如果你访问一个网站时,浏览器地址栏显示安全连接标识(不同浏览器可能是锁形图标、调节图标或其他提示),说明这个网站启用了 HTTPS。这个安全连接背后的技术基础,就是 SSL/TLS 证书。
很多新手对 SSL 的印象是「要花钱买」「技术很复杂」「没流量的小站可以不用」。实际建站时,这三个判断都需要重新看待。
一、HTTP 和 HTTPS 有什么区别?
HTTP(超文本传输协议)是互联网上数据传输的基础协议。但它有一个根本问题:明文传输。
你在 HTTP 网站上填写的任何信息——登录密码、手机号、搜索内容——都是以明文形式在网络中传输的。同一 Wi-Fi 下的其他人用抓包工具可以轻松截获。
HTTPS 在 HTTP 的基础上增加了一层 TLS 加密层(SSL 是 TLS 的前身,习惯上仍用 SSL 指代),实现三个核心功能:
- 加密:传输的数据被加密,即便被截获也无法解读。
- 身份认证:确认网站是你访问的那个网站,而不是被劫持或伪造的假站。
- 数据完整性:传输过程中数据没有被篡改。
用一个不严谨但好理解的类比:HTTP 是寄明信片——沿途任何人都能看到内容;HTTPS 是寄密封快递——只有收件人能打开。
二、SSL 证书证明了什么,不证明什么
SSL 证书由 CA(证书颁发机构,Certificate Authority) 签发。CA 的角色类似于一个受信任的公证人,它向浏览器保证:「这个证书确实属于这个域名的持有者。」
SSL 证书证明的是:
- 你访问的域名确实被该证书持有人控制。
- 浏览器和服务器之间的传输是加密的。
SSL 证书不证明的是:
- 网站内容是靠谱的、合法的。
- 网站背后是一家好公司。
- 网站不会传播恶意软件。
换句话说:有安全连接标识 ≠ 网站整体可信。 钓鱼网站同样可以申请 SSL 证书并让浏览器显示安全连接。SSL 解决的是传输层面的安全,不解决内容层面的可信。
三、DV、OV、EV 三种证书类型怎么理解?
SSL 证书按验证级别分为三类:
| 类型 | 验证内容 | 颁发速度 | 浏览器表现 | 适合场景 |
|---|---|---|---|---|
| DV(域名验证) | 验证域名控制权 | 秒-分钟级 | 显示安全连接标识 | 个人博客、小型网站 |
| OV(组织验证) | 验证域名 + 组织身份 | 数小时-数天 | 组织信息通常可在证书详情中查看 | 企业官网 |
| EV(扩展验证) | 更严格的组织验证 | 数天 | 组织信息通常可在证书详情中查看 | 金融、电商等高信任场景 |
对绝大多数建站者来说,DV 证书完全够用。
OV 和 EV 证书的意义在于补充组织身份验证,让访客或合作方可以在证书详情中确认网站背后的主体。对于金融机构、大型电商等高信任场景,OV/EV 可能仍有价值。但对于个人博客和多数企业展示站,DV 证书提供的加密强度和浏览器信任度已经足够。
四、免费证书和付费证书怎么选?
这是最常见也最需要讲清楚的问题。
免费证书
Let’s Encrypt 是目前全球最主流的免费 SSL 证书提供商,由非营利组织 ISRG 运营。它的特点:
- 完全免费,支持自动续期(通过 certbot、acme.sh 等工具)。
- DV 级别,支持泛域名(
*.yourdomain.com)。 - 有效期 90 天,但配合自动续期工具可无缝续期,实际上无需人工干预。
- 受所有主流浏览器和操作系统信任。
阿里云、腾讯云等国内云厂商也提供免费的单域名 DV 或测试证书,但免费额度、自动续期能力和有效期会随厂商规则变化;当前常见免费证书有效期多为 90 天,申请前应以控制台规则为准。
付费证书
付费证书的价值主要在以下几点:
- OV/EV 验证级别:免费证书只有 DV 级别,OV/EV 是付费专属。
- 技术支持:出问题时可以找人工支持。
- 保险保障:部分商用证书附带赔付保障(通常几万到百万级)。
- 证书管理服务:受行业规则影响,公有 TLS 证书最长有效期正在缩短。付费证书的核心价值不再只是有效期更长,而是组织验证、人工支持、托管续期和赔付保障等服务。
选择建议
| 你的需求 | 推荐方案 |
|---|---|
| 个人博客、个人作品站 | Let’s Encrypt 免费 DV 证书 |
| 小型企业官网 | Let’s Encrypt 或云厂商免费 DV 证书 |
| 需要展示公司名(OV) | 购买 OV 证书(约 ¥1000-3000/年) |
| 金融机构、大型电商 | 购买 EV 证书(约 ¥3000-10000/年) |
一句话:如果你的网站不涉及在线交易和敏感用户数据,免费 DV 证书完全够用,不需要为 SSL 证书单独花钱。
五、SSL 与备案、域名、CDN 的关系
建站中,SSL 不是一个独立存在的环节,它和其他基础设施有交织。
SSL 和备案
没有直接关系。备案解决的是国内服务器的合规性问题,SSL 解决的是传输加密问题。但在实际操作中:
- 备案不会直接决定证书能否签发;证书签发通常看你是否能完成域名控制权验证。
- 如果使用中国大陆服务器或国内 CDN,服务商可能要求域名完成备案后才能正常接入或开放访问。
- 建议在备案通过、域名解析生效后,立即配置 SSL 证书,减少上线时的排查成本。
SSL 和域名
SSL 证书是绑定域名的。一张证书只能为特定的域名(如 www.example.com)或泛域名(如 *.example.com)提供加密。如果你有多个完全不相关的域名,需要分别申请证书。
SSL 和 CDN
这可能是最容易出错的地方。当你接入 CDN 时,SSL 的「终止点」从你的服务器变成了 CDN 节点:
- 用户 ↔ CDN 节点:使用 CDN 服务商提供的 SSL 证书(大多数 CDN 免费提供)。
- CDN 节点 ↔ 源服务器:建议继续使用源站有效证书,也可以使用 CDN 服务商提供的源站证书(如 Cloudflare Origin CA),并开启 HTTPS 回源或严格模式。
这意味着,接入 CDN 后,是否正确配置了「用户到 CDN」和「CDN 到源站」两段加密,决定了 HTTPS 是否真正生效。常见错误是 CDN 配置了 HTTPS,但关闭了回源 HTTPS,导致半程加密缺失。
六、证书过期和混合内容:两个常见问题
证书过期
Let’s Encrypt 证书只有 90 天有效期,如果不配置自动续期,证书到期后:
- 浏览器会显示「您的连接不是私密连接」的红色警告。
- 用户无法正常访问网站。
- 搜索引擎抓取和用户访问都可能受到影响。
解决方案:使用 certbot 或 acme.sh 的自动续期功能,配合 crontab 定时任务,到期前自动续签。对于使用云厂商免费证书的用户,确保开启自动续期开关。
混合内容(Mixed Content)
HTTPS 页面中如果引用了 HTTP 的资源(如图片、CSS、JS),浏览器会阻止加载或显示警告。常见场景:文章中的图片链接是 http:// 开头而不是 https://。
排查方法:
- 浏览器 F12 → Console 面板,查看 Mixed Content 警告。
- 逐一修改资源链接为
https://,或使用站内相对路径。不要把协议相对 URL(如//example.com/image.png)作为首选方案。
Halo 建站用户注意:本地附件和站内相对路径通常不会主动写死 http://,但如果站点外部访问地址、对象存储/CDN 域名、主题或插件里仍配置了 HTTP 链接,仍可能出现混合内容。启用 HTTPS 后,应检查 Halo 外部访问地址以及附件/存储策略中的访问域名是否使用 https://。
七、Halo 站点启用 HTTPS 的常见路径
路径 1:Nginx 反向代理 + Let’s Encrypt
这是最常见的方案:在服务器上安装 Nginx 做反向代理,使用 certbot 自动获取和续期 Let’s Encrypt 证书。Halo 本身运行在 localhost:8090,Nginx 在 443 端口接收 HTTPS 请求并转发给 Halo。
路径 2:CDN 边缘证书
如果使用 Cloudflare 或国内 CDN(阿里云 ESA、腾讯云 EdgeOne、七牛 DCDN、又拍云),可以在 CDN 控制台开启 HTTPS,由 CDN 节点提供边缘 SSL 证书。更稳妥的做法是同时开启 CDN 到源站的 HTTPS 回源,避免回源链路明文传输;只有在明确接受风险时,才考虑让源站保持 HTTP。
路径 3:宝塔面板一键部署
如果你使用宝塔面板管理服务器,面板内置了 Let’s Encrypt 证书的申请、部署和自动续期功能,无需手动操作命令行。
相关教程:Halo 网站加载慢?8 种原因排查与优化方法 · 阿里云 ESA 接入 Halo 配置指南 · 腾讯云 EdgeOne 接入 Halo 配置指南
HTTPS 不是「有更好」,而是现代网站的基础配置。好在对于个人网站和小型企业来说,这件事通常不用额外花钱——Let’s Encrypt 的免费 DV 证书配合自动续期工具,就能满足大多数场景。唯一需要留意的是,如果你接入了 CDN,要确认两段加密(用户到 CDN、CDN 到源站)都开启,否则只是让浏览器前半段显示安全连接,源站回源链路仍可能存在风险。
HTTPS 配好之后,如果你的读者不都在同一个城市,CDN 可能会帮上忙。但别急着上,先看看是否需要。