HTTPS 不再是功能。它是基线。

五年前，把「带 SSL 的网站」当作卖点还说得通。绿色的小锁。一句「您的网站很安全」。如今这是专业网站的最低标准，没有它已经不是技术疏忽——而是疏于经营的信号。

没有 HTTPS 时浏览器会做什么

Chrome、Safari、Firefox、Edge：所有浏览器都会在 HTTP 页面的地址栏显示「不安全」。带敏感输入的表单会被拦截或弹出红色警告。在移动端，警告会在用户提交任何内容前占据整个屏幕。

从买家的视角看：访客到达，看到警告，离开。产品好不好都无所谓了。信任在三秒内崩塌。

HTTPS 在技术上已经必须的地方

Service Worker（PWA、离线优先）只能在 HTTPS 下运行。HTTP/2 和 HTTP/3 也是。地理位置、相机、麦克风、推送通知——都依赖安全上下文。现代 Web API 通常拒绝在非 HTTPS 环境中运行。

实际上：任何稍微现代一点的应用，光是启动都需要 HTTPS。

成本是多少

零。Let's Encrypt 已经免费颁发并自动续期证书近十年。Cloudflare 同样提供免费的灵活 SSL。2026 年任何正经的主机服务都能一键安装 SSL。没有成本借口——坦白说，没有任何借口。

现在该检查什么

• 主域名自动从 HTTP 重定向到 HTTPS
• 所有子域名（www、app、admin）也强制 HTTPS
• 证书在所有浏览器中有效，并能自动续期
• HSTS 已启用（Strict-Transport-Security 头）
• 没有 mixed content——HTTPS 页面内通过 HTTP 加载的资源

如果任意一项不通过，问题就不是装饰性的，而是运营性的。