使用 HTTPS 確保網站安全無虞

HTTPS (超文本傳輸安全通訊協定) 是一種網際網路通訊協定,可確保資料在使用者的電腦和網站之間傳輸時,保有完整性和機密性。使用者都希望自己的網站瀏覽體驗安全無虞且保有私密性,因此無論您的網站內容為何,我們都建議採用 HTTPS,確保使用者能安全連線至您的網站。

透過 HTTPS 傳送的資料非常安全,因為 HTTPS 會透過「傳輸層安全標準」通訊協定 (TLS) 提供以下三道重要的資安防護網:

  1. 加密:對交換的資料進行加密,防止資料遭到窺探。這意味著在使用者瀏覽網站的期間,任何人都無法「竊聽」他們的對話,也無法在多個網頁上追蹤他們的活動或竊取資訊。
  2. 資料完整性:在資料傳輸過程中,沒有人能夠以不被偵測到的方式竄改或破壞資料 (無論是有意或無意)。
  3. 驗證:證明使用者是與目標網站進行通訊。這可以防止使用者遭到中間人攻擊,同時建立使用者的信任感,進而促進其他商業利益。

實作 HTTPS 的最佳做法

使用可靠的安全性憑證

在為網站啟用 HTTPS 的過程中,您必須取得安全性憑證。該憑證是由憑證授權單位 (CA) 所核發,憑證授權單位會採取幾個步驟來驗證您的網址確實屬於貴機構,以防您的客戶遭受中間人攻擊。設定憑證時,請務必選擇具有高度安全性的 2048 位元金鑰。如果您已經有憑證,但是該憑證採用安全性較弱的金鑰 (1024 位元),請將金鑰升級至 2048 位元。以下是選擇網站憑證時應留意的事項:

  • 從提供技術支援的可靠憑證授權單位獲得憑證。
  • 決定您需要的憑證種類:
    • 單一憑證,適用於單一安全來源 (www.example.com)。
    • 多重網域憑證,適用於多個知名安全來源 (例如 www.example.com, cdn.example.com, example.co.uk)。
    • 萬用字元憑證,適用於有多個動態子網域的安全來源 (例如 a.example.com, b.example.com)。

使用永久的伺服器端重新導向

使用永久的伺服器端重新導向,將使用者和搜尋引擎重新導向至 HTTPS 網頁或資源。

確認 Google 能夠檢索您的 HTTPS 網頁並建立索引

  • 使用網址檢查工具測試 Googlebot 是否能存取您的網頁。
  • 請勿使用 robots.txt 檔案來禁止搜尋引擎檢索 HTTPS 網頁。
  • 請勿在 HTTPS 網頁中加入 noindex 標記。

支援 HSTS

建議您讓 HTTPS 網站支援 HSTS (HTTP 嚴格傳輸安全性)。HSTS 會讓瀏覽器自動要求 HTTPS 網頁,即使使用者在瀏覽器網址列中輸入 http 亦然。此外,它也會指示 Google 在搜尋結果中提供安全網址。這些措施可以盡可能降低使用者接觸到不安全內容的風險。

如要支援 HSTS,請使用支援 HSTS 的網路伺服器,並啟用這項功能。

雖然 HSTS 更安全,但也會讓復原策略變得更為複雜,因此建議您以下列方法啟用 HSTS:

  1. 先推出 HTTPS 網頁,再啟用 HSTS。
  2. 開始傳送 max-age 時間值較短的 HSTS 標頭。監控來自使用者和其他用戶端的流量,以及其他相關內容的成效,例如廣告。
  3. 慢慢增加 HSTS max-age 的時間長度。
  4. 如果 HSTS 不會對您的使用者和搜尋引擎產生負面影響,您就可以將自己的網站加入各大瀏覽器都會使用的 HSTS 預先載入清單,藉此提高安全性並增進效能。

避免常見錯誤

在使用 TLS 保護網站安全的整個過程中,請避免下列錯誤:

常見錯誤與解決方法
憑證過期 確保您的憑證一律處於最新狀態。
憑證的註冊網站名稱錯誤 確認您取得的憑證是對應至放置網站的所有主機名稱。舉例來說,如果您的憑證只適用於 www.example.com,當使用者透過 example.com (不含 www. 前置字串) 載入您的網站時,就會發生憑證名稱不符的錯誤,因而無法存取網站。
不支援伺服器名稱指示 (SNI) 確認您的網路伺服器支援 SNI,而且您的目標對象普遍使用支援的瀏覽器。所有新式瀏覽器都支援 SNI,但如果您必須支援舊式瀏覽器,則需要一組專屬 IP。
檢索問題 請勿使用 robots.txt 禁止 HTTPS 網站的檢索作業。 瞭解詳情
索引問題 盡可能允許搜尋引擎為您的網頁建立索引。請勿使用 noindex 標記。
通訊協定版本過舊 過舊的通訊協定版本會有安全漏洞,請確實使用最新版的 TLS 程式庫,並實作最新的通訊協定版本。
混合式安全元件 只在 HTTPS 網頁上嵌入 HTTPS 內容。
HTTP 和 HTTPS 網站上的內容不同 確保 HTTP 網站和 HTTPS 網站上的內容一致。
HTTPS 網站上的 HTTP 狀態碼錯誤 檢查您的網站是否傳回正確的 HTTP 狀態碼。例如,為可存取的網頁傳回 200 OK,或是為不存在的網頁傳回 404410

從 HTTP 遷移至 HTTPS

如果您將網站從 HTTP 遷移至 HTTPS,Google 會將此視為變更網址的網站遷移作業,這可能會暫時影響您的部分流量。進一步瞭解適用於所有網站遷移作業的建議

請務必在 Search Console 中新增 HTTPS 資源。Search Console 會分別處理 HTTP 和 HTTPS,這兩項資源的資料在 Search Console 中並不會共用。

如要進一步瞭解如何在網站上使用 HTTPS 網頁,請參閱 HTTPS 遷移常見問題

更多 TLS 實作資源

您也可以參考下列資源在自己的網站上實作 TLS: