1. 全站强制HTTPSSSL不是首页装个https就完事，要设置301跳转，把所有http请求自动转到https，保证访问全站都是加密通道。

　　2. 混合内容警告要排除有的团队SSL装上了，网站里依然调用http的图片、样式、API，这样浏览器会报告“部分内容未加密”。务必一次性排查干净，所有资源都走https才是真正安全。

　　3. 证书过期、域名更换要定时检查SSL证书都有有效期，别让证书一过期，浏览器自动报错直接流失客户。定时设置提醒，每年/多年更新，不走漏一单。

　　4. 不要迷信免费证书虽然有Let’s Encrypt等免费方案，初期小站可用，但建议成熟企业还是选大牌CA和企业认证型SSL，毕竟稳定性、兼容性和信任度都更高，出了问题有官方支持。