为什么网页会显示“不安全”？应该怎么解决？

　　当你兴致勃勃地打开自己精心搭建的网站，或者在浏览器里访问某个熟悉的页面时，地址栏左侧突然冒出一个醒目的红色三角，旁边写着冰冷的两个字——“不安全”。那一刻，你的第一反应是什么?是困惑，是担忧，还是觉得自己的网站被人黑了?

　　如果你是一个网站 owner，这种感觉就像你开了一家实体店，结果门口被贴了一张“卫生不合格”的告示，而你根本不知道哪里出了问题。如果你是一个普通访客，这种感觉就像有人在你耳边说了一句“别进去，里面有危险”。

　　今天，我们就来把这个“不安全”背后的故事彻底讲透。不是那种教科书式的照本宣科，而是从一个真正经历过这些坑的人的角度，聊聊它到底是什么、为什么会跳出来、以及最关键的——怎么解决。

　　一、 “不安全”到底在说什么?先听懂浏览器的“潜台词”

　　很多人第一次看到“不安全”三个字，第一反应是：是不是我的网站被挂马了?是不是有病毒?

　　其实，绝大多数情况下，你想多了。

　　这个“不安全”提示，是浏览器(Chrome、Edge、Safari等)在告诉你一件事：你当前访问的这个网页，没有启用加密传输。

　　在互联网的早期，所有网站都是“不安全”的，那时候大家也不觉得有什么问题。但随着网络安全问题的日益严重，各大浏览器厂商从2017年前后开始，逐步推行HTTPS(超文本传输安全协议)，并对没有加密的HTTP网站打上“不安全”的标签。

　　这个提示的本质，是一个“加密状态”的指示器，而不是“病毒警报”。

　　打个比方：你走在街上，看到一家店的门是敞开的，任何人都能直接走进去。浏览器告诉你“这家店门没锁”，但它并没有说“里面有贼”。门没锁，本身不一定出问题，但它确实增加了风险。

　　同样，HTTP网站的数据在传输过程中是明文的，就像你在闹市区用对讲机说话，谁都能听到。如果有人在你和网站之间(比如在同一个WiFi下)进行监听，他可以轻松窃取你的登录密码、银行卡信息、聊天记录。HTTPS则相当于给你的对讲机加了一层加密，只有你和网站能听懂。

　　所以，当浏览器说“不安全”，它的潜台词是：“这个连接没有加密，你在上面输入的任何敏感信息，都有可能被第三方截获。”

　　二、 这个“不安全”会带来什么后果?别小看它

　　有些人觉得，不就是地址栏多了一个红标吗?又不影响网站正常打开，有什么关系?如果你也这么想，那你就低估了这个红色标记的杀伤力。

　　1. 用户信任的瞬间崩塌

　　心理学上有一个概念叫“负面偏误”——人对负面信息的敏感度远高于正面信息。当用户在地址栏看到一个醒目的红色“不安全”时，哪怕你的网站做得再精美、内容再优质，他的潜意识里已经给你的网站贴上了“不靠谱”的标签。

　　如果是电商网站，用户在下单付款时看到这个提示，转化率可以直接腰斩。如果是企业官网，潜在客户会觉得这家公司连网站安全都搞不定，技术实力能有多强?

　　2. SEO排名下降

　　Google、百度等搜索引擎早已明确表示，HTTPS是排名因素之一。虽然它不像内容质量那样权重极高，但在两个网站内容相近的情况下，HTTPS的网站会获得优先展示。你的HTTP网站，等于在起跑线上就输了一截。

　　3. 浏览器功能受限

　　现代浏览器越来越“歧视”HTTP网站。比如，HTTP网站无法使用很多高级的浏览器API(如地理位置、通知推送、摄像头访问等)。更严重的是，如果你的网站需要嵌入第三方服务(如支付接口、社交媒体登录)，很多服务商已经要求必须通过HTTPS调用，否则直接拒绝。

　　4. 数据泄露的风险

　　如果你的网站有登录功能、留言板、或者任何表单提交，使用HTTP就意味着用户的密码、邮箱、甚至身份证号在网络上裸奔。一旦被截获，轻则用户账号被盗，重则引发法律纠纷。

　　所以，“不安全”不是一个小问题，它是一个会影响你业务生死、用户信任、以及合规风险的综合性问题。

　　三、 为什么我的网站会显示“不安全”?几种常见情况

　　“不安全”这个提示虽然简单，但它背后的原因却不只有一种。搞清楚自己是哪一种，才能对症下药。

　　情况一：完全没加密，用的是HTTP协议

　　这是最直白的情况。你的网站地址是以 http:// 开头，而不是 https://。浏览器一看，这网站根本没有SSL证书，直接打上“不安全”的标签。

　　这种情况最常见于：

• 刚刚搭建的个人博客，还没配置证书
• 一些老旧的内部系统，管理员懒得弄
• 廉价虚拟主机，默认不带SSL

　　情况二：用了HTTPS，但证书有问题

　　有时候你明明配置了SSL证书，地址栏也显示 https://，但浏览器依然提示“不安全”。这通常是证书本身出了问题：

• 证书过期：SSL证书有有效期，一般一年或几个月。过期后浏览器会认为这个证书不可信。
• 证书域名不匹配：证书是为 www.example.com 颁发的，但你用 example.com 访问，或者用了一个IP地址直接访问。
• 证书不受信任：你用了自签证书，或者证书来自一个不被浏览器信任的CA(证书颁发机构)。自签证书在本地测试没问题，但在公网上会被所有浏览器拦截。
• 证书链不完整：中间证书没有正确安装，浏览器无法验证证书的完整信任链。

　　情况三：混合内容

　　这是最隐蔽、也最容易让人抓狂的一种情况。

　　你的网站本身是HTTPS的，但页面里引用了HTTP的资源——比如一张图片、一个JS脚本、一个CSS文件。浏览器认为：你主页面是安全的，但你加载的这些资源是不安全的，这种“混合”状态同样会被标记为“不安全”。

　　混合内容分两种：

　　被动混合内容：如图片、音频、视频。这类资源被加载时，浏览器通常只会在控制台报错，地址栏可能只显示一个灰色的锁或感叹号。

　　主动混合内容：如JS脚本、CSS样式表、iframe嵌入。这类资源如果通过HTTP加载，浏览器会直接阻止加载，并且地址栏明确显示“不安全”，因为恶意脚本可能通过HTTP被篡改，进而攻击整个页面。

　　情况四：页面内嵌了不安全表单

　　如果你的HTTPS页面上有一个<form>标签，但 action 属性指向的是HTTP地址，浏览器也会认为这是一个安全风险——用户填写的信息最终会通过明文传输出去。

server {
    listen 80;
    server_name 你的网站.com;
    return 301 https：//$server_name$request_uri；
}

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https：//%{HTTP_HOST}/$1 [R=301，L]

Mixed Content： The page at 'https：//xxx' was loaded over HTTPS， but requested an insecure image 'http：//xxx.jpg'. This content should also be served over HTTPS.