你点开自己网站,浏览器地址栏突然弹出个红叉警告——“您的连接不是私密连接”。
下一秒,用户关掉页面,连犹豫都没有。这事儿真不稀罕,上周我帮一个做本地装修的客户查流量暴跌原因,就卡在这儿。
为什么你的网站会被浏览器标记为“不安全”?
因为没配好 SSL 证书。
它不是什么高深技术,就是让 http:// 变成 https:// 的那把钥匙。有了它,用户填的手机号、登录密码、甚至微信授权过程,才不会被中间人偷看。
没有它?相当于在菜市场大声报银行卡号。
我见过最典型的翻车现场:一家母婴用品店,证书过期两天没处理。客服当天接到七八个电话,问“你们网站是不是假的?”——不是用户多疑,是那个红叉太刺眼,信任崩塌只要一秒钟。
现在就去试:在你域名前面手动加上 https://,比如 https://yourdomain.com。
如果地址栏没出现小绿锁,或者写着“不安全”,那就别往下看了,先搞定这个。
免费SSL和付费SSL,到底该怎么选?
Let’s Encrypt 是免费的,靠谱,用的人多。但它有个硬伤:3个月就过期。
你得记得续,服务器得自动续成功,脚本不能抽风,cron 任务不能挂。漏一次,网站就裸奔。
付费证书(比如 Comodo、DigiCert)有效期长,1–2 年起步,出了问题能打电话找人。如果你网站要收钱、让用户注册、或者显示公司全称(比如 EV 证书会在地址栏直接写出“XX科技有限公司”),那别省这点钱。
但如果你只是个个人博客,发发游记、写写读书笔记,不存用户数据,也不接广告后台,那免费证书完全够用——前提是,你能稳稳当当每3个月续一次。
要是连 WordPress 后台密码都靠找回,建议直接上付费的,图个心安。
配置SSL证书时最容易踩的3个坑
第一坑:混合内容
HTTPS 页面里,还偷偷加载着 http:// 的图片、JS 或 CSS。浏览器一看:“你嘴上说安全,身体很诚实啊”,立马拉响警报。
解决方法很简单:全站搜 http://,替换成 https://;更稳妥的是,把协议前缀直接删掉,用 //cdn.example.com/style.css 这种写法。
第二坑:证书链不全
你只传了自己网站的证书文件,忘了中间证书(Intermediate Certificate)。老安卓机、旧版 Safari、甚至部分微信内置浏览器会直接报错:“无法验证此证书”。
上传证书时,确认你传的是三合一文件(或按顺序把 root + intermediate + domain.crt 按规范拼在一起)。
第三坑:301跳转写错了
想把 http:// 强制跳到 https://,结果配置成无限重定向,或者跳去了 404 页面。
检查方式很直接:在浏览器地址栏输 http://yourdomain.com,看它是否干净利落地跳进 https:// 开头的地址,且页面正常打开。
去年帮一个律所客户排查,手机打不开网站,PC端却好好的。最后发现中间证书上传时断网了,只传了一半。这种事真不玄学,就是手快心慌。
如何用两个命令验证你的SSL配置是否正确?
别信在线检测网站,自己敲两行命令,5秒见真章。
第一条:
openssl s_client -connect yourdomain.com:443
盯住输出里的 Certificate chain 部分。正常该有三层:你的域名证书 → 中间证书 → 根证书。少一层?赶紧补。
第二条:
curl -I http://yourdomain.com
注意看返回头里的 HTTP/1.1 301 Moved Permanently 和 Location: https://...。
如果返回的是 200 OK,说明 HTTP 没跳 HTTPS;如果 Location 指向错地址,说明跳转规则写歪了。
这两条命令,Linux/macOS 自带 Terminal 就能跑,Windows 用户用 PowerShell 或 Git Bash 也一样。
证书到期前多久应该续期?一个让你不慌的“30天法则”
邮箱里那封“您的SSL证书将在X天后过期”的提醒,大概率已经被你划进垃圾邮件堆了。
等你真点开看,网站可能已经挂了大半天。
我的做法是:日历里设两个闹钟。
第一个,在证书到期前 45 天:提醒自己该申请新证书了(尤其付费证书,要走财务流程)。
第二个,在到期前 30 天:必须完成安装、测试、全站复查。
为什么卡在30天?留出容错时间。万一新证书签发慢、CDN 缓存没刷干净、或者某条 JS 路径又悄悄变回 HTTP,你还有至少两周可以兜底。
拖到只剩一周?那基本等于把网站命运交给运气。
真有站长在除夕夜发现证书过期,客服全放假,硬扛七天。那几天咨询量掉了快一半——不是用户不找他,是根本不敢点进去。
今天就能执行的3个具体操作步骤
别收藏,现在就做。
第一步:打开 Chrome 或 Edge,访问你的网站,按 F12 打开开发者工具,切到 Security 标签页。
看到 “Connection is secure”?OK。
看到 “The connection to this site is not secure”?停,下一步。
第二步:登录你常用的托管平台——不用猜,就是你现在交钱的地方:阿里云「SSL证书」页面、腾讯云「HTTPS配置」、Cloudflare 的「SSL/TLS → Overview」,或者主机商后台的「SSL管理」。
找到「一键启用免费证书」或「申请 Let’s Encrypt」按钮,点它。一般2–5分钟生效。
第三步:生效后,回到浏览器,地址栏输入 http://你的域名,回车。
如果自动跳转到 https:// 且页面正常打开,搞定。
如果没跳,立刻进你网站后台(WordPress 就是「设置 → 常规」,Typecho 是「设置 → 基本」),把「强制 HTTPS」、「启用 SSL 重定向」这类开关打开,保存。
做完这三步,那把绿色小锁就会稳稳出现在地址栏。
用户不会夸你技术好,但他们会觉得:“嗯,这网站,可信。”