网站设定https 确保传输安全

较早前，本专栏提过7月底推出的Google Chrome 68正式版，会把没有加密的一般「http」网站一律列为「不安全」。多年来，各浏览器开发商均大力推行「https」，加密传输数据，惟至今仍有许多网站继续使用未加密的「http」。

有外国研究网站列出各地区50大仍使用「http」的网站，被点名的香港网站中，不少浏览量很高，包括财经、购物、新闻、社交网站，部分甚至是政府网站。

在浏览这些「http」网页时，内容可能会在传输中被不法分子看到，导致个人敏感资讯洩露，造成损失。为了确保传输中的资讯安全，网站管理员应正确设定「https」协定。以下是三个常见的设定步骤：

1. 在伺服器上启动TLS，并把网站及网页上所有本地连结的资源都以「https」连接。
2. 把网站「http」连接埠转至「https」连接埠，并设定伺服器使用HSTS（HTTP Strict Transport Security）。HSTS的作用是指示用户端（如浏览器）必须使用「https」与伺服器建立连线，确保连线内容被加密，避免第三者从中攻击。
3. 把网站配置了「https」，并将网页内所有内容都 「https」化后，如何确保在「https」网页中再没有「http」的来源及连接呢？网站管理员可在Firefox和Chrome浏览器中按F12，把网站中出现红色警告的「http」连结逐一修復为「https」，然后再在多种浏览器中检查网页。

不过一般用户亦须注意，「https」只能保障你和网站之间安全地传输资料，但「https」网站亦有机会是恶意网站，例如据Phishlabs资料，有四分一网路钓鱼攻击是在「https」网站上进行。所以浏览「https」网站仍要保持警觉，切勿轻易输入个人敏感资料。