2024 年底,中華電信因為 SSL 憑證更新作業失誤,導致大量客戶網站的憑證過期。打開這些網站,Chrome 和 Safari 直接跳出「此網站不安全」的警告畫面,訪客根本進不去。
對企業來說,這不只是技術問題——客戶看到「不安全」三個字,第一反應是關掉網頁,而不是想「大概只是憑證過期吧」。流量掉了、訂單沒了、品牌信任也跟著受損。
這件事讓很多人開始注意到一個平常不太會去想的問題:我的網站安全嗎?SSL 和 HTTPS 到底是什麼?
HTTPS 是什麼?
HTTPS 的全名是 Hypertext Transfer Protocol Secure,簡單說就是「加密版的網頁傳輸協定」。
當你打開一個網站,瀏覽器和網站主機之間會交換資料。如果用的是 HTTP(沒有 S),這些資料是明碼傳輸的,任何人只要在中間攔截,就能看到內容。
加了 S 之後,所有傳輸的資料都會被加密。即使有人在中間攔截到,看到的也只是一堆亂碼。
HTTP 像是用明信片寄信,郵差、路人都看得到內容。
HTTPS 像是用密封信封寄信,只有收件人才打得開。
HTTPS 對網站的實際影響
- 保護使用者資料:表單填寫、會員登入、線上付款的資訊都會被加密,不容易被攔截
- 瀏覽器不會跳警告:沒有 HTTPS 的網站,Chrome 會在網址列顯示「不安全」,訪客看到就會猶豫
- Google 把 HTTPS 列為排名因素:同樣品質的兩個網站,有 HTTPS 的排名會比較前面
- 提升客戶信任感:網址列有鎖頭圖示,雖然一般人不一定懂原理,但看到鎖頭就覺得比較安心
SSL 憑證是什麼?
SSL 憑證是讓 HTTPS 運作的關鍵。你可以把它想成網站的「身份證」——由第三方機構發出,用來證明「這個網站是合法的,不是假冒的」。
當網站安裝了 SSL 憑證,網址就會從 http:// 變成 https://,瀏覽器也會在網址列顯示一個鎖頭圖示。
有 SSL 跟沒有 SSL,差別在哪?
| 比較項目 | 沒有 SSL | 有 SSL |
|---|---|---|
| 資料傳輸 | 明碼,可被攔截和竄改 | 加密,攔截也無法解讀 |
| 瀏覽器顯示 | 標示「不安全」 | 顯示鎖頭圖示 |
| SEO 影響 | 排名受負面影響 | 列為正向排名因素 |
| 使用者信任 | 客戶不敢填資料、不敢買 | 安心瀏覽、願意交易 |
憑證過期會怎樣?
SSL 憑證有有效期限。過期之後,瀏覽器會立刻把你的網站標記為「不安全」,跳出全頁面的警告畫面。訪客要手動點「繼續前往」才能進入——但大多數人不會這樣做,他們會直接關掉。
中華電信那次的狀況就是這樣:不是網站被駭,只是憑證沒續期,但造成的影響跟網站掛掉差不多。
手動續期容易忘記,建議選擇有自動續期機制的憑證方案。
我們使用什麼 SSL 憑證?
我們合作的主機商 禾太主機 提供由 Let's Encrypt 簽發的 SSL 憑證。
Let's Encrypt 的特點:
- 免費:不額外收費,適合大多數中小企業網站
- 有效期 90 天:比傳統一年期的憑證短,但由系統自動續期,人為疏忽的風險反而更低
- 完整支援 HTTPS:符合 Google 的安全標準和 SEO 加分條件
- 適用範圍:形象官網、部落格、作品集、內容型網站都適合
什麼情況需要更高階的 SSL?
如果你的網站涉及線上刷卡、大量個資處理、或者是金融相關產業,免費憑證可能不夠用。這時候可以考慮付費的進階方案:
| 憑證類型 | 說明 | 適合對象 |
|---|---|---|
| DV 憑證 | 驗證網域所有權,最基本的付費憑證 | 一般企業網站 |
| OV 憑證 | 驗證組織身份,需提交公司登記資料 | 電商、會員制網站 |
| EV 憑證 | 最嚴格的驗證,會顯示公司名稱 | 金融、醫療、大型電商 |
| Wildcard SSL | 一張憑證保護所有子網域 | 有多個子網域的企業 |
常見的付費憑證品牌包括 Sectigo 和 DigiCert,價格從幾千到幾萬不等,依驗證等級而定。
怎麼檢查自己的網站有沒有 SSL?
最簡單的方式:打開你的網站,看瀏覽器網址列。
- 有鎖頭 + 網址是
https://開頭 → 有 SSL,正常運作中 - 出現「不安全」字樣 → 沒有安裝 SSL,或者憑證已經過期
- 跳出全頁面警告 → 憑證有問題,需要立即處理
如果你不確定目前網站的憑證狀態,或是想確認憑證什麼時候會到期,歡迎來信,我們可以幫你檢查。通天網有限公司會協助客戶確保網站的 SSL 憑證維持正常運作,不會因為忘記更新而影響網站。
