Chrome 在網址列跳出「不安全」三個字,客人不敢填表單也不敢結帳,你才開始上網查「HTTP 改 HTTPS 會不會掉排名」。先別慌。這篇會把要不要換、換了會怎樣、怎麼安全換這三件事一次講清楚,不賣夢也不勸退。
快速回答:換 HTTPS 對 SEO 有幫助,但幫助有限。Google 自 2014 年起把 HTTPS 列為排名訊號,官方說明是「輕量級(lightweight)」,意思是兩個網站其他條件幾乎相同時,HTTPS 才會投下決定性的一票。不換你一定吃虧,但換了不會讓你從無名變第一。真正會拉開差距的,是 301 導向、mixed content、canonical、Google Search Console 這四件事有沒有同時做對。
TL;DR:HTTPS 是 2026 年的入場券,不是加分炸彈;沒換等於自願落後競爭對手,做錯的遷移比不換更傷。照本文的 7 步驟一次做完,排名與流量通常只會有 1 到 2 週的正常波動。
文章目錄
HTTPS 對 SEO 的影響:先講結論,是輕量排名訊號而非萬靈丹
答案很白話:有幫助,但幫助有限。Google 在 2014 年正式將 HTTPS 列為排名訊號,當時的公告就把話說得很保守,用的是 lightweight 這個字。我自己每次被客戶問「換了會不會衝排名」,都會先講一句不討喜的話:很多人以為換了就會贏,其實不是這樣。HTTPS 是同分決勝負的那一票,不是獨立加分炸彈。
實務上,HTTPS 的 SEO 角色已經慢慢從「加分題」變成「入場券」。原因是 Chrome 從部分標記到全面標記 HTTP 為「不安全」,沒鎖頭的網站在使用者眼裡就是不可信任。當多數競爭對手都換了,你還沒換,等於在實力相當的對決裡自動少一票。
會被誤解,往往是因為很多人把「換了 HTTPS 之後排名變好」的個案,直接歸功於 HTTPS。但仔細看,那些案例通常同時做了 技術 SEO 健檢、補了 301 導向、清掉了重複內容。HTTPS 只是順手做對的其中一件事。把它單獨放大成神藥,是對排名訊號的誤讀。
- 輕量訊號:同分才決勝,不是獨立加分。
- 入場券性質:2026 語境下,少了它你連公平競爭都談不上。
- 破除迷思:換了不會自動往上衝,內容與技術體質才是主因。
什麼時候 HTTPS 才會變成決定性因素
這是讀者最常追問的一句。答案取決於「競爭者跟你差多少」。當兩個頁面的內容深度、外部連結、使用者行為訊號都旗鼓相當時,HTTPS 才會變成 Google 投下的那一票。換句話說,你的對手越強、兩邊實力越接近,HTTPS 的存在感就越明顯。相反地,如果你的內容比對手差一大截,就算換了 HTTPS 也救不回來。這也是為什麼我會建議客戶,不要把 HTTPS 當成「衝排名的動作」,而要把它當成「守住排名的底線」。底線沒守好,前面所有內容與連結的努力都可能被這一張沒蓋到的入場券抵銷掉。
想看完整的排名因素全貌,可以參考 SEO 排名因素週期表,HTTPS 在裡面只佔一個小欄位,但漏掉它就是漏掉一張入場券。
HTTP 與 HTTPS 到底差在哪:用一張表看懂加密、連接埠與瀏覽器標示
用白話說,HTTPS 就是「加了 SSL/TLS 加密的 HTTP」。兩者用同一套網頁傳輸邏輯,差別只在 HTTPS 多了一層加密與身分驗證,資料在瀏覽器與伺服器之間傳輸時是密文,第三方不能輕易攔截或竄改。HTTP 走 80 連接埠、明文傳輸;HTTPS 走 443 連接埠、全程加密。
想像你在咖啡店公共 WiFi 上填信用卡。如果是 HTTP,你的卡號像明信片一樣在網路上寄送,同一個網路的人都有機會看到。HTTPS 等於把明信片裝進密封信封,中間人就算攔到也只看到亂碼。這是為什麼 HTTPS 如何保護網站與使用者資料會被 Google 反覆強調。
SSL/TLS 提供的三件事
- 加密(encryption):資料傳輸過程變成密文。
- 資料完整性(integrity):資料被竄改時會被偵測出來。
- 身分驗證(authentication):確認你連上的伺服器真的是它自稱的那個。
HTTP vs HTTPS 五維對照表
| 維度 | HTTP | HTTPS |
|---|---|---|
| 協定 | 明文傳輸 | SSL/TLS 加密 |
| 連接埠 | 80 | 443 |
| 加密 | 無 | 有 |
| SEO | 不被當加分 | 列為輕量排名訊號 |
| 瀏覽器標示 | 「不安全」警告 | 鎖頭圖示 |
換了 HTTPS 之後,也才能解鎖 HTTP/2 這類更快的協定。HTTP/2 與更新的 HTTP/3 在主流瀏覽器上只跑在加密連線裡,所以「想衝速度得先換 HTTPS」不是口號,是協定限制。這也間接牽動 網頁速度對 SEO 的影響。
為什麼 Google 要推 HTTPS:從使用者安全到 https-first 索引
這裡要先戳破一個常見誤解:Google 推 HTTPS 是為了保護使用者,不是為了網站主。當使用者在網站輸入信用卡、帳號密碼等敏感資料時,HTTP 明文傳輸會讓這些資料在公開網路中被攔截。把 HTTPS 納入排名,是 Google 用搜尋結果的曝光權重,倒逼全網走向加密。
反問一句:如果你是 Google,你會想把流量導給一個客人資料可能被偷的網站嗎?答案顯然是不會。所以 Google 搜尋對 HTTP 頁面的態度越來越冷淡,從部分標記到全面標記「不安全」,再到 https-first 索引模式,路線很一致。
https-first 索引是什麼
https-first 的意思是:當一個頁面同時有 HTTP 與 HTTPS 版本時,Google 預設優先收錄 HTTPS 版本。聽起來很方便,但魔鬼藏在細節裡。如果你的 HTTP 與 HTTPS 版本內容不一致,或 HTTPS 版本因為憑證問題無法被正常抓取,索引就會出現混亂,嚴重時兩個版本都被降權。這也是為什麼遷移時一定要把 索引狀態同步處理乾淨。
排名訊號是手段,不是目的。目的只有一個:把全網推向加密。理解這個政策邏輯,你才不會把 HTTPS 當成可以「選擇性做」的裝飾品,而是把它當成 SEO 地基的一部分。
再多講一個讀者常忽略的點:https-first 不只影響首頁,連帶影響整站的索引效率。當 Google 預設抓 HTTPS 版本,而你的 HTTPS 版本卻因為 mixed content 或憑證錯誤無法完整渲染,爬蟲拿到的會是一個殘缺的頁面。殘缺的頁面等於內容沒被完整收錄,排名自然上不來。所以 https-first 對認真做 SEO 的人是雙面刃:做對了收錄更快、更乾淨;做錯了連原本的 http 排名都會一起被拖下去。這也是為什麼遷移絕對不能只停在「裝好憑證」就收工。
SSL 憑證怎麼選:免費 Let’s Encrypt 跟付費憑證對 SEO 有差嗎
直接回答:對 SEO 沒有差。Google 不會區分憑證是免費還是付費,只要憑證來自受信任的憑證機構(CA)且瀏覽器認得,排名效果完全相同。Let’s Encrypt 是受主流瀏覽器信任的 CA,免費就夠用。我自己好幾個站都用它,沒必要為了 SEO 多花錢。
要不要付費,取決於你的商業需求,不是 SEO 需求。需要 OV(Organization Validation)或 EV(Extended Validation)這類組織驗證來秀出公司名稱、需要萬用憑證(Wildcard)涵蓋多個子網域、或需要憑證機構的保定理賠,才值得付費。這些是「信任展示」與「理賠保障」,跟排名權重無關。
三種驗證等級的差異
- DV(Domain Validation):只驗網域所有權,簽發最快,Let’s Encrypt 屬於這類。
- OV(Organization Validation):驗公司身分,瀏覽器會顯示組織資訊。
- EV(Extended Validation):嚴格審查,舊版瀏覽器會秀綠色公司名(新瀏覽器多已移除)。
免費 vs 付費 SSL 比較表
| 項目 | 免費(如 Let’s Encrypt) | 付費(OV/EV/Wildcard) |
|---|---|---|
| 驗證等級 | DV | DV/OV/EV |
| 保固理賠 | 無 | 有,金額視方案 |
| 子網域涵蓋 | 逐一簽發 | 可買萬用憑證 |
| SEO 權重 | 相同 | 相同 |
萬用憑證什麼時候才需要?當你有多個子網域(例如 shop、blog、api 各一個)又不想逐一簽發時,買一張 Wildcard 會比較省事。但對只有一個主網域加一兩個子網域的小站,逐一用 Cloudflare 申請免費 SSL 或主機商一鍵簽發就夠了。
選憑證最容易踩的兩個坑
第一個坑,是把「貴的憑證」直接等同「SEO 比較強」。有些主機商會推銷高價 OV/EV 憑證,話術是「對排名有幫助」。這句話不成立,Google 早就講過不區分憑證等級。你付的錢買到的是組織驗證與保固,不是排名權重。
第二個坑,是憑證裝了卻沒設自動續期。免費憑證效期短,靠自動續期才穩定。很多人第一次換 HTTPS 是手動裝的,三個月後憑證一過期整站掛掉,比沒換還慘。所以裝完憑證,第一件事不是去測排名,而是回頭確認續期排程有沒有設好。這一點跟 網站資安防護是同樣的道理:基礎建設的穩定性,往往比一次性的最佳化動作更重要。我自己會在行事曆排一個每個月的小提醒,順手到 SSL Labs 跑一次評等,三秒鐘就能確認憑證還活著、設定沒走山,這個習慣比任何事後補救都划算。
HTTP 改 HTTPS 會掉排名嗎:正確遷移的 7 步驟,把風險壓到最低
只要照著正確步驟做,排名與流量幾乎不會受傷,短期可能出現 1 到 2 週的波動屬正常。會掉排名的,幾乎都是漏了 301 導向、canonical 沒改、sitemap 沒重送、或 Google Search Console 沒重新驗證 HTTPS 版本這幾件事。把下面 7 步一次做對,風險就能壓到最低。
步驟 1:申請並安裝 SSL 憑證
用 Let’s Encrypt 或主機商的一鍵簽發。多數主流主機後台(例如 cPanel、Cloudways、Kinsta)都有內建按鈕,按下去就裝好,不用碰指令。重點是確認憑證涵蓋你要加密的網域與子網域。
步驟 2:把 CMS 的網站位址改成 https
以 WordPress 為例,到「設定 → 一般」,把 WordPress 位址與網站位址兩個欄位都從 http 改成 https。這一步很多人漏掉,結果首頁是 https,內部產生的連結卻還是 http,後面 mixed content 怎麼修都修不完。想更懂 WordPress 整體架構可先看 站內 SEO 的脈絡。
步驟 3:設定全站 301 永久導向
用 Apache 的 .htaccess 或 Cloudflare 的 Redirect Rules,把所有 http 請求 301 永久導到 https。這一步是權重能不能搬過來的關鍵,301 才會傳遞排名權重,而且網址結構要一次對齊,避免日後再動 網域與 TLD 設定。
步驟 4:更新內部連結、canonical、hreflang
所有內部連結、canonical 標籤、hreflang 都要改成 https。canonical 沒改是最常見的隱形殺手,它會告訴 Google「權威版本還是 http 那個」,結果你導向設了等於白設。這也跟 重複內容處理直接相關,http 與 https 並存本身就是一種重複。
步驟 5:檢查並修復 mixed content
mixed content 是遷移後版面壞掉、排名波動的主因,這部分後面會專門講。先記住:這一步不能省,不能只靠 301。
步驟 6:Google Search Console 新增並驗證 https 版本
這是我最常看到被漏掉的一步。很多人以為設好導向就沒事,結果 GSC 還在驗證 http 版本,收錄資料停滯不前。正確做法是把 https 版本當成一個新資源新增、重新驗證、重送 sitemap、再用「網址檢查工具」逐一提交變更的網址。
步驟 7:清快取、觀察 1 到 4 週
清掉主機、CDN、外掛快取,然後給 Google 1 到 4 週的時間重新抓取。短期波動是正常的,不要一掉就亂改。
301 vs 302 vs canonical 怎麼選
| 方式 | 權重傳遞 | 使用時機 |
|---|---|---|
| 301 永久導向 | 有 | 網址永久變更(含 http→https) |
| 302 暫時導向 | 不傳遞 | 短期維修、A/B 測試 |
| canonical | 指示權威版本 | 內容相似但網址並存 |
把這 7 步做完,等於補上 被忽略的技術 SEO 盲點裡最常被忽略的那一塊。遷移從來不是按個按鈕,而是一連串要對齊的細節。
mixed content 混合內容是排名隱形殺手:怎麼抓、怎麼修
mixed content 是指 HTTPS 頁面裡還載入了 HTTP 的資源(圖片、CSS、JavaScript、iframe),這會讓瀏覽器封鎖這些資源或跳出安全警告,導致版面壞掉、Core Web Vitals 變差、間接拖累排名。它是 HTTPS 遷移後最常見、也最容易被忽略的問題。我第一次自己換的時候也修了兩天才修乾淨,所以這一段會講得很細。
主動型 vs 被動型 mixed content
- 主動型:script、iframe、CSS 這類會被瀏覽器直接擋下,頁面功能直接壞。
- 被動型:img、video、audio 通常只警告,但圖片可能破圖、影片無法播放。
症狀與抓法
症狀很直觀:圖片破圖、樣式跑掉、按鈕按了沒反應、瀏覽器網址列鎖頭變成驚嘆號。抓法用 Chrome DevTools 的 Console 就看得到紅字警告,或用 Lighthouse 跑一次報告。WordPress 站還可以裝 Site Kit 之外的工具,例如 Really Simple SSL 或 Better Search Replace 來批次掃。
修法的三種路線
- 資料庫搜尋替換:把資料庫裡的 http 一次換成 https,WordPress 用 Better Search Replace 最快。
- 自動升級標頭:加
Content-Security-Policy: upgrade-insecure-requests,讓瀏覽器自動把 http 升級成 https。 - 外掛一鍵處理:Really Simple SSL 能自動改寫資源網址,適合不想動資料庫的人。
為什麼這件事會拖累 SEO?被封鎖的資源讓頁面體驗變差,影響的是 頁面體驗訊號,而頁面體驗又是 Core Web Vitals 的一部分。等於一個 mixed content 沒修好,連帶把速度與體驗分數一起拉下來。所以別只盯著 網站速度,先確保資源都載得到。
為什麼 mixed content 特別難修乾淨
難修,是因為它的來源分散。圖片可能存在媒體庫、舊文章、主題檔案、外掛、自訂欄位,甚至第三方嵌入的 iframe。你改了資料庫,主題或外掛裡寫死的 http 卻沒動;你改了主題,舊文章裡手動插入的圖片網址還是 http。這也是為什麼我前面說自己第一次換花了兩天,因為每一層都要分開檢查。實務上我會建議分三步走:先用外掛或資料庫掃一輪大範圍替換,再用 Lighthouse 把剩下的逐一列出,最後針對主題與外掛裡的寫死網址手動處理。別期望一次到位,那是不切實際的期待。
還有一種隱形的 mixed content 來自結構化資料。如果你的 結構化資料裡的圖片或 URL 欄位還寫著 http,Google 在解析時一樣會視為不一致。這類問題 Lighthouse 不一定抓得到,得手動檢查 schema 裡的欄位。修完這層,才算真正把 mixed content 清乾淨。
換完 HTTPS 之後常見的 5 個錯誤:SSL 過期、HSTS 沒開、導向設錯
最常見的 5 個錯誤是:SSL 憑證忘了續期導致整站被瀏覽器封鎖、301 導向設成 302 沒傳遞權重、mixed content 沒修完、HSTS 沒開導致 HTTP 仍可被存取、以及 Google Search Console 沒驗證 https 版本。這 5 件事只要漏一件,輕則流量波動,重則排名與收錄掉一大截。這 5 個錯我自己踩過 3 個,分享給你少走冤枉路。
錯誤 1:SSL 憑證過期
Let’s Encrypt 的憑證效期只有 90 天,一定要設定自動續期。憑證一過期,整站會被瀏覽器跳出紅色全頁警告,不只流量崩,客人會以為你的站被駭了。如果你用的主機商沒有自動續期,記得手動排程或換一家。
錯誤 2:301 寫成 302
302 是暫時導向,不傳遞排名權重。很多人從網路上複製了一段導向程式碼就用,沒檢查是 301 還是 302,結果權重一直停在舊網址。這也是 Google SEO 入門指南裡會被反覆叮嚀的常見失誤。
錯誤 3:mixed content 沒修完
前面講過,這裡不重複。只提醒:不要以為「首頁看起來正常」就沒事,很多 mixed content 藏在深層頁面與舊文章裡。
錯誤 4:HSTS 沒開
HSTS(HTTP Strict Transport Security)是告訴瀏覽器「這個網站只能用 HTTPS 連」的標頭。沒開的話,使用者在網址列手動打 http:// 還是連得到 HTTP 版本,理論上可能被中間人降級攻擊。但這裡要小心:HSTS 一定要等全站 https 穩定、憑證自動續期確認沒問題之後再開,否則憑證一過期會把使用者鎖死在錯誤頁。
錯誤 5:GSC 沒驗證 https 版本
前面第 6 步提過。沒驗證的後果是索引停留在舊版,新網址收錄速度變慢,等於遷移做一半。
這些錯誤多數都跟 「網站越簡單 Google 越容易懂」的原則相通,屬於技術而非內容問題。所以遷移完不要只看文章排名,要把技術健檢也排進觀察清單。
2026 年 AI 搜尋下的 HTTPS:為什麼信任訊號比排名加分更重要
在 2026 年的 AI 搜尋語境下,HTTPS 的價值已經從「排名加分」轉向「信任與可引用性」。AI 搜尋引擎在決定要不要引用、要不要把你的內容放進答案時,會看網站的信任訊號,而 HTTPS 是最基礎的一關。沒有 HTTPS 的網站,連被 AI 引用的門檻都過不了。
講白了,2026 年還沒換 HTTPS 的網站,等於自己放棄被 AI 引用的資格。AI Overview、Perplexity、ChatGPT 這類工具的共同傾向是避開 HTTP 來源,因為它們不想把一個可能被中間人竄改的頁面當答案。這一點目前是多方觀察而非官方定論,但方向很一致。想深入了解 AI 搜尋的引用邏輯,可看 AI SEO 與生成式搜尋。
E-E-A-T 的 Trust 維度
Google 的 E-E-A-T 評估裡,Trust(信任)是最核心的一軸,而 HTTPS 是 Trust 最基礎的技術訊號。少了它,再好的內容專業度(Experience、Expertise、Authoritativeness)都會被打折。E-A-T 的細節與 EAT 三個重點 可以對照著看。
HTTPS 之後才能解鎖的效能紅利
- HTTP/2:多工、標頭壓縮,載入更快。
- HTTP/3:基於 QUIC,連線建立更短。
- Brotli 壓縮:比 gzip 更小,主流瀏覽器只在 HTTPS 上啟用。
這些紅利直接影響 行動版網站速度與整體體驗,而體驗好的頁面更容易被 AI 搜尋載入與引用。等於 HTTPS 是「信任」與「速度」兩條線的共同入口。
另一個被低估的角度是行動搜尋。手機使用者在公共網路環境比例更高,對不安全網站的敏感度也更強,手機搜尋結果裡一個「不安全」標示的點擊率折損會比桌機明顯。當流量還沒進到你的網站就先被警告嚇跑,再好的內容也沒有被看見的機會。所以 HTTPS 不只是排名訊號,更是點擊率的守門員。
順帶一提,HTTPS 對於跨網站引用也扮演信任角色。當其他網站或 AI 工具要連到你的內容時,從 HTTPS 連到 HTTP 的安全紅線會讓它們傾向跳過不安全的來源。等於你不換 HTTPS,等於同時在斷自己被引用、被推薦的後路。
HTTPS 遷移後該看哪些資料:1 到 28 天觀察清單與驗證方法
換完之後用 Google Search Console 驗證 https 版本的收錄狀態,盯 1 到 4 週的點擊與曝光變化,並用 Lighthouse 與 Chrome DevTools 確認沒有 mixed content 與憑證錯誤。如果 28 天後收錄數穩定、點擊沒有持續下滑,就代表這次遷移成功;若收錄數掉或出現大量重新導向錯誤,回頭檢查 301 與 canonical。
不要換完就放著不管,前 4 週是最容易出事的時候。下面這張檢查表是我自己用的節奏,給你參考。
1/7/14/28 天觀察檢查表
| 時間點 | 該看什麼 |
|---|---|
| 第 1 天 | 鎖頭是否出現、DevTools Console 有無 mixed content、301 是否正確 |
| 第 7 天 | GSC 收錄數變化、重新導向錯誤數量 |
| 第 14 天 | 核心關鍵字排名位移、曝光與點擊趨勢 |
| 第 28 天 | 收錄數是否穩定、http 與 https 是否仍同時被索引 |
三種技術驗證工具
- Lighthouse:跑最佳化分數,看 mixed content 與效能。
- SSL Labs:檢測憑證設定評等,A 以上才算過關。
- DevTools Console:即時看被封鎖的資源。
失敗訊號清單
- 收錄數持續下降超過 2 週。
- GSC 出現大量重新導向鏈或 404。
- http 與 https 同時被索引(canonical 沒生效)。
- 核心關鍵字排名掉超過 10 名且不回升。
這套觀察邏輯也適用其他類型的網址變更,例如換 網域、改 中文網址,或調整 網站架構。核心都是同一句:先修正最影響判斷的訊號,再觀察 7 到 28 天才做下一步。
什麼時候是最適合遷移的時間點
很多人問我該挑什麼時候換,我的答案一律是「流量與活動的相對低點」。如果你的站有大促購檔期、年度大型活動,避開那段時間再換,可以讓短期波動的影響降到最低。但反過來說,也不要無限期拖延。HTTPS 遲早要換,越晚換,舊連結、舊圖片、舊外掛累積的 http 資源越多,mixed content 要清的量就越大。換句話說,拖越久、代價越高。與其等一個「完美的時機」,不如挑一個相對不忙的週末把它做掉,然後用前 4 週把它盯穩。
還有一個實務提醒:遷移當天把主機、CDN、快取外掛的快取全部清一次,並且關掉會主動預載頁面的功能半天,避免舊的 http 版本被快取住、怎麼導向都導不過去。這個小動作能省掉很多「明明設定對了卻沒生效」的排查時間。
回到搜尋意圖:HTTPS 是入場券,不是萬靈丹
回到最開始的三個問題:要不要換?要,而且 2026 年沒得選。換了會怎樣?正確換,短期波動、長期不傷;錯誤換,比不換更傷。怎麼安全換?照本文 7 步驟,把 301、canonical、mixed content、GSC 一次做對。
真正決定排名的,永遠是 SEO 的本質:內容能不能滿足 搜尋意圖、技術體質健不健康、網站夠不夠被信任。HTTPS 只是這三件事的地基之一,少了它你會輸在起跑點,但它本身不會把你送上冠軍。
如果你剛好在規劃 2026 SEO 趨勢的優先順序,把 HTTPS 遷移排在前段班是合理的。它成本低、風險可控、又能同時打通信任與速度兩條線。如果你已經換了卻不確定換對沒,回頭照本文第 9 節的檢查表跑一次,通常一個下午就能驗證完。
想知道更多排名因素的全貌,可以把 三大排名因素、Google 公開的前三大 SEO 因素、如何改善 SEO 一起讀完,你會更清楚 HTTPS 在整張地圖裡的位置。要不要找工程師幫忙?如果你操作的是 WordPress 等主流 CMS,多數步驟靠主機後台與外掛就能完成,需不需要 SEO 專業協助取決於你的站規模與技術複雜度,不一定每次都要外包。必要時再參考 SEO 速成技巧 與 外部連結建立,把遷移之外的加分項也補上。
還在觀望?現在就打開你的網站看一下網址列有沒有鎖頭。沒有的話,把這篇的 7 步驟排進這週的待辦,越早換、越早把排名地基打穩,也越早在 實用內容導向的搜尋環境裡站穩腳步。如果換完 28 天收錄數穩定、點擊沒有持續下滑,就代表這次遷移成功了;萬一波動超出預期,回頭照本文第 7 節的 5 大錯誤逐一排查,通常一個下午就能找到漏掉的那一步。
HTTPS 對 SEO 常見問題
HTTP 改 HTTPS 之後排名會掉嗎?
只要照 7 步驟把 301 導向、canonical、sitemap、Google Search Console 重新驗證一次做對,排名與流量通常只有 1 到 2 週的正常波動。會掉排名的,幾乎都是漏了其中一步。把細節做齊,風險就能壓到最低。
免費的 Let’s Encrypt 跟付費 SSL 憑證對 SEO 有差嗎?
沒有差。Google 不區分憑證是免費還是付費,只要來自受信任的憑證機構且瀏覽器認得,排名效果完全相同。要不要付費取決於組織驗證、萬用憑證、保定理賠等商業需求,與 SEO 無關。小站用 Let’s Encrypt 免費版就夠了。
換 HTTPS 之後要做什麼驗證?
在 Google Search Console 新增並驗證 https 版本、重送 sitemap、用網址檢查工具提交變更網址,再用 Lighthouse 與 DevTools 確認沒有 mixed content 與憑證錯誤。觀察 1 到 4 週的收錄與點擊變化即可。
mixed content(混合內容)是什麼?
mixed content 指的是 HTTPS 頁面裡還載入了 HTTP 的圖片、CSS、JavaScript 或 iframe。瀏覽器會封鎖這類資源或跳出警告,導致版面壞掉、Core Web Vitals 變差、間接拖累排名。用 Chrome DevTools 的 Console 或 Lighthouse 就能抓到,再用資料庫搜尋替換或 upgrade-insecure-requests 標頭修復。
SSL 憑證過期會影響 SEO 嗎?
會,而且影響很大。憑證一過期,瀏覽器會跳出全頁紅色警告,使用者不敢造訪,流量直接崩,Google 也可能暫時把頁面從索引移除。Let’s Encrypt 的憑證只有 90 天效期,一定要設定自動續期。
HSTS 要不要開?什麼時候開?
建議開,但時機要對。HSTS 告訴瀏覽器這個網站只能用 HTTPS 連,能擋住中間人降級攻擊。一定要等全站 https 穩定、憑證自動續期確認沒問題之後再開,否則憑證過期時會把使用者鎖死在錯誤頁。
換 HTTPS 要找工程師嗎?
不一定。如果你用的是 WordPress 等主流 CMS,多數步驟靠主機後台一鍵簽發憑證、設定 301、裝外掛修 mixed content 就能完成。但站規模大、有自訂伺服器設定或大量子網域時,找工程師協助會更穩。
