所有網站都應該使用 HTTPS 保護,即使是未處理機密資料的網站也一樣。這包括避免使用複合型內容,因為初始要求是透過 HTTPS 傳送,部分資源仍會透過 HTTP 載入。HTTPS 可防止入侵者竄改或被動監聽應用程式與使用者之間的通訊,且 HTTP/2 和許多新網路平台 API 的必要條件。
如要進一步瞭解為何所有網站都應使用 HTTPS 保護,請參閱「HTTPS 的重要性」一文。
Lighthouse HTTPS 稽核失敗情形
Lighthouse 會標記不在 HTTPS 上的網頁:
如何將網站遷移至 HTTPS
考慮使用 CDN 代管網站。在預設情況下,大多數 CDN 都安全無虞。
如要瞭解如何在伺服器上啟用 HTTPS,請參閱 Google 的在伺服器上啟用 HTTPS 一文。如果您在執行自己的伺服器,需要用低成本且簡單的方式來產生憑證,不妨考慮使用 Let's Encrypt。
如果您的網頁已在 HTTPS 上執行,但又未通過這項稽核,可能是因為複合型內容發生問題。當網頁本身透過 HTTPS 載入時,網頁本身含有混合內容,但網頁要求未受保護的 (HTTP) 資源。請查看 Chrome 開發人員工具安全性面板上的下列文件,瞭解如何針對情境進行偵錯: 瞭解 Chrome 開發人員工具的安全性問題。