HTTPS与网站安全：为什么每个网站都应该启用SSL证书

HTTP和HTTPS的区别

HTTP是明文传输协议，你访问网站时的密码、浏览记录可以被窃听和篡改。HTTPS是HTTP的加密版本，通过SSL/TLS证书加密，确保保密性、完整性、身份验证。

为什么HTTPS对SEO很重要？

Google将HTTPS列为排名信号。Chrome浏览器会将HTTP网站标记为”不安全”，用户更信任显示安全锁的网站，HTTPS网站在同等条件下排名更靠前。现代浏览器的一些新功能（如Service Worker）也需要HTTPS。

如何获取免费的SSL证书？

Let us Encrypt（最推荐）

Let us Encrypt是非营利组织提供的免费证书，被所有主流浏览器信任。有效期90天，大多数服务器面板支持自动续期。获取方式：宝塔面板网站添加站点时勾选” Let’s Encrypt”；LNMP用lnmp ssl only命令；阿里云/腾讯云云产品SSL证书处申请免费证书。

阿里云/腾讯云免费证书

国内云服务商每年提供有限数量的免费证书，适合个人站长。

安装SSL证书后必做事项

强制跳转到HTTPS（HTTP到HTTPS 301重定向）、修改网站内链将HTTP改为HTTPS、更新CDN的HTTPS配置、检查外部引用的图片/CSS/JS是否使用HTTPS、更新Google Search Console和百度搜索资源平台的HTTPS版本。

常见SSL证书错误及解决

证书过期：Let us Encrypt自动续期失败时手动续期；混合内容：页面引用了HTTP资源，在浏览器控制台查看具体链接；证书不匹配：证书绑定的域名和访问域名不一致。

HSTS强制HTTPS

HSTS告诉浏览器始终使用HTTPS连接，即使你输入了HTTP地址。配置方法：在Nginx中添加Strict-Transport-Security头。注意：设置HSTS前务必确保全站HTTPS正常工作。