什麼是 HTTPS?這個問題,對不少香港中小企老闆來說,可能係打開網站見到個鎖頭圖示就算,從來無深究過背後的意義。但其實,HTTPS 不只是個技術符號——它直接影響你的訪客信任度、數據安全,以及 Google 的搜尋排名。
如果你正在考慮製作網站,或者現有網站仍在用 HTTP,這篇文章值得你花幾分鐘看完。網站安全不是大企業才需要理會的事,中小企一樣要做好。
HTTPS 是什麼?
HTTPS(HyperText Transfer Protocol Secure)是一種加密的網站傳輸協定,所有在你瀏覽器與網站伺服器之間傳送的資料,都會經過加密處理,防止被第三方截取或竄改。
簡單講,你每次在網站輸入電話號碼、密碼、信用卡資料,HTTPS 就是那把鎖,確保資料只到達你想傳送的地方,中途不被人偷睇。
HTTPS 的加密依賴兩個核心技術:SSL(Secure Sockets Layer)及其升級版 TLS(Transport Layer Security)。現時大多數網站實際使用的是 TLS,但業界習慣仍統稱為「SSL 憑證」。瀏覽器網址列顯示的那個鎖頭圖示,就是 HTTPS 正常運作的標誌。
HTTPS 的實際作用
- 加密用戶與伺服器之間的資料傳輸
- 驗證網站身份,防止假冒網站
- 確保資料完整性,防止在傳輸過程中被竄改
- 建立訪客對網站的基本信任感
HTTP 與 HTTPS 分別
HTTP 是舊版協定,資料以明文傳輸,任何人在同一網絡下都可能截取;HTTPS 則在傳輸層加入加密,即使資料被截,也無法被讀取。這是兩者最根本的分別。
| 比較項目 | HTTP | HTTPS |
|---|---|---|
| 資料傳輸 | 明文,可被截取 | 加密,無法直接讀取 |
| 安全性 | 低 | 高 |
| 瀏覽器顯示 | 「不安全」警告 | 鎖頭圖示 |
| SEO 排名 | 無加分 | Google 正面信號 |
| SSL 憑證 | 不需要 | 必須安裝 |
很多人以為 HTTP 網站「只要不收錢不收資料就沒問題」。這其實是個常見誤解。即使是純資訊網站,Google Chrome 一樣會標示「不安全」,訪客看到這個警告,第一反應往往是直接離開——你的流量和信任度就這樣白白流失了。
HTTPS 如何運作?
HTTPS 透過 TLS 握手協議建立加密連線,過程在幾毫秒內完成,用戶幾乎感受不到。整個流程可以拆解為三個主要步驟:
- 身份驗證:瀏覽器要求網站出示 SSL 憑證,確認網站身份真實可信
- 金鑰交換:雙方協商出一組只有彼此知道的加密金鑰(Session Key)
- 加密傳輸:所有後續資料均以該金鑰加密,第三方無法解讀
SSL 憑證由受信任的憑證機構(CA,Certificate Authority)簽發,例如 Let’s Encrypt、DigiCert 等。瀏覽器內建了一份受信任 CA 名單,憑證必須由名單內的機構簽發,才會顯示鎖頭圖示。
數位簽章技術確保憑證不能被偽造,這也是為何 HTTPS 能有效防止「中間人攻擊」——即攻擊者假冒成你的網站,盜取用戶資料的手法。
為何網站需要 HTTPS?
啟用 HTTPS 不是可選項,是基本要求。無論你的網站規模大小,以下幾個理由都直接影響你的生意。
保護用戶資料
只要你的網站有聯絡表單、登入功能,甚至只是追蹤用戶行為的分析工具,資料都在傳輸中。沒有 HTTPS,這些資料就是裸奔。對於網上商店來說,客戶的付款資訊更是必須受到完整保護。
建立訪客信任
現代用戶愈來愈精明。看到「不安全」警告,大多數人不會繼續填表、不會購買,甚至不會再次造訪。這個信任成本,比安裝憑證的費用高出太多。
符合法規要求
香港《個人資料(私隱)條例》要求妥善保護用戶個人資料,使用 HTTPS 是基本的技術保護措施。若你的網站收集任何個人資料,啟用 HTTPS 是合規的必要步驟。
HTTPS 對 SEO 影響
Google 於 2014 年正式將 HTTPS 列為排名訊號,使用 HTTPS 的網站在其他條件相同的情況下,排名會優於 HTTP 網站。這不是傳言,是 Google 官方公告確認的事實。
除了直接排名加分,HTTPS 對 SEO 還有幾個間接影響:
- 降低跳出率:訪客不會因安全警告而立即離開,讓 Google 認為你的內容有價值
- 保留 Referral 數據:HTTP 網站接收來自 HTTPS 來源的流量時,Referral 資料會遺失,導致 Google Analytics 數據失準
- 提升爬取信任度:Google 爬蟲對 HTTPS 網站的信任度更高,有助正常索引
如果你的SEO 自然排名一直停滯不前,而網站仍在使用 HTTP,這很可能是其中一個被忽略的障礙。
如何啟用 HTTPS?
啟用 HTTPS 需要為網站安裝 SSL 憑證,整個流程視乎你的主機商和技術能力,通常可在幾小時內完成。
基本步驟
- 步驟一:選擇合適的 SSL 憑證類型(免費或付費)
- 步驟二:向主機商或憑證機構申請憑證
- 步驟三:在伺服器安裝憑證,並設定自動更新
- 步驟四:將所有 HTTP 連結強制 301 重新導向至 HTTPS
- 步驟五:更新 Google Search Console 的網站屬性,確認 HTTPS 版本正確索引
其中第四步容易被忽略。即使憑證已安裝,若沒有設定 301 重定向,部分頁面仍可能以 HTTP 形式被訪問或被 Google 索引,形成重複內容問題。
對於使用 WordPress 建立的網站,可透過主機控制台一鍵安裝 Let’s Encrypt 憑證,再配合外掛設定強制 HTTPS,操作相對簡便。
免費 HTTPS 憑證選擇
免費憑證並非品質低劣,Let’s Encrypt 是目前最廣泛使用的免費 SSL 憑證機構,由 Mozilla、Cisco、EFF 等組織共同支持,受各大瀏覽器完全信任,安全性與付費憑證同等。
免費 vs 付費憑證比較
| 項目 | 免費憑證(Let’s Encrypt) | 付費憑證(如 DigiCert) |
|---|---|---|
| 費用 | 免費 | 數百至數千港元/年 |
| 有效期 | 90 天(需自動更新) | 1 年 |
| 加密強度 | 相同 | 相同 |
| 驗證類型 | 域名驗證(DV) | DV / OV / EV 可選 |
| 適用對象 | 一般網站、博客、中小企 | 金融、電商高要求場景 |
對大多數香港中小企而言,Let’s Encrypt 已完全足夠。付費憑證的主要差異在於 OV/EV 驗證,即在瀏覽器顯示公司名稱,這對金融機構或大型電商才有實際意義。
除 Let’s Encrypt 外,Cloudflare 亦提供免費 SSL 服務,只需將域名 DNS 指向 Cloudflare,即可啟用,適合不熟悉伺服器操作的用戶。
安裝 HTTPS 常見問題
安裝 HTTPS 會影響網站速度嗎?
早期 TLS 握手確實有輕微延遲,但現代 TLS 1.3 協定已大幅改善,加上 HTTP/2 只能在 HTTPS 環境下使用,啟用 HTTPS 後整體載入速度往往反而更快,不需要擔心這個問題。
HTTPS 能防止哪些攻擊?
- 中間人攻擊(MITM):攻擊者無法在傳輸途中讀取或竄改資料
- 流量竊聽:公共 Wi-Fi 環境下的資料攔截
- 網站冒充:SSL 憑證驗證機制確保訪客連接的是真實網站
換了 HTTPS 後,現有 SEO 排名會受影響嗎?
若正確設定 301 重定向,Google 會自動將舊 HTTP 頁面的排名權重轉移至新 HTTPS 頁面,短期內可能有輕微波動,但通常數周內會恢復並持續改善。錯誤設定才是真正的風險,建議交由有經驗的人處理,或參考 Google 官方 HTTPS 遷移指引。
如何判斷網站是否已啟用 HTTPS?
最簡單的方法:在瀏覽器網址列查看,若顯示鎖頭圖示及「https://」開頭,即表示正常運作。亦可使用 SSL Labs 測試工具進行更詳細的憑證評級檢查。
如果你的網站仍未啟用 HTTPS,或者正在規劃建立一個安全可靠的新網站,歡迎參考我們的網站方案報價,或直接聯絡我們查詢——我們會根據你的實際需求,建議最合適的方案,唔會叫你買多一樣唔需要的東西。






