当你用Chrome、Safari或Edge浏览器打开一个网站,地址栏左侧如果显示“不安全”三个字,或者有个红色的三角警告符号,这个网站就是没有启用HTTPS加密协议。
不少企业认为:“我们网站没有在线支付,也不需要用户登录,有没有HTTPS无所谓。”这个想法在今天已经过时了。无论是搜索引擎的评价体系,还是普通访客的第一印象,HTTPS都已经从“加分项”变成了“默认项”。
以下从实际影响角度,说明为什么没有HTTPS的网站正在吃亏。
自2018年起,Chrome、Safari等主流浏览器陆续将HTTP网站标记为“不安全”。用户访问时,地址栏会出现明显的提示,有些浏览器甚至在用户填写表单时发出更强的警告。
这意味着:当一个潜在客户通过搜索或外链进入你的网站,还没看到任何产品内容,就先看到了“不安全”三个字。对于不熟悉技术的普通用户,这会被理解为“这个网站可能有风险”、“不要在这里留个人信息”。
在实际用户测试中,带有“不安全”标识的网站,表单提交率显著低于同样内容但显示“安全锁”图标的网站。对于需要用户留下电话或咨询信息的B2B企业站,这个影响尤为直接。
Google早在2014年就宣布HTTPS是排名信号,且权重逐年提高。百度也在2017年明确表示:对HTTPS的网站优先收录和排名,并优先抓取HTTPS页面。
实际效果不是“没HTTPS就会被惩罚”,而是同等内容、同等外链的情况下,启用HTTPS的网站排名更容易靠前。在竞争激烈的关键词(如“网站建设”、“小程序开发”)搜索结果中,第一页几乎看不到HTTP网站。
另外,百度搜索资源平台中提供了“HTTPS认证”工具,认证后百度会通过HTTPS协议抓取你的页面,且会在搜索结果中展示“安全”标识。这本身就是一种区别于其他结果的视觉优势。
HTTP协议传输的数据是明文的。什么意思?就是用户和网站之间的访问路径上(比如公共Wi-Fi、路由器、运营商网络),如果有人监听或篡改,可以在网页中插入广告、弹窗、甚至恶意链接,而网站所有者完全不知道。
很多企业遇到过这种情况:自己网站的页面上莫名其妙出现浮动广告、文字链广告、或者手机访问时跳转到游戏页面。排查下来发现不是网站被黑,而是HTTP传输过程中被第三方网络运营商劫持了流量。
启用HTTPS可以加密传输内容,劫持者无法解密,就无法插入内容。这是解决“流量劫持”最根本、成本也最低的方法。
有些网站已经安装了SSL证书,但浏览器仍然不显示绿色的安全锁,而是提示“连接不完全安全”或“此页面包含不安全的资源”。
原因是:页面本身通过HTTPS加载,但页面中的图片、CSS、JS等资源仍然通过HTTP调用。浏览器会认为这些外部资源是不安全的,因此整体不显示安全锁。
排查方法:用浏览器打开你的网站,按F12打开开发者工具,切换到Console(控制台)标签,查看是否有类似“Mixed Content”或“The page at … was loaded over HTTPS, but requested an insecure …”的报错。
解决方法:将所有内部资源的引用改为相对路径或HTTPS绝对路径。对于调用第三方资源的,确认该资源是否支持HTTPS,如不支持,需要替换为支持HTTPS的同类服务。
这是企业最常问的问题。SSL证书分为三种类型,成本差异很大:
| 类型 | 验证程度 | 典型价格 | 适用场景 |
|---|---|---|---|
| 域名型DV证书 | 仅验证域名所有权 | 免费或几十元/年 | 普通企业网站、博客、展示型网站 |
| 企业型OV证书 | 验证企业真实身份 | 几百至一千多元/年 | 电商、金融、需要显示公司名称的网站 |
| 增强型EV证书 | 严格法律审核 | 数千元/年 | 银行、支付、大型电商 |
对于绝大多数企业展示型网站、小程序后台接口、信息流落地页,DV证书完全够用。它提供的是同样的加密强度,浏览器同样显示安全锁。区别只在于点击安全锁后是否显示企业名称(普通用户几乎不会去点)。
阿里云、腾讯云、华为云等平台都提供免费DV证书(通常一年期,到期后续期)。Let‘s Encrypt也提供永久免费的自动续期证书。不建议购买来源不明的低价证书,但主流云服务商的免费或付费DV证书完全可以满足需求。
需要注意:免费证书通常需要每90天或每年手动续期,如果忘记续期,证书过期后网站会直接打不开或显示严重警告。如果企业内部无人关注续期,建议购买支持自动续期的付费DV证书(年费几十到一百多元),可以避免因过期导致网站访问中断。
从HTTP切换到HTTPS不是“勾选一个选项”就完事的,需要同步调整几个地方,否则可能造成流量和功能丢失:
设置301跳转:将所有HTTP的URL永久重定向到对应的HTTPS URL。不设置跳转的话,用户访问旧HTTP地址时仍然停留在HTTP版本,享受不到安全标识。
更新网站代码中的资源引用:将所有http://改为https://或//(相对协议)。尤其注意第三方统计代码、视频嵌入代码。
更新搜索引擎站长工具:在百度、谷歌站长工具中提交HTTPS版本的站点地图,并将首选域名设置为HTTPS版本。
检查小程序/API接口:如果网站同时也为小程序或APP提供接口,需要确保接口也支持HTTPS,否则小程序端会请求失败(小程序要求所有请求必须是HTTPS)。
HTTPS已经不是“高级配置”,而是所有正规网站的基本要求。浏览器明确标记不安全、搜索引擎优先排序、数据劫持风险、用户信任度下降——这四个理由足够了。
如果你的网站目前还是HTTP,建议安排升级。成本上,免费证书或每年几百元元的证书费,加上技术人员几个小时配置调试,就可以完成切换。相比网站排名下滑和客户流失的风险,这个投入非常值得。
东辰科技在网站建设和小程序开发项目中,默认交付HTTPS版本,并在切换前后完成跳转配置和资源检查。如果你现有的网站尚未启用HTTPS,或者启用后出现混合内容导致锁标丢失,欢迎留言咨询具体问题。
用作品证明实力,网站建设行业排名前列
