SSL 憑證(SSL Certificate)是一種數位安全憑證,用於加密網站與訪客之間的資料傳輸,防止密碼、信用卡號等敏感資訊被竊取。 你的網站現在是 HTTP 還是 HTTPS?如果網址列顯示「不安全」,這篇文章會幫你解決這個問題——從搞懂憑證類型、選對方案,到實際完成安裝和檢查。
SSL 憑證是什麼?30 秒看懂 SSL 與 HTTPS 的關係
當你用瀏覽器開啟一個網站時,網址列會出現兩種截然不同的狀態:一種是左邊有鎖頭圖示、網址以「https://」開頭;另一種則顯示「不安全」警告、網址以「http://」開頭。這兩者的差異,就在於網站是否安裝了 SSL 憑證。
SSL 的全名是 Secure Sockets Layer(安全通訊端層),是一種建立加密連線的安全技術標準。不過,嚴格來說,SSL 協議早在多年前就已被 TLS(Transport Layer Security,傳輸層安全協議)取代——目前主流瀏覽器使用的是 TLS 1.3 版本。但因為「SSL」這個名稱已經深入人心,業界仍然沿用 SSL 來泛指這類加密憑證技術。
安裝 SSL 憑證後,網站的通訊協議會從 HTTP 升級為 HTTPS(HyperText Transfer Protocol Secure)。簡單來說:
- HTTP:資料以明文傳輸,任何人都可能在傳輸過程中攔截並讀取內容
- HTTPS:資料經過加密後才傳輸,即使被攔截也無法解讀
關於術語,台灣慣用「SSL 憑證」,中國大陸則慣用「SSL 證書」——兩者指的是同一件事,英文都是 SSL Certificate。本文統一使用台灣慣用的「憑證」一詞。
如果你正在規劃網站設計,SSL 憑證是上線前必須處理的基礎設定之一。
SSL 憑證包含哪些資訊?
SSL 憑證本質上是一份由憑證授權機構(Certificate Authority, CA)簽發的數位文件,其中包含幾項關鍵資訊:
- 公鑰與私鑰:SSL 使用非對稱加密技術。公鑰包含在憑證中,由伺服器提供給瀏覽器用於加密資料;私鑰則安全存放在伺服器端,用於解密資料。一句話理解:公鑰像信箱的投遞口,任何人都能投信進去;私鑰像信箱的鑰匙,只有你能打開
- CA 簽名:由受信任的 CA(如 DigiCert、Sectigo、Let’s Encrypt)簽發,證明這張憑證是真實有效的
- 憑證主體:記錄憑證持有者的身份資訊,例如域名、組織名稱等
- 有效期限:自 2020 年 9 月起,主要 CA 和瀏覽器廠商將 SSL 憑證最大有效期限定為 398 天(約 13 個月)。而 Let’s Encrypt 的免費憑證有效期更短,僅 90 天,需要設定自動續約
為什麼網站需要 SSL 憑證?4 個關鍵理由
安裝 SSL 憑證並非法律強制要求,但幾乎所有正規網站都會配置。以下是 4 個你不該忽略的關鍵理由:
1. 加強網站安全
SSL 憑證透過加密技術保護網站與用戶之間的所有資料交換。無論是登入密碼、信用卡號碼,還是個人聯絡資訊,加密後的資料即使在傳輸過程中被攔截,攻擊者也無法讀取內容。對於經營購物網站的站長來說,這是保護顧客交易資料的基本門檻。
2. 增強用戶信任
當瀏覽器顯示鎖頭圖示和 HTTPS 前綴時,訪客會直覺地認為這是一個安全的網站。相反地,Google Chrome 從 2018 年起就會對所有 HTTP 網站顯示「不安全」警告——這個紅色警告會讓訪客立刻產生疑慮,尤其是需要填寫表單或進行付款的頁面。
3. 提升 SEO 排名
Google 早在 2014 年就正式宣布將 HTTPS 列為搜尋排名信號之一。雖然 HTTPS 本身的排名權重不算特別高,但在其他條件相近的情況下,HTTPS 網站會比 HTTP 網站獲得更好的排名。此外,Chrome 對 HTTP 網站的「不安全」警告會導致跳出率上升,間接影響 SEO 表現。
4. 符合法規要求
PCI DSS(支付卡產業資料安全標準)明確要求所有處理信用卡交易的網站必須使用 SSL 加密。在台灣,《個人資料保護法》也要求企業採取適當的安全措施保護個人資料——SSL 加密是最基本的技術措施之一。
憑證過期的代價不容小覷。 當 SSL 憑證過期時,瀏覽器會顯示整頁的紅色安全警告,訪客幾乎不可能繼續瀏覽。跳出率會顯著上升,而 Google 爬蟲也會因為無法正常存取而降低該網站的索引頻率,對 SEO 造成持續性傷害。
SSL 憑證有哪些類型?DV/OV/EV 完整比較
SSL 憑證依據驗證等級和保護範圍,可分為以下 5 種主要類型:
| 憑證類型 | 驗證內容 | 適用場景 | 發行時間 | NT$ 費用區間(年) |
|---|---|---|---|---|
| DV(域名驗證) | 僅驗證域名擁有權 | 個人部落格、作品集 | 幾分鐘~幾小時 | 免費~NT$500 |
| OV(組織驗證) | 驗證域名+組織身份 | 中小企業官網、電商 | 1~3 個工作天 | NT$3,000~8,000 |
| EV(擴展驗證) | 嚴格審核公司身份、法律地位、地址 | 金融機構、醫療、政府 | 1~4 週 | NT$15,000~30,000 |
| 通配符(Wildcard) | 保護一個域名及所有子域名 | 擁有多個子域名的企業 | 數小時~數天 | NT$5,000~15,000 |
| 多域名(SAN/UCC) | 一張憑證保護多個不同域名 | 擁有多品牌的企業集團 | 數天 | 依域名數量計費 |
價格僅供參考,以各 CA 官網為準
DV 憑證是最基礎的類型,CA 只需確認你擁有該域名的控制權,幾分鐘內就能簽發。Let’s Encrypt 提供的免費憑證就屬於 DV 等級。
OV 憑證除了驗證域名外,還會審核申請組織的真實身份(如公司登記資料),適合需要展示企業身份的商業網站。
EV 憑證提供最嚴格的驗證流程,CA 會審核公司的法律地位、實體地址和營運狀態。雖然現代瀏覽器已不再為 EV 憑證顯示綠色網址列,但 EV 憑證仍然是金融和醫療產業的合規要求。
免費 SSL vs. 付費 SSL:我的網站該選哪個?
選擇免費或付費 SSL 憑證,取決於你的網站類型和安全需求:
| 比較項目 | 免費 SSL(如 Let’s Encrypt) | 付費 SSL(如 Sectigo、DigiCert) |
|---|---|---|
| 加密強度 | 與付費版相同(256-bit) | 與免費版相同(256-bit) |
| 憑證類型 | 僅 DV | DV/OV/EV 皆可 |
| 有效期限 | 90 天(需自動續約) | 最長 398 天 |
| 客戶支援 | 社群論壇 | 專屬客服、中文支援 |
| 保障金 | 無 | 依方案提供 $10,000~$1,750,000 USD |
| 適合對象 | 個人部落格、作品集、小型網站 | 企業官網、電商、金融機構 |
具體判斷標準:
- ://websitebuilder.com.tw/%e7%b6%b2%e7%ab%99%e6%9e%b6%e8%a8%ad/%e6%9e%b6%e7%ab%99%e5%b9%b3%e5%8f%b0/”>架站平台和主機商都會自動配置
- 中小企業官網、電商網站 → 建議購買 OV 憑證(約 NT$3,000~5,000/年),展示企業身份並獲得客服支援
- 金融、醫療、政府機構 → 必須使用 EV 憑證,符合 PCI DSS 等合規要求
SSL 憑證怎麼申請?3 種方案比較
取得 SSL 憑證的方式主要有 3 種,從最簡單到最進階:
方案 A:透過主機商一鍵取得(最簡單,適合新手)
如果你使用主流虛擬主機,SSL 憑證通常已經包含在主機套餐中,不需要額外操作。這是最推薦新手使用的方式:
- Hostinger:所有主機方案都附贈免費 SSL 憑證,在控制面板中一鍵啟用即可。基本方案每月不到 NT$100,CP 值極高。想了解更多可參考 Hostinger 評價
- Bluehost:WordPress 官方推薦主機,所有方案含免費 SSL。選方案即可開始,含免費域名和 SSL
- Kinsta:所有方案都整合了 Cloudflare,自動提供免費 SSL 憑證,甚至支援通配符域名
透過主機商取得 SSL 的最大優勢是:你不需要理解任何技術細節,購買主機套餐後 SSL 就自動配置好了。
方案 B:使用 Let’s Encrypt 免費申請(適合有技術基礎)
Let’s Encrypt 是全球最大的免費 SSL 憑證提供者,由非營利組織 Internet Security Research Group(ISRG)營運。如果你的主機使用 cPanel 控制面板,安裝步驟非常簡單:
- 登入 cPanel,找到「安全性」區塊中的「SSL/TLS Status」
- 點擊「Run AutoSSL」,系統會自動為你的所有域名申請並安裝 Let’s Encrypt 憑證
- 等待幾分鐘,狀態顯示為綠色勾號即表示安裝成功
自動續約設定:Let’s Encrypt 憑證有效期僅 90 天,但大多數 cPanel 主機都已內建 AutoSSL 功能,會在到期前自動續約。如果你使用的是 VPS 或自管伺服器,則需要安裝 Certbot 工具並設定 cron job 來自動續約:
sudo certbot renew --dry-run
這條指令會測試自動續約是否正常運作,確認無誤後 Certbot 會在憑證到期前 30 天自動執行續約。
方案 C:向台灣本地 CA 購買付費憑證(適合企業)
如果你的企業需要 OV 或 EV 等級的憑證,或者偏好中文客服和台灣本地發票,可以考慮以下兩家台灣 CA:
TWCA(臺灣網路認證)
- 台灣本土最大的 CA,提供 DV、OV、EV 各等級憑證
- OV 憑證約 NT$4,500/年,EV 憑證約 NT$18,000/年
- 優勢:全中文介面、台灣客服、可開立台灣統一發票、符合台灣法規要求
中華電信 HiNet SSL
- 透過中華電信通用憑證管理中心申請
- SSL 憑證約 NT$3,800/年起
- 優勢:與中華電信主機服務整合方便、企業客戶可統一帳務
購買付費憑證的完整流程:
- 選擇憑證類型:根據需求選擇 DV、OV 或 EV 等級
- 生成 CSR(Certificate Signing Request,證書簽名請求):CSR 是一段由伺服器產生的加密文字,包含你的域名、組織名稱、所在地等資訊,CA 會根據 CSR 來簽發憑證。生成方式取決於你的伺服器環境:
- cPanel 主機:進入「SSL/TLS」→「生成 CSR」,填寫域名和組織資訊後點擊生成
- Linux 伺服器(Apache/Nginx):使用 OpenSSL 指令
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr,依提示填寫域名和組織資訊 - Windows Server(IIS):在 IIS 管理員中選擇「伺服器憑證」→「建立憑證要求」,依精靈填寫資訊
生成後會得到兩個檔案:CSR 檔(提交給 CA)和私鑰檔(妥善保存在伺服器端,絕對不要外洩) 3. 提交 CSR 和驗證文件:將 CSR 貼到 CA 的申請頁面,DV 憑證只需驗證域名擁有權(通常透過 DNS 記錄或電子郵件驗證);OV 和 EV 憑證還需提交公司登記證明等組織文件 4. CA 審核:DV 數分鐘、OV 數天、EV 數週 5. 下載並安裝憑證:CA 審核通過後會提供憑證檔案,通常包含網站憑證(your_domain.crt)、中繼憑證(intermediate.crt 或 ca-bundle.crt)和根憑證。務必同時安裝中繼憑證——這是連接你的網站憑證與 CA 根憑證的信任鏈,如果只安裝網站憑證而遺漏中繼憑證,部分瀏覽器和裝置會顯示「不受信任」的錯誤。在 cPanel 中,將網站憑證貼入「CRT」欄位、中繼憑證貼入「CA Bundle」欄位即可;在 Nginx 中,需要將網站憑證和中繼憑證合併為一個檔案 6. 配置伺服器強制 HTTPS:安裝完成後,設定 HTTP 到 HTTPS 的 301 重定向,確保所有流量都走加密連線
Cloudflare SSL 安裝教學
Cloudflare 是全球最大的 CDN 和網路安全服務商之一,能保護和加速任何網站的訪問速度,而無需添加硬件、安裝軟件或更改一行代碼。它提供多個層級的 SSL 服務,是許多站長配置 SSL 的首選方案。
Cloudflare SSL 服務類型
Cloudflare 提供三種不同層級的 SSL 服務,適合不同需求的用戶:
| SSL 類型 | 費用 | 特色 | 適用對象 |
|---|---|---|---|
| Universal SSL | 免費 | 自動部署、共享憑證、支援 SNI | 個人網站、部落格、小型企業 |
| 專用 SSL(Dedicated SSL) | 每月 $5 USD 起 | 專屬憑證(不與其他網站共享)、自訂主機名稱 | 需要品牌形象的中型企業 |
| 高級 SSL(Advanced Certificate Manager) | 每月 $10 USD 起 | 完整憑證管理、支援更多主機名稱、進階設定 | 有多域名或進階安全需求的企業 |
大多數網站使用免費的 Universal SSL 就已足夠。如果你不希望憑證上出現其他網站的域名(共享憑證的特性),或需要更細緻的憑證管理功能,再考慮升級付費方案。
以下是使用 Cloudflare 安裝 SSL 憑證的完整步驟:
步驟 1:註冊並添加網站到 Cloudflare
前往 Cloudflare 官網,建立免費帳戶。登入後點擊「添加站點」,輸入你的網站域名。Cloudflare 會自動掃描你現有的 DNS 記錄。
步驟 2:更新域名的 DNS 伺服器
Cloudflare 掃描完成後,會提供一組新的 DNS 伺服器地址(例如 anna.ns.cloudflare.com)。你需要登入你的域名註冊商帳戶,將 DNS 伺服器更新為 Cloudflare 提供的地址。DNS 變更通常需要數分鐘到 48 小時才能完全生效。
步驟 3:選擇 SSL 模式
在 Cloudflare 儀表板中,點擊「SSL/TLS」選項卡,你會看到 4 種 SSL 模式:
- 關閉(Off):不加密,不建議使用
- 靈活(Flexible):僅加密瀏覽器到 Cloudflare 的連線,Cloudflare 到你的伺服器之間不加密。適合伺服器端無法安裝 SSL 的情況
- 完全(Full):兩段連線都加密,但不驗證伺服器端憑證的有效性
- 完全(嚴格)(Full Strict):兩段連線都加密,且要求伺服器端的 SSL 憑證必須由受信任的 CA 簽發且未過期
建議選擇「完全(嚴格)」模式。 這是最安全的設定,能避免混合內容錯誤和中間人攻擊。一般 WordPress 網站搭配主機商提供的 Let’s Encrypt 憑證,就能使用此模式。
步驟 4:等待部署並測試
選擇 SSL 模式後,Cloudflare 會自動部署 Universal SSL 憑證,通常在幾分鐘到 24 小時內完成。部署完成後,你可以用 SSL Labs(ssllabs.com/ssltest)測試安裝結果——輸入你的域名,等待掃描完成,目標是取得 A 或 A+ 評分。
Cloudflare SSL 常見問題排查
安裝 SSL 後最常遇到的 3 個問題及解法:
1. 混合內容(Mixed Content)錯誤
症狀:網站顯示 HTTPS,但鎖頭圖示旁出現警告三角形。原因是頁面中仍有圖片、CSS 或 JavaScript 透過 HTTP 載入。解法:在 Cloudflare 的 SSL/TLS 設定中開啟「自動 HTTPS 重寫」功能,或在 WordPress 中安裝 Really Simple SSL 外掛。
2. 重定向迴圈(Redirect Loop)
症狀:瀏覽器顯示「此頁面重新導向次數過多」。最常見的原因是 Cloudflare SSL 模式設為「靈活」,但 WordPress 或伺服器端也設定了強制 HTTPS 重定向,導致無限迴圈。解法:將 Cloudflare SSL 模式改為「完全」或「完全(嚴格)」。
3. 憑證顯示「不受信任」
症狀:瀏覽器顯示「你的連線不是私人連線」。可能原因包括:DNS 尚未完全生效(等待 24-48 小時)、伺服器端憑證已過期、或中繼憑證未正確安裝。先用 SSL Labs 掃描確認具體問題,再對症處理。
如何檢查 SSL 憑證是否正常運作?
SSL 憑證安裝完成後,務必確認它正常運作。以下是 3 種檢查方法:
方法 1:瀏覽器鎖頭圖示
最簡單的方式——在瀏覽器中開啟你的網站,點擊網址列左邊的鎖頭圖示,選擇「憑證」或「連線安全」。你可以查看憑證的簽發機構、有效期限和保護的域名。如果看到鎖頭圖示且沒有警告,表示基本運作正常。
方法 2:SSL Labs 免費掃描
前往 ssllabs.com/ssltest,輸入你的域名,等待約 1-2 分鐘的完整掃描。SSL Labs 會給出 A+ 到 F 的評分,並詳細列出:
- 憑證鏈是否完整
- 支援的 TLS 版本(應支援 TLS 1.2 和 1.3)
- 加密套件的安全性
- 已知漏洞檢測(如 Heartbleed、POODLE)
目標是取得 A 或 A+ 評分。如果評分低於 B,通常表示伺服器端的 TLS 設定需要調整。
方法 3:Why No Padlock 工具
如果你的網站已安裝 SSL 但鎖頭圖示旁出現警告,可以使用 whynopadlock.com 來檢查混合內容問題。這個工具會掃描頁面中所有透過 HTTP 載入的資源,並列出需要修正的 URL。
建議在憑證到期前 30 天設定提醒通知,確保有足夠時間處理續約事宜。
SSL 憑證費用整理|台灣各方案價格比較
「SSL 憑證要花多少錢?」是最常見的問題之一。以下整理了台灣市場常見的 SSL 方案費用:
| 方案 | 類型 | 年費(NT$) | 特色 |
|---|---|---|---|
| Let’s Encrypt | DV | 免費 | 全球最大免費 CA,90 天有效期,需自動續約 |
| Cloudflare Universal SSL | DV | 免費 | 搭配 CDN 使用,自動部署和續約 |
| Hostinger Premium SSL | DV | 約 NT$300 | 主機方案內含,一鍵啟用 |
| TWCA OV 憑證 | OV | 約 NT$4,500 | 台灣本地 CA,中文客服,可開統一發票 |
| 中華電信 HiNet SSL | OV | 約 NT$3,800 | 與中華電信主機整合,企業統一帳務 |
| DigiCert EV 憑證 | EV | 約 NT$25,000 | 國際頂級 CA,最高保障金,金融業首選 |
價格僅供參考,以各 CA 官網為準
什麼情況下免費 SSL 不夠用?
免費 SSL(Let’s Encrypt、Cloudflare Universal)在加密強度上與付費版完全相同,對大多數網站來說已經足夠。但以下情境建議使用付費憑證:
- 電商網站處理信用卡交易:OV 或 EV 憑證附帶保障金(warranty),萬一因憑證問題導致資料外洩,CA 會提供賠償
- 金融或醫療機構:法規要求使用 EV 等級憑證,且需要展示組織驗證資訊
- 需要中文客服支援:免費 CA 通常只提供英文社群論壇,台灣本地 CA 提供中文電話客服
- 企業需要統一發票:Let’s Encrypt 無法開立發票,台灣 CA 可以
結論
SSL 憑證是每個網站上線前必須處理的基礎安全設定。以下是本文的重點摘要:
- SSL 憑證加密網站與訪客之間的資料傳輸,防止密碼、信用卡號等敏感資訊被竊取。現行協議為 TLS 1.3,但業界仍沿用「SSL」名稱
- DV 憑證適合個人網站(免費即可)、OV 適合企業官網(約 NT$3,000~8,000/年)、EV 適合金融醫療機構(約 NT$15,000~30,000/年)
- 最簡單的取得方式是透過主機商——Hostinger、Bluehost、Kinsta 等主機方案都附贈免費 SSL,一鍵啟用即可
- 安裝後務必用 SSL Labs 檢查,目標取得 A 或 A+ 評分,並設定到期前 30 天的提醒通知
- 憑證過期會導致瀏覽器紅色警告,跳出率飆升且 SEO 受損,務必確認自動續約正常運作
下一步行動: 立即前往 SSL Labs 輸入你的網站域名,檢查目前的 SSL 評分。如果尚未安裝 SSL 憑證,從本文的方案 A(主機商一鍵取得)開始是最快的方式。
SSL 憑證常見問題(FAQ)
SSL 憑證是什麼?
SSL 憑證(SSL Certificate)是由憑證授權機構(CA)簽發的數位文件,用於加密網站與訪客之間的資料傳輸。安裝後網站會從 HTTP 升級為 HTTPS,瀏覽器會顯示鎖頭圖示。台灣慣用「憑證」,中國大陸慣用「證書」,兩者指同一件事。
SSL 憑證費用多少?
免費方案(Let’s Encrypt、Cloudflare Universal SSL)適合個人網站;OV 憑證約 NT$3,000~8,000/年,適合企業官網;EV 憑證約 NT$15,000~30,000/年,適合金融醫療機構。台灣本地 CA 如 TWCA 的 OV 憑證約 NT$4,500/年。
如何安裝 SSL 憑證?
完整流程為:(1) 選擇憑證類型(DV/OV/EV);(2) 生成 CSR(證書簽名請求),這是一段包含你的域名和組織資訊的加密文字,透過 cPanel、OpenSSL 或 IIS 產生;(3) 將 CSR 提交給 CA 並完成驗證;(4) 下載憑證檔案後安裝到伺服器,務必同時安裝中繼憑證以確保信任鏈完整;(5) 配置 HTTP 到 HTTPS 的 301 重定向。如果使用主機商(如 Hostinger、Bluehost),以上步驟都已自動完成。
SSL 和 TLS 有什麼差異?
TLS(Transport Layer Security)是 SSL 的後續版本,提供更強的安全性。目前主流瀏覽器使用的是 TLS 1.3 協議,SSL 協議早已被淘汰。但因為「SSL」名稱已深入人心,業界仍沿用 SSL 來泛指這類加密憑證技術。
SSL 憑證需要多久更新一次?
SSL 憑證的最大有效期為 398 天(約 13 個月)。Let’s Encrypt 免費憑證有效期僅 90 天,但可透過 Certbot 或主機商的 AutoSSL 功能自動續約。建議在到期前 30 天設定提醒。
如何知道我的 SSL 憑證快到期了?
三種方式:(1) 點擊瀏覽器鎖頭圖示查看憑證有效期限;(2) 使用 SSL Labs 掃描工具檢查到期日;(3) 設定 Google Calendar 或 Uptime Robot 等工具的到期提醒。大多數 CA 也會在到期前 30 天發送電子郵件通知。
SSL 憑證過期了怎麼辦?
憑證過期後瀏覽器會顯示整頁紅色安全警告,訪客無法正常瀏覽。應立即向 CA 或主機商重新申請憑證並安裝。如果使用 Let’s Encrypt,執行 sudo certbot renew 即可手動續約。安裝完成後用 SSL Labs 確認新憑證已生效。
不會寫程式可以安裝 SSL 憑證嗎?
完全可以。最簡單的方式是選擇附贈免費 SSL 的主機商(如 Hostinger、Bluehost),購買主機方案後 SSL 就自動配置好了,不需要任何技術操作。或者使用 Cloudflare 的免費 Universal SSL,按照介面指引操作即可。
是否所有網站都需要 SSL 憑證?
雖然法律沒有強制要求,但強烈建議所有網站都安裝 SSL。Google Chrome 會對所有 HTTP 網站顯示「不安全」警告,這會嚴重影響訪客信任度和跳出率。此外,Google 已將 HTTPS 列為搜尋排名信號,未加密的網站在 SEO 上處於劣勢。
