为什么你的网站需要HTTPS
打开浏览器,访问一个网站时地址栏出现小锁图标,说明这个网站用了HTTPS。比如你登录邮箱、购物付款,都是通过HTTPS加密传输的。如果你的网站还在用HTTP,用户一进去就看到‘不安全’三个字,信任感立马打折扣。
现在主流浏览器都会对非HTTPS网站标记为‘不安全’,尤其当页面有输入框时更明显。启用HTTPS不只是为了好看那个小锁,更是保护用户数据的基本操作。
获取SSL证书
启用HTTPS第一步是拿到SSL证书。证书就像网站的身份证,告诉访客‘我是正规军’。常见的证书类型有三种:DV(域名验证)、OV(组织验证)和EV(扩展验证)。个人博客或小站用免费的DV证书就够了。
Let's Encrypt提供免费SSL证书,支持自动续期,很多主机商已经集成。也可以从阿里云、腾讯云等平台申请免费证书,流程简单,几分钟就能搞定。
安装证书到服务器
拿到证书后要把它部署到服务器上。不同服务器配置方式不一样。以Nginx为例,你需要把证书文件上传到服务器,然后修改配置文件:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/your/certificate.crt;
ssl_certificate_key /path/to/your/private.key;
root /var/www/html;
index index.html;
}保存后重启Nginx服务,输入命令 sudo nginx -t 检查配置是否正确,没问题再 reload。
强制跳转HTTPS
很多人以为装完证书就完事了,其实还有关键一步:让所有访问者自动跳到HTTPS版本。否则别人输http://example.com还是会走旧链接。
继续在Nginx里加一段重定向规则:
server {
listen 80;
server_name example.com;
return 301 https://$host$request_uri;
}这样不管用户怎么输入,都会被引导到加密页面。Apache用户可以用.htaccess写跳转规则,原理类似。
检查资源是否全加密
上线后别急着庆祝,打开浏览器开发者工具,看有没有红色警告。常见问题是页面本身是HTTPS,但加载的图片、JS或CSS来自HTTP地址,这叫‘混合内容’,浏览器会阻止或提示风险。
比如你写了个轮播图插件,路径还是写成:<img src="http://cdn.example.com/banner.jpg">,那整个页面就算不上完全安全。所有外部资源链接都要改成相对协议或直接写HTTPS。
更新站点地图和提交搜索引擎
改完HTTPS后,记得去百度搜索资源平台和Google Search Console添加新的HTTPS版本站点。原来的HTTP站点地图失效了,需要重新提交。
同时在robots.txt和sitemap.xml里更新链接前缀。如果之前做了SEO优化,外链都指向HTTP地址,短期内排名可能波动,正常现象,坚持几周会恢复。
定期维护证书有效期
免费证书一般90天过期,过期后网站就会打不开。Let's Encrypt虽然能自动续签,但也得确保脚本正常运行。可以设置cron任务每月检查一次:
0 0 1 * * /usr/bin/certbot renew --quiet或者用监控工具提醒你快到期了。曾经有个客户忘了续费,国庆假期期间证书过期,客服电话被打爆,说网站突然不能访问,排查半天才发现是这个原因。