網站設定https 確保傳輸安全

較早前，本專欄提過7月底推出的Google Chrome 68正式版，會把沒有加密的一般「http」網站一律列為「不安全」。多年來，各瀏覽器開發商均大力推行「https」，加密傳輸數據，惟至今仍有許多網站繼續使用未加密的「http」。

有外國研究網站列出各地區50大仍使用「http」的網站，被點名的香港網站中，不少瀏覽量很高，包括財經、購物、新聞、社交網站，部分甚至是政府網站。

在瀏覽這些「http」網頁時，內容可能會在傳輸中被不法分子看到，導致個人敏感資訊洩露，造成損失。為了確保傳輸中的資訊安全，網站管理員應正確設定「https」協定。以下是三個常見的設定步驟：

1. 在伺服器上啟動TLS，並把網站及網頁上所有本地連結的資源都以「https」連接。
2. 把網站「http」連接埠轉至「https」連接埠，並設定伺服器使用HSTS（HTTP Strict Transport Security）。HSTS的作用是指示用戶端（如瀏覽器）必須使用「https」與伺服器建立連線，確保連線內容被加密，避免第三者從中攻擊。
3. 把網站配置了「https」，並將網頁內所有內容都 「https」化後，如何確保在「https」網頁中再沒有「http」的來源及連接呢？網站管理員可在Firefox和Chrome瀏覽器中按F12，把網站中出現紅色警告的「http」連結逐一修復為「https」，然後再在多種瀏覽器中檢查網頁。

不過一般用戶亦須注意，「https」只能保障你和網站之間安全地傳輸資料，但「https」網站亦有機會是惡意網站，例如據Phishlabs資料，有四分一網路釣魚攻擊是在「https」網站上進行。所以瀏覽「https」網站仍要保持警覺，切勿輕易輸入個人敏感資料。