使用 HTTPS 確保網站安全無虞
HTTPS (超文本傳輸安全通訊協定) 是一種網際網路通訊協定,可確保資料在使用者的電腦和網站之間傳輸時,保有完整性和機密性。使用者都希望自己的網站瀏覽體驗安全無虞且保有私密性,因此無論您的網站內容為何,我們都建議採用 HTTPS,確保使用者能安全連線至您的網站。
透過 HTTPS 傳送的資料非常安全,因為 HTTPS 會透過「傳輸層安全標準」通訊協定 (TLS) 提供以下三道重要的資安防護網:
- 加密:對交換的資料進行加密,防止資料遭到窺探。這意味著在使用者瀏覽網站的期間,任何人都無法「竊聽」他們的對話,也無法在多個網頁上追蹤他們的活動或竊取資訊。
- 資料完整性:在資料傳輸過程中,沒有人能夠以不被偵測到的方式竄改或破壞資料 (無論是有意或無意)。
- 驗證:證明使用者是與目標網站進行通訊。這可以防止使用者遭到中間人攻擊,同時建立使用者的信任感,進而促進其他商業利益。
實作 HTTPS 的最佳做法
使用可靠的安全性憑證
在為網站啟用 HTTPS 的過程中,您必須取得安全性憑證。該憑證是由憑證授權單位 (CA) 所核發,憑證授權單位會採取幾個步驟來驗證您的網址確實屬於貴機構,以防您的客戶遭受中間人攻擊。設定憑證時,請務必選擇具有高度安全性的 2048 位元金鑰。如果您已經有憑證,但是該憑證採用安全性較弱的金鑰 (1024 位元),請將金鑰升級至 2048 位元。以下是選擇網站憑證時應留意的事項:
- 從提供技術支援的可靠憑證授權單位獲得憑證。
- 決定您需要的憑證種類:
- 單一憑證,適用於單一安全來源 (
www.example.com)。 - 多重網域憑證,適用於多個知名安全來源 (例如
www.example.com, cdn.example.com, example.co.uk)。 - 萬用字元憑證,適用於有多個動態子網域的安全來源 (例如
a.example.com, b.example.com)。
- 單一憑證,適用於單一安全來源 (
使用永久的伺服器端重新導向
使用永久的伺服器端重新導向,將使用者和搜尋引擎重新導向至 HTTPS 網頁或資源。
確認 Google 能夠檢索您的 HTTPS 網頁並建立索引
- 使用網址檢查工具測試 Googlebot 是否能存取您的網頁。
- 請勿使用 robots.txt 檔案來禁止搜尋引擎檢索 HTTPS 網頁。
- 請勿在 HTTPS 網頁中加入
noindex標記。
支援 HSTS
建議您讓 HTTPS 網站支援 HSTS (HTTP 嚴格傳輸安全性)。HSTS 會讓瀏覽器自動要求 HTTPS 網頁,即使使用者在瀏覽器網址列中輸入 http 亦然。此外,它也會指示 Google 在搜尋結果中提供安全網址。這些措施可以盡可能降低使用者接觸到不安全內容的風險。
如要支援 HSTS,請使用支援 HSTS 的網路伺服器,並啟用這項功能。
雖然 HSTS 更安全,但也會讓復原策略變得更為複雜,因此建議您以下列方法啟用 HSTS:
- 先推出 HTTPS 網頁,再啟用 HSTS。
- 開始傳送
max-age時間值較短的 HSTS 標頭。監控來自使用者和其他用戶端的流量,以及其他相關內容的成效,例如廣告。 - 慢慢增加 HSTS
max-age的時間長度。 - 如果 HSTS 不會對您的使用者和搜尋引擎產生負面影響,您就可以將自己的網站加入各大瀏覽器都會使用的 HSTS 預先載入清單,藉此提高安全性並增進效能。
避免常見錯誤
在使用 TLS 保護網站安全的整個過程中,請避免下列錯誤:
| 常見錯誤與解決方法 | |
|---|---|
| 憑證過期 | 確保您的憑證一律處於最新狀態。 |
| 憑證的註冊網站名稱錯誤 | 確認您取得的憑證是對應至放置網站的所有主機名稱。舉例來說,如果您的憑證只適用於 www.example.com,當使用者透過 example.com (不含 www. 前置字串) 載入您的網站時,就會發生憑證名稱不符的錯誤,因而無法存取網站。 |
| 不支援伺服器名稱指示 (SNI) | 確認您的網路伺服器支援 SNI,而且您的目標對象普遍使用支援的瀏覽器。所有新式瀏覽器都支援 SNI,但如果您必須支援舊式瀏覽器,則需要一組專屬 IP。 |
| 檢索問題 | 請勿使用 robots.txt 禁止 HTTPS 網站的檢索作業。
瞭解詳情 |
| 索引問題 | 盡可能允許搜尋引擎為您的網頁建立索引。請勿使用 noindex 標記。 |
| 通訊協定版本過舊 | 過舊的通訊協定版本會有安全漏洞,請確實使用最新版的 TLS 程式庫,並實作最新的通訊協定版本。 |
| 混合式安全元件 | 只在 HTTPS 網頁上嵌入 HTTPS 內容。 |
| HTTP 和 HTTPS 網站上的內容不同 | 確保 HTTP 網站和 HTTPS 網站上的內容一致。 |
| HTTPS 網站上的 HTTP 狀態碼錯誤 | 檢查您的網站是否傳回正確的 HTTP 狀態碼。例如,為可存取的網頁傳回 200 OK,或是為不存在的網頁傳回 404 或 410。 |
從 HTTP 遷移至 HTTPS
如果您將網站從 HTTP 遷移至 HTTPS,Google 會將此視為變更網址的網站遷移作業,這可能會暫時影響您的部分流量。進一步瞭解適用於所有網站遷移作業的建議。
請務必在 Search Console 中新增 HTTPS 資源。Search Console 會分別處理 HTTP 和 HTTPS,這兩項資源的資料在 Search Console 中並不會共用。
如要進一步瞭解如何在網站上使用 HTTPS 網頁,請參閱 HTTPS 遷移常見問題。
更多 TLS 實作資源
您也可以參考下列資源在自己的網站上實作 TLS: