什么是 HTTPS？

HTTPS (超文本安全传输通讯协议) 是一种因特网通讯协议，可确保数据在用户的计算机和网站之间传输时，保有完整性和机密性。使用者造访任何网站时，都希望能享有安全而私密的在线体验。因此，无论网站的内容为何，我们都建议您采用 HTTPS 来确保网站使用者的联机安全性。

通过 HTTPS 传送的数据非常安全，因为 HTTPS 会通过「传输层安全性」通讯协议 (TLS) 提供以下三道重要的资安防护网：

加密：对交换的数据进行加密，防止数据遭到窃取。也就是说，当使用者在浏览网站时，任何人都无法「窃听」其对话、追踪他们在多个网站之间转换的活动，或窃取其信息。

数据完整性：系统会侦测出数据在传输过程中是否遭到有意或无意的修改或破坏。

验证：验证您的用户是否与预期的网站进行通讯。这能预防拦截式攻击并建立使用者的信任感，进而促进其他商业利益。

实作 HTTPS 的最佳做法

使用可靠的安全性证书

在您为网站启用 HTTPS 时，必须取得安全性证书。此证书是由证书颁发机构单位 (CA) 所核发，会通过几个步骤来验证您的网址确实是贵机构所有，藉此保护客户免于遭受拦截式攻击。设定证书时请务必选择 2048 位密钥，以确保较高等级的安全性。如果您原有的证书使用安全性较弱的密钥 (1024 位)，请将密钥升级至 2048 位。选择网站证书时，请注意下列事项：

向可提供技术支持的可靠 CA 取得证书。

决定您需要的证书种类：

单一安全来源适用的单一证书 (例如 www.example.com)。

多个知名安全来源适用的多重域名证书 (例如 www.example.com、cdn.example.com、example.co.uk)。

拥有多个动态子域的安全来源适用的通配符证书 (例如 a.example.com、b.example.com)。

使用服务器端 301 重新导向

通过服务器端 301 HTTP 重新导向将您的用户和搜索引擎重新导向至 HTTPS 网站或资源。

确认 Google 能够检索您的 HTTPS 网站并建立索引

请勿使用 robots.txt 档案禁止搜索引擎检索您的 HTTPS 网站。

请勿在您的 HTTPS 网站中加入 noindex 中继标记。

您可以使用 Google 仿真器测试 Googlebot 是否能存取您的网站。

支援 HSTS

建议您让 HTTPS 网站支持 HSTS (HTTP 严格传输安全性)。HSTS 会让浏览器自动要求 HTTPS 网站，即使使用者在浏览器网址列中输入 http 亦然。此外，它也会指示 Google 在搜索结果中提供安全网址。这些措施可以尽可能降低使用者接触到不安全内容的风险。

如要支持 HSTS，请使用支持 HSTS 的网络服务器，并启用这项功能。

虽然 HSTS 的安全性较高，但也会让复原策略变得更为复杂，因此建议您采用下列方法启用 HSTS：

先推出 HTTPS 网站，再启用 HSTS。

开始传送含有简短 max-age 的 HSTS 标头。监控来自使用者和其他客户端的流量，以及其他相关内容的成效 (例如广告)。

慢慢增加 HSTS max-age 长度。

如果 HSTS 不会对您的使用者和搜索引擎产生负面影响，您就可以视需求让网站加入各大浏览器的 HSTS 预载清单中。

考虑使用 HSTS 预先加载机制

如果您启用了 HSTS，可以选择是否要支持 HSTS 预先加载机制来提高安全性和性能。如要启用预先加载机制，则必须前往并依按照规定提交您的网站。

其他提示

如要进一步了解如何在网站上使用 HTTPS 网站，请参阅 HTTPS 迁移常见问题。

从 HTTP 迁移至 HTTPS

如果将网站从 HTTP 迁移至 HTTPS，Google 会视为变更网址的网站迁移作业，并可能对您的流量带来暂时性影响。详情请参阅网站迁移概要网站的说明。

请将 HTTPS 资源新增到 Search Console。Search Console 会分别处理 HTTP 和 HTTPS；上述资源的数据在 Search Console 中并不会共享。因此，如果您有分属于这两种通讯协议的网站，必须分别建立不同的 Search Console 资源。