最後更新時間: 2018/7/26

發表這篇文章的日期為是台灣時間的 2018 年 7 月 26 日下午，也就是此時此刻早就過了美國的 2018 年 7 月 24 日。

到底過了美國時間的 2018 年 7 月 24 日後，會發生什麼事呢？

這個日子對所有的網站站長絕對是重要的一天，因為從這天開始，所有的 HTTP 網站再不改善的話，都會發生一件事。

網際網路相關事項，Google 說了算

從 2018年 7 月 24 日後 (以美國時間為準)，所有還是僅能以 HTTP 通訊協定造訪的網站，最新版的 Chrome 瀏覽器^[1]，全站會不分頁面全部在網址列上標示為「不安全」。

在此之前，Google 早於 2014 年便公開宣佈鼓勵所有網站將不加密的 HTTP 通訊協定升級為 HTTPS 的加密通訊協定，以確保網站訪客與網站間的資料傳輸不受任意第三方窺探，甚至為了讓 HTTPS 加密通訊協定的必要條件 SSL 憑證更加普及化，以 Chrome 瀏覽器的名義成為免費 SSL 憑證提供服務 Let’s Encrypt 的 Platinum 級贊助商。

此外，推廣初期並未針對 HTTP 網站進行任何標示，而是鼓勵已有 SSL 憑證、能以 HTTPS 加密通訊協定存取的網站^[2]，為其加上綠色鎖頭及標示「安全」字樣，並調升網站排名。

之後才慢慢在推廣過程^[3]中將 HTTP 網站標示為不安全，且僅有在該類網站中需要輸入資料的頁面，才會標示為「不安全」。

而從 2018 年 7 月底的 Chrome 68 開始，只要網站還是 HTTP 通訊協定，無論該網站有無頁面需要輸入資料，Chrome 都會在網址列將全站標示為的「不安全」字樣。

針對站長而言，要移除 HTTP 網站在 Chrome 的網址列上的「不安全」字樣，只有為網站安裝 SSL 憑證一途。

Chrome 將網站標示為不安全，到底是哪不安全

Chrome 將 HTTP 網站在網址列標示「不安全」字樣，所謂的「不安全」僅代表使用者與該網站的連線並未加密；「連線未加密」聽起來或許並不可怕，但如果你在一個連線未加密的網站輸入的任何訊息、甚至任何點擊操作，都可由不特定定三方輕易窺探。

還不覺得可怕？如果你在一個沒有加密連線的 HTTP 網站購物，且在網站自建的信用卡欄位填入卡號，由於你輸入卡號的連線過程全程未加密，所以只要惡意第三方有心窺探，是可以等在這種網站外進行信用卡卡號蒐集。

話說回來，從 Google 明白宣示 SSL 憑證的重要性，到今天 HTTP 網站全站標示為紅色「不安全」字樣，也已經過了四年，四年都還處理不來相關技術問題的網站，其實網站訪客大可不用再去。

但是必須說明一件很重要的是，這個「不安全」字樣也真的僅代表該 HTTP 網站與網站使用者間的連線未加密，Chrome 網址列的「不安全」字樣不代表這個網站藏有惡意程式或病毒；如果網站已由其他網路系統偵測到惡意程式或病毒，Chrome 會以類似下圖的全紅畫面加以提示^[4]。

更重要的是對網站站長來說，為網站安裝 SSL 憑證僅能將使用者與網站間的連線予以加密，並沒有辦法為你所管理的網站防毒防駭；如果有人向網站站長推銷付費 SSL 憑證，還說防毒防駭是免費 SSL 憑證做不到的，請勇敢揭露出來是哪一家廠商的推銷人員這麼說。

Chrome 的網址列標示方式，還會有其他變更嗎

由於 Google 長期透過各種管道及方式推廣 HTTPS，網路龍頭號召力自是不凡，幾年下來 HTTPS 網站比例已超過五成，HTTP 網站逐漸減少；在這種狀況下，Google 準備在 2018 年 9 月的 Chrome 69 發表後，在網址列移除 HTTPS 網站的「安全」字樣，並將綠色鎖頭變更為灰色^[5]，因為 Google 認為 HTTPS 網站已是常態，無須特別標示「安全」。

相對的，在 2018 年 10 月的 Chrome 70 發表後，屆時如果 HTTP 網站還是沒有升級至 HTTPS，不僅全站會標示「不安全」字樣，且「不安全」字樣會以紅色標示，屆時將會更加明顯。

結語

一般的網站使用者看到 Chrome 標示為「不安全」的網站先不要擔心，只要不在該網站填寫任何機敏資料、也不要進行任何網路金流交易，基本上不會有太大的問題，且這個「不安全」字樣不代表該網站有毒。

但是如果身為一位站長，Google 推廣 HTTPS 四年多，在技術上不難達成的網站通訊協定升級，卻一直放著不管，以我個人當個網站使用者的角度來看，這種網站無論有沒有毒、有沒有內容，我是不會想再去看的。

而且即使透過搜尋，也會越來越不容易看到，因為同質網站都是 HTTPS 了，自然就沒有 HTTP 網站的排名空間了。