HTTPS 加密連線(HTTPS)是什麼?|SEO・GEO 百科

HTTPS(加密連線)是 HTTP 的安全加密版本,靠 TLS 技術把你和網站之間傳送的資料鎖起來,同時做到加密、防竄改與身分驗證。本文說明它的運作原理、怎麼啟用,以及鎖頭代表什麼、不代表什麼。

HTTPS(加密連線)就是你常看到的「網址開頭那個 https」,它是 HTTP 的安全加密版本:你和網站之間傳送的每一筆資料,中途都會被加密鎖住,就算被人攔截,也看不懂內容。

這層加密保護靠的是 TLS(傳輸層安全協定)技術;一般常聽到的「SSL」是它的前身,目前已全面被 TLS 取代,只是憑證習慣上還是被稱為「SSL 憑證」。

重點速覽

  • HTTPS 靠 TLS 技術同時做到三件事:加密、完整性(防竄改)、身分驗證,讓你和網站間的資料不會被第三者看懂或偷改。
  • 網址列的鎖頭只代表「連線有加密」,不代表這個網站本身誠實可信,詐騙網站一樣可以申請 HTTPS。
  • Google 在 2014 年把 HTTPS 列為排名訊號,但官方說明這是很輕量的訊號,內容品質永遠更重要。

HTTPS 是什麼?

HTTPS 的全名是 Hypertext Transfer Protocol Secure,也就是「安全版的 HTTP」。一般的 HTTP 是瀏覽器和網站伺服器之間傳送資料的規則,但它本身是「明文」傳輸——資料在網路上跑的時候,沿途的人都有機會看到內容。

HTTPS 則是在 HTTP 外面加上一層加密保護,把資料變成別人看不懂的密碼。這層加密保護,靠的是一個叫做 TLS(Transport Layer Security,傳輸層安全協定)的技術。

你可能更常聽到「SSL」這個詞,它是 TLS 的前身;目前所有版本的 SSL 都已經被淘汰,實際在運作的其實是 TLS,只是大家習慣還是把憑證叫做「SSL 憑證」。

簡單說,HTTPS 同時做到三件事:加密(資料被鎖起來,第三者看不懂)、完整性(資料在路上若被偷改會被發現)、身分驗證(讓你確認連到的是真網站,而不是假冒的)。

要做到這些,網站需要安裝一張由憑證機構(CA)核發的數位憑證,瀏覽器才會信任它。整個過程會在你連上網站的瞬間,由瀏覽器和伺服器透過一段叫「TLS 交握(handshake)」的流程自動完成,你幾乎不會察覺。


用白話文怎麼說?

你可以把在網路上傳資料,想成寄一張明信片。用 HTTP 就像寄明信片:內容寫在外面,郵差、中途任何經手的人都看得到你寫了什麼。

用 HTTPS 則像把信放進一個只有你和收件人才打得開的保險箱再寄出去——就算箱子被攔下來,別人也打不開、看不到裡面。

那網址列上的「鎖頭」又是什麼?它代表的是「你和這個網站之間的連線有加密」,也就是保險箱有上鎖。但要特別注意:鎖頭不代表「這個網站本身是好人、不會騙你」,這一點很多人會搞混,後面的迷思會再說明。

你可以這樣記:HTTPS 顧的是「資料在路上安不安全」,而不是「這家網站的人品好不好」。


HTTPS 實際上要怎麼幫網站啟用?

如果你有自己的網站,把 HTTP 升級成 HTTPS,大致是這幾個步驟:

  • STEP 1 取得憑證:向憑證機構申請一張 SSL/TLS 憑證。好消息是,現在不一定要花錢——像 Let’s Encrypt 提供免費憑證,很多主機商(hosting)也已經內建免費憑證,一鍵就能開啟。
  • STEP 2 安裝並啟用:在主機或網站後台安裝憑證,啟用之後,你的網站就能用 https:// 開啟。
  • STEP 3 全站轉址:把所有 http:// 的網址用 301(永久轉址)導到對應的 https:// 版本,讓舊連結和搜尋引擎都跟著搬家。
  • STEP 4 處理「混合內容」:頁面本身雖然是 HTTPS,但如果裡面還夾帶 http:// 的圖片、CSS 或 JavaScript,瀏覽器會跳警告甚至直接擋掉,這叫混合內容(mixed content),要逐一改成 https://。
  • STEP 5 更新設定與維護:更新網站內部連結、網站地圖(sitemap)、canonical 標籤指向 https;在 Google Search Console 加入 https 版本的資源。最後別忘了憑證會到期,記得設定自動續期。

至於只是「上網的人」,其實不用做什麼——只要養成一個習慣:在輸入密碼、刷卡、填個資之前,先看一眼網址是不是 https 開頭就好。


關於 HTTPS 的常見迷思

迷思一:裝了 HTTPS,排名就會大幅上升

不會。Google 確實在 2014 年宣布把 HTTPS 列為排名訊號,但官方當時就說明:這是個很輕量的訊號,影響不到全球 1% 的搜尋查詢,份量也低於「優質內容」這類訊號。

換句話說,HTTPS 比較像「同分時的加分項」或基本門檻,不是衝排名的捷徑。內容對不對題、有沒有幫上使用者,永遠更重要。

迷思二:網址有鎖頭,就代表這個網站安全可信

這是最危險的誤會。鎖頭只代表「連線有加密」,不代表網站本身誠實可信。事實上,詐騙、釣魚網站一樣可以申請 HTTPS、一樣會顯示鎖頭。

Google 的一項使用者介面研究發現,高達 89% 的受訪者誤解了鎖頭的意思,因此 Chrome 從 117 版(2023 年)起,乾脆把鎖頭換成中性的「調整(tune)」圖示,避免大家把「連線有加密」誤當成「網站可信任」。

迷思三:HTTPS 會拖慢網站

在很久以前,加密確實會多花一點點時間,但這個說法現在已經過時。搭配現代的 TLS 與 HTTP/2、HTTP/3 等技術,HTTPS 的效能負擔非常小,許多情況下反而更快。為了一點不一定存在的速度差就不加密,並不划算。

迷思四:HTTPS 憑證很貴、很難搞

不一定。免費憑證(如 Let’s Encrypt)已經很普及,許多主機商也把憑證內建在方案裡,啟用流程比以前簡單很多。對大多數一般網站來說,啟用 HTTPS 的門檻其實已經很低。


總結

如果只記一句話:HTTPS 就是「HTTP 的加密版」,它讓你和網站之間傳的資料被鎖起來,同時做到加密、防竄改、驗證身分三件事。

新手可以記住三件事。

  • 第一,網址列的鎖頭只代表「連線有加密」,不代表網站本身可信,別把它當成安全保證。
  • 第二,HTTPS 對 SEO 的直接幫助很輕微,它更像是基本門檻,但如今已是不能不做的標配。
  • 第三,如果你有網站,先確認它能用 https 開啟、http 會自動轉過去,就完成了最重要的一步。

參考資料