技術 SEO

什麼是 SSL 憑證？了解網站安全的關鍵

當您瀏覽一個網站時,如果網址前面出現「鎖頭」圖示與 https://,代表這個網站使用了 SSL 憑證 (現在實際運作的協定其實是 TLS)。它是一張網站的「數位身份證」,讓使用者與網站之間的資料傳輸過程被加密,不會被第三方在傳輸途中攔截、竊聽或竄改。在 2026 年,SSL 憑證早已不是電商或金融網站的專利,而是所有網站的基本標配——Google Chrome 會將沒有 SSL 的網站標記為「不安全」,Google 搜尋演算法也將 HTTPS 列為輕量級排名因素,ChatGPT、Perplexity、Google AI Overviews 等 AI 搜尋引擎在抓取資料時也會優先信任有 HTTPS 的網站。這篇文章適合正在規劃網站、準備建置 SSL、或想了解網站安全與 SEO 關聯的企業主、行銷人員與網管人員閱讀。

本篇目錄

一、SSL 憑證是什麼?基礎概念簡介
二、SSL 與 TLS 的差別:2026 年的實際協定
三、SSL 憑證的三大核心作用
四、為什麼 SSL 憑證對網站如此重要?
五、SSL 憑證的種類:DV、OV、EV 怎麼選
六、如何取得 SSL 憑證?付費 vs 免費比較
七、SSL 憑證的安裝與部署步驟
八、SSL 與 SEO:HTTPS 對搜尋排名的影響
九、SSL 憑證常見錯誤與排錯方法
十、結論
常見問答 FAQ

SSL 憑證是什麼?基礎概念簡介

SSL 是 Secure Sockets Layer (安全通訊端層) 的縮寫,是一種網路上的加密通訊協定。它的主要任務是在使用者的瀏覽器與網站伺服器之間建立一條「加密通道」,讓兩者來回傳輸的資料(例如帳號密碼、信用卡資訊、聯絡表單內容)即使被第三方攔截,也只能看到無法解讀的亂碼。

SSL 憑證的核心價值,是讓網站與使用者之間的對話從「明文廣播」變成「加密對話」,即使有人在中間竊聽,也聽不懂內容。

當網站安裝了 SSL 憑證,網址列會出現以下三個明顯變化,這也是使用者判斷網站是否安全的最直接訊號:

網址開頭從 http:// 變成 https:// (最後多了一個 S 代表 Secure)
網址列前方出現「鎖頭」圖示 (Chrome、Edge、Safari、Firefox 都採用此標示)
沒有 SSL 的網站會被瀏覽器明確標記為「不安全 (Not Secure)」警告

SSL 與 TLS 的差別:2026 年的實際協定

雖然大家還是習慣叫它「SSL 憑證」,但實際上現代網站早已不使用 SSL 協定本身,而是改用更安全的 TLS (Transport Layer Security, 傳輸層安全協定)。SSL 與 TLS 可以理解為「同一件事的不同世代」——TLS 是 SSL 的後繼者與升級版,但因為大眾已習慣 SSL 這個名稱,所以憑證商與工程師至今仍沿用「SSL 憑證」這個說法。

SSL / TLS 各版本演進與現況

各版本的釋出時間與安全性差異整理如下:

協定版本	釋出年份	2026 年現況	使用建議
SSL 2.0	1995	早已淘汰	嚴禁使用
SSL 3.0	1996	已被 POODLE 攻擊破解	嚴禁使用
TLS 1.0	1999	2025 年起各大平台陸續淘汰	立即升級
TLS 1.1	2006	已正式 Deprecated	立即升級
TLS 1.2	2008	仍可使用,但需停用弱密碼套件	最低標準
TLS 1.3	2018	最新版本,最快也最安全	強烈推薦

2026 年重要趨勢:Microsoft Azure Storage 已於 2026 年 2 月 3 日 全面停用 TLS 1.0 與 1.1,僅支援 TLS 1.2 以上。Google、Apple、AWS 等主流雲端服務也已陸續完成淘汰。此外,從 2026 年 3 月 11 日起,所有公開信任的 SSL/TLS 憑證效期將縮短為 200 天(原本是 398 天)。若您的網站還在使用 TLS 1.0 或 1.1,使用者瀏覽器會直接顯示「連線不安全」警告,SEO 與信任度都會受影響。

建議的協定設定:支援 TLS 1.2 + TLS 1.3

以 2026 年的實務標準來說,網站伺服器應該同時支援 TLS 1.2 與 TLS 1.3,並停用所有更舊的版本。TLS 1.3 採用更短的握手流程(1-RTT 甚至 0-RTT),不僅更安全,連線速度也更快,對 Core Web Vitals 的 TTFB (Time to First Byte) 指標有實質改善。

SSL 憑證的三大核心作用

SSL 憑證之所以成為網站的基本配備,是因為它一次解決了網路通訊的三個核心安全問題。這三個作用環環相扣,缺一不可:

1. 資料加密 (Encryption)

使用非對稱加密 (RSA、ECDSA) 交換金鑰,再以對稱加密 (AES) 加密實際傳輸內容。即使駭客在咖啡廳 Wi-Fi 攔截封包,也只能看到亂碼,無法還原成密碼或信用卡號。

2. 身份驗證 (Authentication)

憑證由全球公認的 CA (Certificate Authority,憑證頒發機構) 簽發,例如 DigiCert、Let's Encrypt、GlobalSign。使用者瀏覽器會自動驗證網站身份,避免連到假冒的釣魚網站。

3. 資料完整性 (Integrity)

透過 MAC (訊息驗證碼) 或 AEAD 演算法,確保資料在傳輸過程中沒有被竄改。若有人試圖修改傳輸內容(例如把銀行匯款帳號改掉),瀏覽器會立即偵測並中斷連線。

沒有 SSL 會發生什麼事?

用一個具體情境說明就很清楚:假設您在咖啡廳連上公共 Wi-Fi,然後登入一個沒有 SSL 的網站,輸入您的帳號密碼準備登入。

同一個 Wi-Fi 網路上的任何人都可以用簡單的封包擷取工具(如 Wireshark)看到您的帳號密碼原文
網路 ISP、企業 Proxy、惡意路由器都可能在傳輸過程中注入廣告、修改網頁內容,而使用者完全無法察覺
駭客可以做「中間人攻擊 (Man-in-the-Middle)」,把使用者導向到看起來一模一樣的釣魚網站

而當網站使用了 SSL,以上三種情境都會被自動阻擋。這就是為什麼 SSL 憑證被視為網路安全的基礎建設,而不是進階功能。

為什麼 SSL 憑證對網站如此重要?

SSL 憑證的價值不只在於「加密」這個技術功能本身,更在於它連動影響了使用者信任、品牌專業度、SEO 排名、第三方服務串接等多個面向。對 2026 年的網站來說,沒有 SSL 等於同時失去這幾項基本能力。

保護使用者隱私與企業資料任何輸入到網站的資料——表單聯絡資訊、會員密碼、信用卡號、健保卡號、訂單地址——都會在傳輸過程中被加密。對個資法與 GDPR 合規而言,使用 HTTPS 是基本門檻;沒有 SSL 的網站若發生資料外洩,企業可能面臨更高的法律責任。
某台灣中小企業電商網站未安裝 SSL,被檢舉違反個資法,主管機關認定「未採行適當之安全措施」而開罰,即使未發生實際外洩事件。
提升使用者信任感與轉換率使用者在做出消費、聯絡、註冊等行為前,會本能地看一眼網址列。出現「鎖頭」代表安全;出現紅色「不安全」警告則會讓人立刻退出。研究顯示沒有 SSL 的網站,轉換率可能比有 SSL 的同類網站低 30% 以上。
企業官網的諮詢表單若被瀏覽器標示為「不安全」,使用者填寫意願會大幅下降,即使表單本身設計再好也救不回來。
獲得 Google 搜尋排名加權 Google 早在 2014 年就官方公告 HTTPS 為輕量級排名因素,且這個訊號在 2026 年依然有效。雖然加權幅度不大,但在競爭激烈的關鍵字中,可能就是排名前 3 與第 4 名的差距。
同樣的內容品質與外部連結,有 HTTPS 的網站在 Google 搜尋結果中通常排在無 HTTPS 競爭者之前。
避免瀏覽器「不安全」警告 Chrome 自 2018 年起,對所有沒有 HTTPS 的網站直接在網址列標示「Not Secure」。對企業官網來說,這個警告會讓潛在客戶在 3 秒內離開,也會嚴重影響品牌專業度。
Chrome 用戶在輸入帳密欄位時,若該頁是 HTTP 而非 HTTPS,會跳出明顯紅色警告;許多使用者會直接關閉分頁。
支援 HTTP/2、HTTP/3 等高效能協定 HTTP/2 與 HTTP/3 等新一代協定在所有主流瀏覽器中只能透過 HTTPS 使用。這代表沒有 SSL 的網站,連線速度註定比有 SSL 的競爭者慢。對 Core Web Vitals 的 LCP、INP 指標都有負面影響。
同樣的伺服器與內容,啟用 HTTPS + HTTP/2 後,首頁載入時間可能從 3.2 秒降到 2.1 秒,直接改善 LCP 分數。
第三方服務串接的基本要求 Google Analytics、Facebook Pixel、金流串接 (綠界、藍新、Stripe)、Webhook、PWA、Service Worker、Geolocation API、Camera API——這些幾乎所有現代網站功能都要求網站必須是 HTTPS,否則無法運作。
想做 Line Pay、街口支付串接的電商網站,金流商會明確要求網站必須有 SSL 憑證,否則不會核准串接。

SSL 憑證的種類:DV、OV、EV 怎麼選

並不是所有 SSL 憑證都一樣。依照驗證嚴格程度,SSL 憑證可分為三大類:DV、OV、EV。這三類在加密強度上其實沒有差別,差別在於「CA 在頒發前對網站身份的查核深度」,以及隨之而來的信任感與成本。

憑證選擇公式驗證等級 = 信任深度 × 取得難度

原則上:內容站、部落格、中小型官網 → DV(免費或低價,自動化簽發);商務官網、B2B 公司網站 → OV(需驗證公司登記資訊);金融、大型電商、政府網站 → EV(需深度法人驗證,成本最高)。

台灣中小企業官網,大多使用 DV 憑證(例如 Let's Encrypt 或主機商提供的免費 SSL)就足夠;只有特別需要展示企業可信度的金融或大型購物網站,才需要 OV 或 EV。

三種憑證類型的詳細差異

類型	全名	驗證內容	簽發時間	年費參考	適用對象
DV	Domain Validation	僅驗證網域擁有權	數分鐘	免費 ~ 1,500 元	個人網站、部落格、中小企業官網
OV	Organization Validation	驗證網域 + 公司登記資訊	1~3 天	3,000 ~ 12,000 元	商務官網、B2B 公司、中型電商
EV	Extended Validation	網域 + 公司 + 實體存在驗證	3~7 天	8,000 ~ 30,000 元	銀行、大型電商、政府機關

實務建議:過去 EV 憑證會在網址列顯示綠色公司名稱,曾被認為是「最高信任等級」的標誌。但 2019 年起 Chrome、Safari、Firefox 陸續取消了這個視覺差異,現在 DV、OV、EV 在網址列上看起來都一樣——都是一個鎖頭。因此對大多數中小企業而言,DV 憑證已經足夠,沒必要為了一個使用者根本看不到的差異付高額費用。

如何取得 SSL 憑證?付費 vs 免費比較

取得 SSL 憑證的管道在 2026 年已經非常多元,主要分成三大來源:免費 CA、付費商業 CA、以及主機商或 CDN 提供的整合方案。

方案 1:Let's Encrypt 免費憑證 (最推薦給中小企業)

Let's Encrypt 是由 ISRG (網際網路安全研究團體) 推動的免費 CA,自 2016 年正式運作至今已簽發超過 50 億張憑證,是全球最大的 CA。它的特點是:

完全免費:沒有任何隱藏費用、廣告或推銷
自動化簽發:透過 ACME 協定,使用 certbot 等工具可以自動申請、安裝、續約
效期 90 天:比商業憑證短,但因為自動續約,實務上不會造成困擾
主機商整合度高:cPanel、Plesk、DirectAdmin、CloudFlare、Vercel、Netlify 等平台都已整合,通常只需點一個按鈕

方案 2:商業憑證 (DigiCert、GlobalSign、Sectigo 等)

付費憑證主要的價值不在加密強度(因為加密強度與 Let's Encrypt 相同),而在以下幾點:

OV / EV 等級驗證可展示企業身份
提供賠償保險 (典型為 100 萬 ~ 1,000 萬美元的資料外洩保障)
商業技術支援:24/7 客服、安裝協助
萬用字元憑證 (Wildcard) 或多網域憑證 (SAN) 的彈性配置
較長的效期 (但 2026 年 3 月起所有憑證都統一縮短為 200 天)

方案 3:主機商或 CDN 整合方案

對不熟技術的中小企業來說,最省事的方式是直接選擇有提供「免費 SSL」的主機商或建站平台。常見整合方案包括:

Cloudflare

免費方案就提供 Universal SSL,設定 DNS 即可自動取得 SSL,還可順便用上 CDN 加速與 DDoS 防護。

主機商整合

Bluehost、SiteGround、HostGator、SSL 4 Less、台灣的捕夢網、戰國策等,主機後台通常一鍵啟用 Let's Encrypt。

建站平台

Wix、Shopify、Squarespace、Webflow、WordPress.com 等 SaaS 建站平台,SSL 是內建功能,無需額外設定。

SSL 憑證的安裝與部署步驟

SSL 憑證的安裝流程因主機架構而異,但無論是哪種方式,核心步驟都包含以下五個階段。即使您是請主機商或工程師代為處理,了解這些步驟也能幫助您驗收成果與排錯。

產生 CSR (憑證簽署請求) CSR 是一份包含您網站資訊與公鑰的檔案,需要提交給 CA 才能簽發憑證。多數主機後台會自動產生,或可用 OpenSSL 指令手動生成。
用 OpenSSL 指令產生:openssl req -new -newkey rsa:2048 -nodes -keyout example.key -out example.csr。
向 CA 申請或購買憑證提交 CSR 給 CA 之後,CA 會驗證您對網域的擁有權。Let's Encrypt 的 ACME 自動驗證通常數秒完成;OV/EV 則需要人工審核公司資料,耗時 1~7 天。
Certbot 自動申請:sudo certbot --nginx -d example.com -d www.example.com,一行指令完成申請與安裝。
安裝憑證到伺服器憑證簽發後,需把它部署到伺服器上。Apache 在 httpd.conf 或 ssl.conf;Nginx 在 server block 內;IIS 在「伺服器憑證」管理介面;Plesk / cPanel 則在主機面板的 SSL/TLS 區塊一鍵安裝。
Nginx 範例設定:ssl_certificate /etc/ssl/example.crt; ssl_certificate_key /etc/ssl/example.key;
設定 HTTP 自動導向 HTTPS 這一步常被忽略——光是憑證安裝完成還不夠,還要把所有 HTTP 流量301 永久重新導向到 HTTPS,讓使用者與搜尋引擎都只看到 HTTPS 版本。
Apache 的 .htaccess:RewriteEngine On / RewriteCond %{HTTPS} off / RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
測試 + 處理混合內容 (Mixed Content) 最後一步是用 SSL Labs 或瀏覽器開發者工具檢查,確認沒有 Mixed Content 警告(也就是 HTTPS 頁面中混入 HTTP 資源,例如圖片、CSS、JS)。
用 SSL Labs Test 測試後,目標分數應達 A 或 A+。若拿到 B 以下,通常代表還在支援舊版 TLS 或弱密碼套件。

Nginx 完整 HTTPS 設定範例

給工程師參考的 Nginx 完整 SSL 設定 (已套用 TLS 1.2 + 1.3、HSTS、強密碼套件):

Nginx

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;

    ssl_certificate     /etc/ssl/example.crt;
    ssl_certificate_key /etc/ssl/example.key;

    # 只支援 TLS 1.2 與 1.3,停用所有舊版
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    # 強密碼套件 (排除已知弱演算法)
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;

    # HSTS:強制瀏覽器一年內只用 HTTPS
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # ... 其他網站設定
}

# HTTP 自動 301 導向 HTTPS
server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

SSL 與 SEO:HTTPS 對搜尋排名的影響

從 SEO 角度來看,SSL 憑證對搜尋排名的影響可以分成直接訊號與間接訊號兩種。直接訊號是 Google 明確承認的演算法輸入;間接訊號則是透過影響使用者行為,間接影響排名。

HTTPS 本身是「輕量但確實存在」的排名因素——它不會讓爛內容變好,但對品質相當的兩個網站來說,有 HTTPS 的那個會略勝一籌。

HTTPS 對 SEO 的 5 個實質影響

作為直接排名訊號 Google 在 2014 年官方部落格公告 HTTPS 為排名訊號,並表示「會持續觀察是否提高加權」。雖然 Google 形容這是「輕量級訊號」,但對競爭激烈的關鍵字,任何小幅加權都可能影響名次。
啟用 HTTP/2 與 HTTP/3,改善 Core Web Vitals HTTP/2 與 HTTP/3 在所有主流瀏覽器中都強制要求 HTTPS。這代表沒有 SSL 的網站,連線速度與資源載入效率都會受限,直接影響 LCP、INP、TTFB 等核心網站指標。
減少使用者跳出 (Bounce) 瀏覽器對 HTTP 網站的「不安全」警告,會讓使用者在 3 秒內離開頁面。高跳出率是 Google 用來判斷使用者滿意度的間接訊號,長期下來會傷害整個網域的排名。
保留 Referrer 來源資料從 HTTPS 連到 HTTP 的流量,瀏覽器會移除 Referrer 標頭,導致 Google Analytics 把該流量歸類為「Direct」。這會讓您看不到真實的流量來源,影響行銷決策。
符合 AI 搜尋引擎的信任門檻 ChatGPT 的 SearchGPT、Perplexity、Google AI Overviews 在抓取資料時,都會優先信任 HTTPS 網站。在 2026 年的 AI 搜尋時代,沒有 HTTPS 的網站可能根本不會被列為 AI 引用的來源。

HTTPS 遷移時的 SEO 注意事項

從 HTTP 升級到 HTTPS 是一次網站遷移 (Site Migration),如果處理不當,反而會讓 SEO 短期下滑。正確流程應該包含:

所有舊 HTTP 網址都要 301 永久導向到對應 HTTPS 網址(不是 302 暫時導向)
更新所有內部連結為 HTTPS 版本,不要繼續用 HTTP 連結
修正所有 Mixed Content 問題(HTTPS 頁面內不能再有 HTTP 圖片、CSS、JS)
在 Google Search Console 新增 HTTPS 版本的資源,並重新提交 Sitemap
更新 rel="canonical" 標籤指向 HTTPS 版本
更新 Open Graph、Twitter Card 圖片網址
檢查所有第三方服務(GA、GTM、Facebook Pixel)是否仍正常追蹤
新增 HSTS 標頭(Strict-Transport-Security),強制瀏覽器後續只用 HTTPS

SSL 憑證常見錯誤與排錯方法

SSL 安裝看似一鍵完成,實際上有許多細節容易出錯。以下是台灣中小企業網站最常遇到的 6 個 SSL 問題,以及對應的排錯方式:

憑證過期忘記續約這是最常見也最嚴重的問題。憑證一旦過期,所有使用者都會看到紅色「您與此網站的連線並非私人連線」警告,絕大多數會立即離開。改善方式:使用 Let's Encrypt 搭配 certbot 設定 cron 自動續約;或在月曆設定到期前 30 天提醒。
Mixed Content (混合內容) 警告 HTTPS 頁面中載入了 HTTP 的圖片、CSS、JS,瀏覽器會顯示「資訊不安全」警告。常見原因:WordPress 文章內舊圖片網址寫死成 HTTP、第三方嵌入(YouTube 舊網址、跑馬燈)。改善方式:用 Chrome DevTools 的 Console 找出問題資源,並用資料庫批次取代或加上 upgrade-insecure-requests 標頭。
未設定 301 自動導向憑證裝了但沒設定 HTTP→HTTPS 自動轉址,結果兩個版本同時存在。這會造成內容重複、外部連結權重分散、Google 索引混亂。改善方式:在 .htaccess 或 Nginx 設定 301 強制轉址,並用 Search Console 確認索引狀況。
忘記啟用萬用字元 (Wildcard) 涵蓋子網域主網域 example.com 有 SSL,但子網域 blog.example.com、shop.example.com 卻沒有。子網域訪客會看到「不安全」警告。改善方式:申請 Wildcard 憑證 (*.example.com),或為每個子網域單獨申請憑證。
使用過時的 TLS 1.0 / 1.1 協定憑證本身有效,但伺服器設定還在支援 2025 年已淘汰的 TLS 1.0/1.1。SSL Labs 評分會被扣到 B 以下,新版瀏覽器也會顯示警告。改善方式:編輯 Nginx/Apache 設定,把 ssl_protocols 設為 TLSv1.2 TLSv1.3 即可。
憑證鏈不完整 (Incomplete Chain) 憑證安裝時只裝了主憑證,沒一併安裝中介憑證 (Intermediate Certificate)。某些舊瀏覽器或行動裝置會驗證失敗。改善方式:用 What's My Chain Cert? 工具檢查,並將中介憑證合併到主憑證檔案中。

快速體檢清單:您可以用 SSL Labs Server Test 一鍵檢測網站的 SSL 設定。目標是拿到 A 或 A+ 評分,並確認:憑證未過期、支援 TLS 1.2 與 1.3、不支援 TLS 1.0/1.1、無已知漏洞 (如 POODLE、Heartbleed)、憑證鏈完整。整套檢測只需 1~2 分鐘。

結論:SSL 憑證是 2026 年網站的最低門檻

在 2026 年,SSL 憑證已經不是可選項,而是必選項。Google 把它當作排名訊號、瀏覽器把沒裝 SSL 的網站標記為「不安全」、第三方服務要求 HTTPS 才能串接、AI 搜尋引擎優先信任 HTTPS 來源——任何沒有 SSL 的網站,都同時失去了使用者信任、搜尋曝光、技術擴展性與品牌專業度。

如果您正在規劃網站或評估現有網站,請用以下 5 個問題自我檢查:

您的網站網址列是否顯示鎖頭與 https://,而不是「不安全」警告?
HTTP 流量是否會自動 301 導向 HTTPS,而不是兩個版本並存?
頁面中是否還有 HTTP 的圖片、CSS、JS,造成 Mixed Content 警告?
伺服器是否已停用 TLS 1.0/1.1,只支援 TLS 1.2 與 TLS 1.3?
是否有設定憑證自動續約,避免過期造成全站「不安全」?

核心結論:對絕大多數台灣中小企業來說,Let's Encrypt 免費 SSL + Cloudflare CDN + Nginx 反向代理就是最划算也最穩定的組合——免費、自動續約、支援 TLS 1.3、附帶 CDN 加速與 DDoS 防護。您不需要為了「綠色公司名稱」之類已經被瀏覽器拿掉的虛榮裝飾去付高價,只需要確保加密確實生效、無 Mixed Content、自動續約、TLS 1.2/1.3 這四件事。如果您想了解更多網站 SEO 與技術優化,可以參考新視野 SEO 教學指南。

常見問答 FAQ

SSL 憑證和 TLS 憑證有什麼差別?

嚴格來說,「SSL 憑證」這個說法在 2026 年已經是歷史遺留稱呼。SSL (Secure Sockets Layer) 是 1990 年代的舊協定,所有版本(SSL 2.0、SSL 3.0)都已因安全漏洞而被淘汰。現代網站實際使用的是 TLS (Transport Layer Security),目前最新版本是 TLS 1.3 (2018 年釋出)。但因為大眾、CA 業者、技術文件都已習慣使用「SSL 憑證」這個名稱,所以即使實際運作的是 TLS,大家仍沿用此說法。簡單記法:SSL 是名字,TLS 是實際技術。當您買「SSL 憑證」時,拿到的其實是支援 TLS 1.2 與 1.3 的憑證。

Let's Encrypt 免費 SSL 和付費 SSL 有什麼不同?加密強度一樣嗎?

加密強度完全相同。Let's Encrypt 與商業 CA (DigiCert、GlobalSign) 簽發的憑證,都使用相同的加密演算法 (RSA 2048-bit、ECDSA P-256、TLS 1.2/1.3),瀏覽器信任程度也一樣,網址列都會顯示鎖頭。差別主要在三個地方:1.驗證等級——Let's Encrypt 只提供 DV (僅驗證網域擁有權);商業 CA 可提供 OV、EV 等更深度的企業身份驗證。2.賠償保險——付費憑證通常附 100 萬~1,000 萬美元的資料外洩賠償保障;Let's Encrypt 沒有。3.技術支援——付費憑證提供 24/7 客服與安裝協助;Let's Encrypt 只能靠社群論壇。對絕大多數中小企業官網、部落格、內容站來說,Let's Encrypt 已經完全足夠;只有金融、大型電商、政府機關等需要展示企業可信度的網站,才需要付費 OV/EV 憑證。

SSL 憑證的效期通常多久?為什麼 2026 年要縮短?

SSL 憑證的最長效期過去幾年一直在縮短:2015 年是 3 年、2018 年縮短為 2 年、2020 年縮短為 1 年 (398 天)、2026 年 3 月 11 日起再縮短為 200 天。CA/Browser Forum (制定 SSL 標準的國際組織) 規劃在未來幾年內逐步降到 47 天甚至更短。為什麼要縮短?主要有三個原因:1.降低憑證遭洩漏後的風險窗口——效期越短,被盜用後可被惡意使用的時間越短。2.強制自動化部署——傳統手動續約模式難以應付頻繁更新,業界必須升級為 ACME 等自動化協定。3.淘汰過時加密技術——憑證頻繁汰換,可以加速產業採用更新更安全的演算法。對網站擁有者的影響:必須使用支援自動續約的方案 (如 Let's Encrypt + certbot、Cloudflare、ZeroSSL),不要再依賴手動續約。

網站裝了 SSL 之後速度會變慢嗎?

不會,反而可能變快。這是 2026 年很多人還有的舊觀念。早期 SSL 因為加密握手過程較複雜,確實會增加幾十毫秒的連線時間,但隨著 TLS 1.3 的普及與硬體加速,這個影響已經非常微小 (1-RTT 甚至 0-RTT 握手)。更重要的是,啟用 HTTPS 後可以使用 HTTP/2 與 HTTP/3 協定——這兩個現代協定在所有主流瀏覽器中都「強制要求 HTTPS」才能使用。HTTP/2 的多路復用 (Multiplexing) 與 HTTP/3 基於 QUIC 的快速握手,實際上會讓網站的整體載入速度比 HTTP/1.1 快 30~50%。換句話說,啟用 SSL 之後,網站的 LCP (Largest Contentful Paint)、TTFB (Time to First Byte)、INP (Interaction to Next Paint) 等 Core Web Vitals 指標通常會改善,而不是變差。實際數據:同樣的伺服器與內容,啟用 HTTPS + HTTP/2 後,首頁載入時間可能從 3.2 秒降到 2.1 秒。

什麼是 Mixed Content (混合內容)?為什麼瀏覽器會顯示警告?

Mixed Content 是指在 HTTPS 頁面中載入了 HTTP 資源,例如圖片、CSS、JavaScript、影片、字型檔。雖然頁面本身是加密的,但頁面引用的資源仍透過 HTTP 傳輸,導致整體連線實際上不是完全加密。瀏覽器會用以下方式警告:1.網址列鎖頭變成「不安全」警告或紅色開啟符號。2.主動式 Mixed Content (JS、CSS) 會被直接封鎖,因為它們可能執行惡意程式碼。3.被動式 Mixed Content (圖片) 會被載入但給予警告。常見成因:WordPress 文章內舊圖片網址寫死成 HTTP、第三方服務嵌入舊版 YouTube 連結、跑馬燈外掛使用 HTTP 圖片資源、未更新的 CDN 設定。排解方法:1. 用 Chrome DevTools 的 Console 找出問題資源 (會列出 Mixed Content 警告)。2. 用資料庫批次取代,將 http:// 全部改為 https:// 或協定相對網址 //。3. 在 HTML 加入 <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> 強制升級不安全資源。

從 HTTP 升級到 HTTPS 會影響 SEO 排名嗎?

如果遷移流程正確,長期會提升 SEO;但如果遷移錯誤,短期可能會掉排名。HTTPS 是 Google 自 2014 年起就公開的排名訊號之一,雖然加權幅度不大,但在競爭激烈的關鍵字中可能就是排名前 3 與第 4 名的差距。除此之外,HTTPS 還會間接影響使用者行為訊號 (跳出率、停留時間),這些都會間接影響排名。正確遷移流程應包含:1.所有舊 HTTP 網址都要 301 永久導向到對應 HTTPS 網址 (不能用 302 暫時導向,會讓權重轉移失效)。2.更新所有內部連結為 HTTPS 版本。3.修正所有 Mixed Content問題。4.在 Google Search Console 新增 HTTPS 版本資源,重新提交 Sitemap。5.更新 canonical 標籤指向 HTTPS。6.檢查 GA、GTM、Facebook Pixel 等第三方服務是否仍正常追蹤。常見錯誤:遷移時忘記設定 301 導向、忘記修正 Mixed Content、忘記在 Search Console 新增 HTTPS 版本——這些錯誤可能讓網站在遷移後 1~2 個月內排名下滑,但只要修正,通常會恢復且超過原本水準。

如何檢查我的網站 SSL 設定是否安全?

最簡單也最權威的工具是 Qualys SSL Labs Server Test——輸入網域後,1~2 分鐘內會給出 A+、A、B、C、D、F 的評分。目標是 A 或 A+。檢測會涵蓋以下重點:1.憑證有效性——是否已過期、是否完整 (含中介憑證)、是否被信任的 CA 簽發。2.支援的協定版本——是否還在支援 TLS 1.0/1.1 (應停用);是否支援 TLS 1.2 與 1.3 (應支援)。3.密碼套件強度——是否仍使用 RC4、3DES 等弱演算法 (應停用)。4.已知漏洞——是否受 POODLE、Heartbleed、BEAST、CRIME 等攻擊影響。5.HSTS 標頭——是否強制瀏覽器一律使用 HTTPS。常見扣分原因:還在支援 TLS 1.0/1.1 (會被扣到 B);未啟用 HSTS (扣分);密碼套件包含弱演算法 (扣分);憑證鏈不完整 (扣分到 T)。其他工具:Mozilla Observatory (檢查 HTTP 標頭安全性)、Why No Padlock? (找 Mixed Content)、What's My Chain Cert? (檢查憑證鏈完整性)。

子網域和主網域要分開申請 SSL 憑證嗎?

有三種選擇,依需求決定:1.單一網域憑證 (Single Domain)——只涵蓋一個網域,例如 example.com。子網域 (blog.example.com、shop.example.com) 需要分別申請。適合只有單一網站的小型企業。2.多網域憑證 (SAN, Subject Alternative Name)——一張憑證涵蓋多個指定的網域與子網域。可以列出 5~250 個網域,但每加一個都要明確指定。適合有多個固定子網域的企業。3.萬用字元憑證 (Wildcard)——一張憑證涵蓋主網域加上所有第一層子網域,例如 *.example.com 可同時保護 blog.example.com、shop.example.com、app.example.com。注意只涵蓋一層——*.example.com 不會保護 api.blog.example.com 這種兩層子網域。Let's Encrypt 已支援 Wildcard 免費憑證,但申請時需用 DNS-01 驗證 (而非 HTTP-01),稍微複雜一點。實務建議:有 3 個以上子網域 → 用 Wildcard;只有 1~2 個 → 用單一網域或 SAN。

使用 Cloudflare 免費 SSL 是否就不需要自己裝憑證?

這是個有點複雜的問題,要看 Cloudflare 的 SSL 模式設定:1.Flexible 模式——只有「使用者到 Cloudflare」這段是 HTTPS,「Cloudflare 到您伺服器」這段還是 HTTP。不安全,不建議使用,因為駭客仍可在 Cloudflare 與您主機之間攔截資料,而且這種設定容易造成無限重新導向迴圈。2.Full 模式——兩段都是 HTTPS,但 Cloudflare 不會驗證您主機憑證的有效性。可以用自簽憑證,但安全性中等。3.Full (Strict) 模式——兩段都是 HTTPS,且 Cloudflare 會嚴格驗證您主機憑證。這是最推薦的設定,您的主機仍需安裝有效憑證 (Let's Encrypt 即可,或申請 Cloudflare 提供的 15 年期免費 Origin Certificate)。結論:Cloudflare 免費 SSL 不能完全取代主機端的憑證設定,建議搭配 Let's Encrypt 或 Cloudflare Origin Certificate,並使用 Full (Strict) 模式才是最安全的方案。

SSL 憑證過期了會怎樣?如何避免?

SSL 憑證一旦過期,後果非常嚴重:1.所有使用者都會看到全頁紅色警告——「您與此網站的連線並非私人連線 (NET::ERR_CERT_DATE_INVALID)」,絕大多數使用者會立即關閉分頁。2.瀏覽器會封鎖大部分操作——使用者必須手動點擊「進階」→「繼續前往不安全的網站」才能瀏覽,但大多數人不會這麼做。3.所有 API 串接、金流、第三方服務都會失敗——因為這些服務也會驗證您的憑證有效性。4.SEO 排名急速下滑——Google 爬蟲也會跳開過期憑證的網站。如何避免過期:1.使用 Let's Encrypt + certbot 自動續約——certbot 預設會在憑證到期前 30 天自動續約,設定 cron 即可長期穩定運作。2.使用 Cloudflare、AWS Certificate Manager 等託管服務——這些平台會自動處理續約,完全不需要人工介入。3.設定到期前 30 天提醒——在 Google Calendar 設定到期前 30 天、14 天、7 天三層提醒。4.使用監控工具——UptimeRobot、Pingdom、Better Stack 等服務有 SSL 監控功能,過期前會主動寄信通知。實務建議:在 2026 年憑證效期縮短為 200 天的環境下,強烈建議全面採用自動化續約方案,人工管理已不再實際可行。

延伸閱讀:新視野 SEO 教學指南、Let's Encrypt 官方網站、Qualys SSL Labs Server Test、RFC 8446 (TLS 1.3 規格)

歡迎推廣本文，請務必連結(LINK)本文出處：新視野網頁設計公司

分類列表( 技術 SEO ) 全部列表