04 9 月

何謂SSL、TLS 以及HTTPS?為什麼網站都須要安裝SSL?

嗨,各位戰國策的讀者好,想必很多人想要製作網站可能會遇到個困惑,就是在購買網址的時候,會看到一個選項是加價購買「傳輸安全協定」或者是「加密協定」諸如此類的選項吧?其實這些都是在說同一件事情,也就是SSL加密,但在提及SSL之前必須要簡述一下HTTP是什麼了。

|何謂Http

Http的全名是 HyperText Transfer Protocol超文本傳輸協議,是網路應用上最廣泛的一種網路傳輸協議,也就是全球資訊網的資料通訊基礎,是接收HTML頁面的方法,通過HTTP的協定來統一資源識別元,更白話一點就是一種瀏覽器讀取”Web Server”的一項協議,但事實上這項協議有著一些缺陷,也就是在兩者傳遞的過程中,不會判斷來源是否真的是對方所發出,也就是沒辦法判斷傳遞的資料能否給對方接收到,因此需要將兩者加密,就是常見的http”s”,其s就是透過SSL/TSL去製作安全鎖,來增加保護。

▲最明顯分辨有無SSL的方法

|何謂SSL

SSL的全名是Secure Sockets Layer,是一種全球性的安全技術標準,可以再網站伺服器和網頁瀏覽器之間的加密連線,白話一點來講,這一項標準的技術,能夠防範於兩個系統之間發送的訊息,被惡意串改或者竊取的風險,這樣做是為了確保使用者與網站,之間在傳遞任何資料時,確保不會被駭客在雙方系統連線之間讀取任何個人資訊,其中包括信用卡的卡號或者其他財務資訊、姓名與地址等等可能危害到使用者與網站方的資料。

而要建立此安全連線,需要在網頁伺服器上安裝SSL憑證,此憑證除了能夠裝在HTTP伺服器上面,還可以將其安裝在FTP伺服器、電子信箱伺服器、VPN伺服器…等上面,以達到安全加密連線的目的。

雖然說SSL這項技術是非常好的,但存在著非常多問題,各個瀏覽器都是利用SSL憑證中的CN欄位或者x509V3的擴充欄位DNSNAME來判斷這個憑證是否屬於目前要存取的網站,但當多個網站共用同一個IP時,就會無法確定要存取的網站是哪一個,因此為了突破這問題,TLS認證就這樣誕生了。

|何謂TLS

TLS的全名是Transport Layer Security,也是一種全球性的安全技術標準,是用於取代SSL的加密協定,比SSL更能提供更高更安全的連線,解決了SSL當初無法判斷是哪個網站的問題,它的運作原理是,當客戶端與伺服器端進行TLS協議交涉的時候,客戶端會多送出一個目前想要存取的伺服器網域的資訊,伺服器收到這個訊息之後,可以選擇重新送出相對應的SSL憑證,順帶一提的是,從2016年SSL停止服務後,當訪客瀏覽HTTP網站時,使用的加密協定其實是TLS。

雖然技術上已經更換了,但出於習慣性,現今業界仍將加密協定所依賴的憑證稱呼為 SSL 憑證。因此,現在的SSL憑證就是TLS憑證,不需要特別去找尋或購買所謂的 TLS 憑證。

 

|為什麼需要安裝SSL

但前面提到這麼多SSL與TLS的差異,那為什麼網站需要安裝SSL呢?原因不只是能夠安全的保護好網站不被攻擊之外,更重要的是能夠提升網站整體的SEO排名,Google在2014年就有宣布https是有影響排名的因素之一,同時經過研究發現在各個頁面前幾名的網站,的確都是有安全協議的,而除此之外,擁有SSL也可以提升客戶對於網站的可信度,讓這些客戶對你的網站更加信賴,以達到有效又安全的合作。

|結語

對現在來說,網站有安裝SSL已經變成常態,市面上也有一些免費的SSL服務,不過這些免費的可能不太可靠或者容易取消服務,因此建議還是要找專門在處理這項服務的公司來處理,同時也要記住要做301轉止,不然可能會發生錯誤,而掉了排名呢!

▲網址前面顯示不安全

▲網址前面有鎖

若是不知道是否有安裝,就看看網頁上有沒有鎖頭是最快的方式囉!以上就是這次的介紹,我們下次見!

Share this