HTTPs 跟 HTTP 是什麼?差別在哪?會影響SEO?教學

by 貓熊先生
HTTPs 跟 HTTP 是什麼?
HTTPs 跟 HTTP 是什麼?

HTTPS 中文又可以叫做「安全超文本傳輸協議」,它是 HTTP 的擴展,HTTP 則可以叫做「超文本傳輸協議」。HTTPS 是被用在 Web 瀏覽器和網站之間發送數據的主要協議,現在幾乎每個網站都會加上 HTTPS,而且在「SEO 搜尋引擎優化」裡面,網站加上 HTTPS 比起沒有加上 SSL 的 HTTP 網站,更容易獲得 Google 信任,而且 Google 官方也已公開 HTTPS 是 SEO 排名要素之一,雖然它的排名信號可能不是很強烈。

HTTPS 被加密以提高數據傳輸的安全性。這在用戶傳輸敏感數據時特別重要,例如所有網路銀行都一定是使用 HTTPS 而非 HTTP,這樣可以保障銀行用戶隱私資料的安全性。

對於任何網站來說,HTTPS 幾乎已經變成一個標準,特別是那些需要登入的網站(會有帳號密碼登入的網站),都應該使用 HTTPS。在 Chrome 等現代網絡瀏覽器中,不使用 HTTPS 的網站在瀏覽器網址列旁的標記跟使用 HTTPS 的網站是不一樣的。在 URL 欄中如果你看到綠色鎖頭代表該該網頁是安全的,有使用 HTTPS。Google Chrome 和其他瀏覽器也會將所有非 HTTPS 網站標記為不安全。

如下圖,使用 HTTPS 的網站將被瀏覽器標示為「建立安全連線」,而不會有任何警告。

HTTPS 網站將被標示為「安全連線」
HTTPS 網站將被標示為「安全連線」

如果你還不知道 HTTPS 跟 HTTP 是什麼?為什麼要替網站加上 TLS / SSL?以及為什麼 HTTP 網站變成 HTTPS 網站很重要,本篇文章會有一個詳盡的教學。

HTTPS 是什麼?

HTTPS 中文又可以叫做「安全超文本傳輸協議」,它是 HTTP 的擴展,使用 HTTPS 的網站,在傳輸資料的過程中,資料是被加密過的,因此資訊就會被攔截,駭客一樣只會看到一串亂碼。

在 HTTPS 中,通信協議使用傳輸層安全性 TLS 或以前的 SSL 進行加密。因此,該協議也稱為基於 TLS 的 HTTP,或基於 SSL 的 HTTP。

HTTPS 跟 HTTP 差在哪?

HTTPS 是帶有 TLS 加密的 HTTP。HTTPS 使用 TLS ( SSL ) 來加密正常的 HTTP 請求和回應,這樣會使數據在網路上傳輸更安全。試想如果你使用的網路銀行,網站使用的是 HTTP 而非 HTTPS,你會覺得你的銀行帳戶資料安全嗎?登入網站輸入帳號密碼時,你會覺得安全嗎?應該不會吧。

使用 HTTPS 的網站在 URL 的開頭使用的是 https:// 而不是 http://。

例如貓熊先生網站你看到的是「https://www.seo-panda.tw/」,而不是「http」開頭的網址。

HTTPS 是怎麼運作的?

Cloudflare 這個知名 CDN 服務網站有說明「HTTPS」的運作方式。HTTPS 使用加密協議來加密通信。該協議稱為傳輸層安全性 (TLS),以前叫做 SSL。該協議通過使用所謂的公鑰基礎設施來保護通信。這種類型的安全系統使用兩個不同的密鑰來加密兩方之間的通信:

私鑰

此密鑰由網站的所有者控制,它是私有的,這個私鑰位於 Web 伺服器上,用於解密由公鑰加密的信息。

公鑰

每個想要以安全方式與服務器交互的人都可以使用這個公鑰 。用公鑰加密的信息只能用私鑰解密。

為什麼替網站加 HTTPS 很重要?

首先,加上 HTTPS 的網站,表示它的資料傳輸相對安全,因為有加密過。使用 HTTP 的網站在資料傳輸上會是明文。

當你的網站使用 HTTP 而不是 HTTPS 的時候,瀏覽器甚至會警告使用者,這是一個不安全的網站,Google 在推廣網站使用 HTTPS 也推廣很久了,所以你的網站不加上 HTTPS,你的使用者可能會收到類似警告,說這是一個不安全的網站,因而破壞使用者對你網站的信任。

為什麼替網站加 HTTPS 很重要?
為什麼替網站加 HTTPS 很重要?

Cloudflare 一篇關於「Why use HTTPS?」的文章也說明了,替你的網站加上 HTTPS 有以下的好處,所以建議使用 HTTPS 網站,而非 HTTP。

一:使用 HTTPS 的網站更受使用者信賴

想想看,一個 HTTP 網站在每當使用者進入網站時,就會跳出這個網站不安全的警告,這樣也不太好吧。

即便使用者可能不知道使用 SSL/TLS 加密的好處,但是瀏覽器公司肯定知道,這也是為什麼:Chrome 和其他瀏覽器將所有 HTTP 網站標記為“不安全”,因為它是真的不安全。

HTTPS 使用 SSL/TLS 協議對通信進行加密,以便攻擊者無法竊取數據,這相對來說就比較安全,也比較容易讓使用者獲得信任。

從 2018 年 7 月發布的 Chrome 68 開始,所有不安全的 HTTP 流量都已在 URL 欄中標記為“不安全”。此通知出現在所有沒有有效SSL 證書的網站上。其他瀏覽器也紛紛效仿。

二、HTTPS 對用戶和網站所有者來說都更安全。

使用 HTTPS,數據在兩個方向的傳輸過程中都被加密:在瀏覽器跟伺服器的這段路上,傳輸的數據受到加密,因此 HTTPS 可以確保資料傳輸的安全,也因此想要惡意攻擊的駭客,無法觀察正在發送的數據。

舉例來說,使用者在網站上輸入帳號密碼的時候,使用者的帳號密碼不會在傳輸的過程中被盜竊。對於銀行網站這類型高機密的網站,是一定要使用 HTTPS 的。

如果網站沒有 HTTPS 會怎樣?

HTTPS 因為將資訊經過加密,所以在網路上傳輸的時候,是以加密過後的訊息再傳輸,而非明文。如果你使用 HTTP 而不是 HTTPS,你的訊息因為沒有經過加密,可能在網路傳輸的路上就被攔截了,因此駭客也獲得了你的機密資訊。

使用 HTTPS 之後,數據被加密,即使數據包被以其他方式攔截,它們也會作為無意義的字符出現。

例如以下這個例子:

HTTPS 加密前:

This is a string text about my password.

HTTPS 加密後:

sdsdafadadfcadsfajd;j;awijrjoqijr;ij;fwmfcqwmefqlmwe

當你的網站使用 HTTPS 之後,你的資訊在網路上傳輸即便被攔截,駭客也只會看到一串亂碼,而不會直接看到你的機密資訊,例如帳號密碼。

HTTPS 是 SEO 中的排名要素之一嗎?

是的, Google 早就公開已經「將 HTTPS 納入排名信號」。

以下是 Google 官方的公開文件原文:

基於這些原因,我們在過去幾個月不斷進行測試,想瞭解是否應該將採用安全加密連線做為網站搜尋排名演算法的信號之一。測試的結果令人相當滿意,因此我們將開始使用 HTTPS 做為排名信號。我們希望給予網站管理員逐步改用 HTTPS 的時間,因此目前這項指標的影響力還很小,全球只有不到 1% 的查詢會受到影響,權重也不及高品質內容等其他信號。不過,我們可能會決定逐漸提升這項指標的影響力,促使所有網站擁有者從 HTTP 改用 HTTPS,讓使用者在更安全的網路環境下瀏覽網站。

這份文件公開於「2014 年 8 月 7 日」。

雖然貓熊先生在 SEO 實務操作的觀察上,認為 HTTPS 對排名的影響訊號可能不是那麼強烈,但是基於安全性的理由,任何網站都應該要使用 HTTPS 而不是 HTTP 了。

而且當牽涉到使用 Canonical 這種標記來指定標準網址時,也建議要將標準網址指向有 HTTPS 的網址。

如何開始使用 HTTPs 網站?

目前很多網站都有提供免費的 SSL 加密服務,例如「Let’s Encrypt」跟「Cloudflare」,所以基本上你可以免費的將 HTTP 網站轉換成 HTTPS 網站,而且不用花什麼錢。

唯一需要注意的是,HTTPS 網址跟 HTTP 網址對於 Google 來講,基本上是不同的網址,所以建議要將所有 HTTP 的網址,全部做 301 redirects 到 HTTPS 網址上,這樣才能傳遞權重,進行無痛轉換。

301 redirects 完整教學可以參考下面文章。

HTTPS 與 HTTP 常見問題

HTTPS 是什麼?

HTTPS 中文又可以叫做「安全超文本傳輸協議」,它是 HTTP 的擴展,使用 HTTPS 的網站,在傳輸資料的過程中,資料是被加密過的。

HTTPS 跟 HTTP 差在哪?

使用 HTTPS 的網站在 URL 的開頭使用的是 https:// 而不是 http://。HTTPS 是帶有 TLS 加密的 HTTP。HTTPS 使用 TLS ( SSL ) 來加密正常的 HTTP 請求和回應。

HTTPS 觀念總整理

現在幾乎所有網站都已經加入到 HTTPS 網站的行列,對於 SEO 來講,HTTPS 也是排名訊號之一。使用 HTTPS 的網站可以讓使用者感到安全跟信任,資料傳輸也非常安全,所以可以說是幾乎沒有不使用 HTTPS 的理由。

唯一要注意的是,當你將 HTTP 轉成 HTTPS 的過程中,要使用 301 轉址,這樣才能將原本 HTTP 網址的權重傳遞到 HTTPS 網址上。