现在做网站的人都知道， HTTPS这玩意儿好像挺重要的，浏览器上要是没个小锁图标，用户一看就觉得这网站不靠谱，可能直接就关了。我上次搞了个小网站， 一开始没用HTTPS，浏览器直接弹红字“不平安”，访问量少了一大半，老板差点没把我开了。后来没办法，折腾了好久才弄好，所以今天跟大家聊聊，HTTPS老说“不平安”到底咋回事，咋解决，我始终觉得...。

HTTPS为啥老说“不平安”？先搞清楚是咋回事

很多人以为装了HTTPS证书就万事大吉了 其实不是的，HTTPS不平安的原因可多了我给大家掰扯掰扯， 恕我直言... 反正我搞懂的时候头都大了。

1、 证书问题，这玩意儿最容易出毛病

我们都... 证书这东西就像网站的身份证，没有身份证或者身份证过期了浏览器肯定不认啊。最常见的几种情况：

证书过期了还在用：我见过一个老板， 证书过期了三个月都不知道，用户打开浏览器全是警告，他还说“我的网站好好的，咋就不平安了？ 我狂喜。 ”后来一看证收日期，早就过期了赶紧续费，续完之后才正常。所以一定要记得看证书有效期，别等用户都跑光了才想起来。

自签名证书：有些小老板为了省钱， 自己搞个证书，浏览器没这玩意儿的记录，直接提示“风险”，用户一看就跑了。这种证书只能本地测试用，正式网站千万别用，正规浏览器都不认的，功力不足。。

证书链不完整：有时候证书是买了 但中间那个证书没装上，就像你办身份证，只有身份证没有户口本， 大体上... 浏览器也验证不过去。我上次就遇到这问题，搞了半天发现少了个中间证书，加上去就好了。

2、 服务器配置乱七八糟，浏览器看着就不舒服

证书没问题，服务器配置错了也一样白搭。比如：

HTTP和HTTPS混着用：有些页面是HTTPS， 有些图片是HTTP，浏览器一看，“哎呀，你这网站一半平安一半不平安， 在我看来... 我不放心”，然后就警告了。就像你吃饭，一半是干净的，一半是有毒的，你敢吃吗？

没强制跳转HTTPS：用户输入http://你的网站.com， 后来啊直接进HTTP页面没有自动跳转到HTTPS，那浏览器肯定说“不平安”。应该设置一下不管用户输HTTP还是HTTPS，都跳转到HTTPS，KTV你。。

客观地说... SSL/TLS协议版本太低：有些服务器还用SSLv3或者TLS1.0， 这些协议早就过时了有漏洞，浏览器直接判定为“不平安”。得用TLS1.2或者TLS1.3，最新的才平安。

3、 平安头没配好，相当于门没锁好

除了证书和服务器，还有一些平安配置也很重要，比如HSTS、CSP这些头，很多人根本不知道是啥，所以没配，浏览器就觉得你这网站不平安。HSTS就是告诉浏览器“以后只能用HTTPS访问我， 别用HTTP”，CSP就是限制一下哪些资源能加载，防止恶意脚本。这些头不配，就像你家门没锁，小偷随便进。

解决HTTPS不平安的5个步骤， 一步步来别着急

看好你哦！ 搞清楚原因了接下来就是解决问题。我按照自己折腾的经验，了5个步骤，虽然可能不是最专业的，但绝对管用，照着做肯定行。

第一步：先检查证书，这是基础中的基础

不管啥问题，先看证书。打开你的网站，点地址栏那个小锁图标，点“证书有效”或者类似的，看看证书过期了没，是不是正规机构签的。如果过期了 赶紧去续费，别等；如果是自签名， 总体来看... 赶紧删了去买个正规证书，便宜的一年也就几百块，比用户流失强多了。要是证书链不完整，就去证书服务商那里要中间证书，装上。反正证书这关过了就解决了一大半问题。

第二步：服务器配置改一改， 让浏览器满意

证书没问题了就改服务器配置。如果你用Nginx， 就找到nginx.conf文件，加一段代码，让HTTP自动跳转HTTPS，比如这样：`return 301 https://$host$request_uri;`，这样用户输HTTP就会自动跳到HTTPS。然后检查一下有没有HTTP资源， 比如图片、CSS、JS，把这些资源的链接都改成HTTPS的，比如原来是`http://img.com/a.jpg`，改成`https://img.com/a.jpg`，摆烂。。

还有， 把SSL/TLS协议版本调高，禁用SSLv3、TLS1.0、TLS1.1， 被割韭菜了。 只留TLS1.2和TLS1.3，加密套件也选平安点的，别用那些已经被破解的。

第三步：平安头配起来 相当于给网站穿盔甲

这个步骤可能有点难，但别怕，照着做就行。在服务器里加几个平安头：

HSTS：告诉浏览器只能用HTTPS， 加个`Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`， 有啥用呢？ 这个31536000是一年，includeSubDomains是子域名也生效，preload是让浏览器预加载。

要我说... CSP：防止XSS攻击， 加个`Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';`，这个`'self'`就是只加载自己网站的资源，`'unsafe-inline'`是允许内联脚本和样式，根据自己情况改。

我整个人都不好了。 X-Content-Type-Options: 防止MIME类型嗅探， 加个`X-Content-Type-Options: nosniff`，让浏览器按实际类型解析文件。

中肯。 X-Frame-Options: 防止点击劫持， 加个`X-Frame-Options: DENY`，不让你的网站被嵌套到别人的iframe里。

我怀疑... 这些头加起来 你的网站平安系数就高多了浏览器一看，“哟，这网站防护挺到位”，就不提示不平安了。

第四步：定期检查， 别等问题出现了再着急

HTTPS配置好了不是一劳永逸的，得定期检查。我推荐用SSLLabs这个工具， 免费又好用，输入你的域名，它会检测你的HTTPS配置有没有问题，比如协议版本、加密套件、证书链这些， 摸个底。 它会告诉你哪里需要改，你照着改就行。还有，证书快过期的时候，记得提前续费，别等过期了才想起来那时候用户已经跑了。我一般是设个闹钟，提前一个月提醒自己续费，省得麻烦。

第五步：私钥管好， 别泄露了

证书的私钥很重要，泄露了别人就能冒充你的网站，所以一定要管好。别把私钥随便放服务器上，权限设成600，只有自己能读。最好用硬件平安模块或者加密USBKey存私钥，虽然贵点，但平安。还有，定期更换密钥对，比如一年换一次换的时候记得重新签发证书。反正私钥这东西，就像你的银行卡密码，不能告诉别人，丢了就完了。

进阶措施：想让HTTPS更平安？再加这几招

我惊呆了。 基础问题解决了还想更平安？那就来点进阶的，虽然麻烦点，但值得。

1、 启用证书透明度日志

事实上... 这个我也不太懂，反正就是让证书颁发过程公开透明，防止有人伪造证书。你申请证书的时候，让服务商加个CT记录，浏览器就能验证这个证书是不是合法的，有没有被伪造。我试过大部分正规证书都支持，申请的时候勾一下就行。

2、 HTTP/2用起来速度快又平安

HTTP/2是HTTP的新版本，支持多路复用，加载速度快，而且必须用HTTPS才能用。所以如果你的服务器支持HTTP/2， 赶紧开起来配置也不难，Nginx和Apache都有教程，搜一下就行。用了HTTP/2，用户打开网站快多了还更平安，一举两得，让我们一起...。

3、 OCSP Stapling开起来提升验证速度

OCSP Stapling这个功能我也不知道是啥，反正师傅说是提升证书验证速度的，还能避免用户直接联系CA服务器，更平安。服务器配置里开一下就行，Nginx和Apache都支持，具体怎么搜教程，反正很简单，搞一下...。

浏览器提示“https不平安”？先别慌， 试试这些办法

有时候浏览器突然提示“https不平安”，别着急，一步步排查：

功力不足。 换个浏览器试试，可能是浏览器的问题，比如Chrome不行，试试Edge或者Firefox。

检查证书，看看是不是过期了或者被篡改了点地址栏的小锁图标看看详情。

清理浏览器缓存和数据，有时候缓存有问题，清理一下就好了。

安装防护软件，比如杀毒软件，可能是电脑中毒了导致浏览器误报，火候不够。。

检查网络，有时候代理或者VPN也会导致HTTPS出问题，关掉试试。

如果这些都不行， 那可能是服务器配置的问题，得看看服务器日志，或者找懂的人帮忙，别自己瞎搞，越搞越乱。

HTTPS不平安不可怕， 找对方法就能解决

说实话，HTTPS不平安这个问题，刚开始我也头大，搞了半天才搞懂。其实说白了就是证书、服务器配置、平安头这几块，每块都仔细检查一遍，肯定能解决。别怕麻烦，毕竟网站平安很重要，用户信任比啥都强。我按照上面说的方法， 把我那个小网站的HTTPS问题解决了现在浏览器有小锁图标，用户也愿意来了老板也夸我了。所以大家遇到HTTPS不平安的问题，别慌，照着我说的步骤来一步一步来肯定能搞定。反正我是搞定了你们也一定能行！

---