網路是一個十分開放的環境,那大家有想過,該如何確保在網路傳送的資料是安全的嗎?
想像你正在網上購物,準備輸入信用卡資料,你一定希望這些資訊只被商店收到,不會被黑客或其他人截獲。而這就是 SSL 存在的原因。
我們在瀏覽器去做任何的資料交互傳遞,就是透過 SSL / TLS 的加密手段去保護這些資訊的安全。
小筆記:真實的信用卡資料通常會經過其他金流方式進行額外加密,店家並不會直接接收到完整的信用卡資訊,上述的例子只是為了簡單說明 SSL 的作用,而非真實的金流操作細節(這部分比較長,可能需要另外寫一篇文章來解釋金流了!)
本篇文章將會告訴你:
- SSL 是什麼?
- TLS 是什麼?
- SSL 加密的過程
- 付費、免費 SSL 的差異
趕快往下看看吧!
SSL 是什麼?
SSL ( Secure Sockets Layer 安全通訊協定 ) 由 Netscape 在 1995 年開發,目的在於保護網際網路連線安全,保護網站與使用者之間通訊的安全技術。
透過 SSL 在資訊傳輸過程中進行加密,可以保護使用者和網站之間傳輸的資訊不被他人惡意竊取或破解。
當你訪問一個使用 SSL 的網站(網址開頭是 HTTPS),SSL 就會啟動加密,類似於給資訊上了一把鎖。
這樣不管是輸入帳號密碼,或者是其他私密的資料,都會被「加密」後傳送到網站,任何人試圖在此過程中攔截資料,都只會讀取到亂碼。
簡單來說,SSL 就像是使用者和網站伺服器傳輸資料之間的「祕密通道」,可以保護資料的安全。
SSL 憑證也同時是網站的「身分證」,含有網站的擁有者資訊、憑證頒發機構(例如全球信任的憑證授權機構)以及該憑證的有效期限……等資料,讓瀏覽器可以讀取資料,確保網站是正式且安全的。
不過 SSL 原先的加密方式會存在些許漏洞,因此在原先技術的基礎上,加強了傳輸資料的保密技術,這就是現代常說的 TLS 技術。
TLS 是什麼?
TLS ( Transport Layer Security 傳輸層安全性 ) 又是什麼?
可以簡單理解為 TLS 是 SSL 的進化版,因為 SSL 安全性憑證存在某些安全性漏洞,所以已經被棄用,現在都是以 TLS 為主。
但因為 SSL 的名稱較廣為人知,所以針對安全性憑證還是習慣以 SSL 稱呼。
SSL 是怎麼運作的?
SSL 憑證是透過一種叫「SSL 握手(SSL Handshake)」的動作來進行網站 / 伺服器之間的加密連線的,作用在於建立資料傳輸的「秘密安全通道」。
以下是「SSL 握手」的三個具體步驟:
第 1 步:身分驗證
使用者進入網站,伺服器會傳送網站的 SSL 憑證到瀏覽器,讓瀏覽器辨識 SSL 憑證的資訊,同時網站也會讀取我們傳遞的使用者資訊,確認彼此身分,保障連線是安全的,無人冒充對方。
第 2 步:加密傳輸(交換金鑰)
確認完身分後,伺服器會將「公開金鑰」傳遞給使用者的瀏覽器,然後瀏覽器利用這個金鑰生成一個專屬於此次連線時使用「會話密鑰」回傳給伺服器。
「會話密鑰」是一次性的,每次連線都會生成不同的「會話密鑰」。
第 3 步:資料解密
當伺服器收到瀏覽器傳來的「會話密鑰」時,會用自己的「私密金鑰」來解密,這樣整個連線過程就會處於安全狀態囉!
伺服器和瀏覽器的之間的金鑰交換是怎麼運作的?
伺服器和瀏覽器之間的加密過程,就像交換密碼來開啟一條專屬的「秘密通道」。
首先,伺服器擁有一組固定的「公開金鑰」和「私密金鑰」,公開金鑰就像一道公開的鎖,可以被所有人看到,而私密金鑰就像唯一的鑰匙,只掌握在伺服器手上。
當使用者進入網站時,瀏覽器利用伺服器的公開金鑰上鎖資料,加密一個臨時的「會話密鑰」,就像利用公開的鎖,改造成另一個同樣的鑰匙能解開的鎖。然後把這個改造後的鎖回傳給伺服器。伺服器收到後,利用自己的私密金鑰解鎖,成功獲得這個會話密鑰。
有了這個改造後的會話密鑰鎖頭,伺服器和瀏覽器之間就可以放心地用它加密所有接下來傳輸的資料。
再舉另一個例子,SSL 加密的過程就像小孩在遊戲中約定「綠色」代表「安全」,「紅色」代表「危險」,只有約定的人知道顏色背後代表的意思。這樣無論是誰偷聽到遊戲過程,都無法解讀這些顏色真正的意思。
為什麼 SSL 和 TLS 很重要?
1. 資訊加密與安全性
SSL/TLS 安全憑證是在加密並保護使用者於瀏覽器和伺服器之間傳輸資料時,有效防止駭客竊取或篡改機密資訊,包括個資及重要資訊。
當網站有使用 SSL/TLS 憑證時,網址連結(URL)就會從 Http 改成 Https,就是代表這個網站在傳輸資訊時有經過加密,可以不用擔心資訊被破解,並且可以通過點擊網址列旁邊標誌查看安全性憑證的詳細資訊。
2. 提升網站信任度
有 SSL/TLS 安全性憑證保護的網站,通常會被使用者信賴。
像有時候點入沒有安全性憑證的網站,會出現"您的連線非私人連線"的提示性頁面,使用者看到這個頁面,絕大部分都會直接關閉網站,不敢再繼續點擊進入。
特別對於購物網站、訂房網站、或需要輸入個資,有會員系統的網站,SSL憑證就顯得更加重要,因為使用者不會在一個危險的網站環境下送出自己的機密資訊。另外,Google Chorme 瀏覽器也會在網址列旁的圖示顯示網站是否安全,可以參考GOOGLE " 檢查網站連線是否安全 " 確認各個圖示代表含意。
3. 提升 SEO 效益
擁有 SSL/TLS 安全憑證對 SEO 有加分的效果。
Google 在 2014 年 8 月就宣布將 HTTPS 納入排名訊號,後續在 2018 年 7 月也宣布將HTTP網頁顯示為不安全網站,讓使用者評估是否進入沒有 SSL 憑證的網站。
這說明有 SSL/TLS 安全性憑證的網站的網站更受搜尋引擎青睞,也意味著安裝 SSL 憑證不僅能保護用戶資料,還能提高網站的曝光度和流量。
SSL/TLS憑證的類型
SSL憑證可依照保護範圍與驗證等級兩種方式做個別區分。依照憑證的保護範圍分為三種:
- 單域名憑證(Single Domain Certificate):該憑證僅適用於單一網域,並提供資訊加密驗證,是一般企業網站中最常使用的類型。
- 多域名憑證(Multi-Domain Certificate):該憑證可用於多個不同的網域名稱,如果有多個網域則非常適合,例如ibest.com.tw、ibest.tw。
- 通用型憑證(Wildcard Certificate):該憑證可用於同一個網域底下的所有子網域,集團剛好有許多分公司,且不同分公司擁有獨立網站時則相當適合,例如:ibest.com.tw主網域可同時保護taipei.ibest.com.tw、taichung.ibest.com.tw、esg.ibest.com.tw等子網域。
依照憑證的驗證等級高低依序可分為三種:
1. DV 域名驗證(Domain Validation Certificate)
DV驗證是最容易取得的憑證,僅需透過網頁驗證檔或DNS或E-Mail進行驗證即可,無需進行身份驗證。
因此發放憑證的速度是所有憑證中最快的,大約數分鐘至半小時即可完成,價格也是最便宜的,個人部落格與中小型企業相當適合。
- 作業天數:最快大約數分鐘至半小時即可完成
- 適合客群:個人部落格與中小型企業
2. OV 組織驗證(Organization Validation Certificate)
僅合法的公司行號才能申請OV驗證,需要提交相關證明文件進行人工審查,通常需要1-3個工作天以上,相較DV驗證來說,安全性與嚴謹性較高,但費用與所費時間也較高。
- 作業天數:1-3個工作天以上
- 適合客群:有相當規模或者品牌聲浪的企業
3. EV 延伸驗證(Extended Validation Certificate)
EV驗證是所有憑證中最高的保護等級,與OV驗證相同,需透過人工審核檢視該企業是否合法存在,但程序相對更加複雜,因此,通常需要5-7個工作天,費用也是最高的,但是對於使用者來說會更加安心。
- 作業天數:5 至 7個工作天以上
- 適合客群:非常適合重視資安的上市櫃公司與電商網站。
要怎麼獲得 SSL 憑證?付費和免費的差異
其實不論選擇付費或是免費的 SSL/TLS 安全性憑證,加密等級都是一樣的,都很難被破解。
最主要的差異就是如果用了付費單位發行的 SSL/TLS憑證 之後,資訊還是被駭客攔截,那網站擁有者就可以向發行單位求償或發起賠償訴訟。
其他具體差異,如下表所列:
| 國內TWCA 付費型 SSL | Let's Encrypt 免費 SSL | |
| 憑證效期 | 1年 | 3個月 |
| 賠償機制 | 可向總公司所在地(台灣)法院提出賠償訴訟 | 沒有賠償規範 |
| 賠償金額 | 由臺灣網路認證股份有限公司(TWCA)認定後賠償 | 無 |
| 驗證差異 | 要求完整書面的網域驗證&組織驗證 驗證嚴謹度較高,適用於安全性需求較高的使用者 |
僅要求網域驗證,未要求組織驗證 |
| 適用對象 | 有大量個資或是隱密資料的網站 | 無大量個資或是隱密資料的中小型網站 |
| 核發時間 | 5-7個工作天 | 很快 |
結論
SSL/ TLS 安全性憑證對於網站的資安來說,其實是相對簡易設定。且不需要花費太多金額即可取得的資安措施。
SSL/ TLS 安全性憑證不只能保障網站伺服器和使用者瀏覽器交換資料時的安全性,同時又能提升使用者的信任度,進而提升 SEO 成效。
該選擇什麼樣的憑證,就看網站類型或者企業網站如果資訊外洩需要的保障程度。
最後一個小提醒,如果安裝完 SSL/TLS 安全性憑證後,也要記得將 HTTP 網址做 301 跳轉至 HTTPS,這樣才不會有重複性內容的問題發生,讓網站 SEO 受到影響!
延伸閱讀:【301轉址是什麼】301 / 302 轉址對 SEO 的重要性!
-
19Nov.24
