQL 注入)、釣魚(鎖頭不意味著站點誠實)或伺服器端入侵。