SSL / TLS 是什麼?
網路是一個十分開放的環境,那大家有想過,該如何確保在網路傳送的資料是安全的?像在網購時,需要填像是信用卡、個資等機密資訊,要如何確保這些資訊傳送出去之後是安全的、就算被資訊被神奇手段攔截下來,也不能被破解?其實就是透過 SSL / TLS 的加密手段去保護這些資訊的安全。
SSL ( Secure Sockets Layer 通訊傳輸端層 ) 其實就是一種通訊協定,主要是在保障網際網路連線安全,透過資訊傳輸過程的加密,以保護資訊不被他人惡意竊取或破解。
TLS ( Transport Layer Security 傳輸層安全性 ) 又是什麼?可以簡單理解為是 SSL 的進化版,因為 SSL 安全性憑證存在某些安全性漏洞,所以已經被棄用,現在都是以 TLS 為主,但是 SSL 太廣為人知,針對這種安全性憑證還是習慣以 SSL 稱呼。
為什麼需要SSL/TLS憑證
1. 資訊加密與安全性
SSL/TLS 安全憑證是在加密並保護使用者於瀏覽器和伺服器之間傳輸資料時,有效防止駭客竊取或篡改機密資訊,包括個資及重要資訊。
當網站有使用 SSL/TLS 憑證時,網址連結(URL)就會從 Http 改成 Https,就是代表這個網站在傳輸資訊時有經過加密,可以不用擔心資訊被破解,並且可以通過點擊網址列旁邊標誌查看安全性憑證的詳細資訊。
2. 提升網站信任度
有 SSL/TLS 安全性憑證保護的網站,通常會被使用者信賴。
像有時候點入沒有安全性憑證的網站,會出現"您的連線非私人連線"的提示性頁面,使用者看到這個頁面,絕大部分都會直接關閉網站,不敢再繼續點擊進入。
特別對於購物網站、訂房網站、或需要輸入個資,有會員系統的網站,SSL憑證就顯得更加重要,因為使用者不會在一個危險的網站環境下送出自己的機密資訊。另外,Google Chorme 瀏覽器也會在網址列旁的圖示顯示網站是否安全,可以參考GOOGLE " 檢查網站連線是否安全 " 確認各個圖示代表含意。
3. SEO效益
SSL/TLS安全憑證對 SEO有正面影響。
Google在2014年8月就宣布 將HTTPS納入排名訊號,後續在2018年7月也宣布將HTTP網頁顯示為不安全,這說明有SSL/TLS安全性憑證的網站的網站更受搜尋引擎青睞,也意味著安裝SSL憑證不僅能保護用戶資料,還能提高網站的曝光度和流量。
SSL/TLS憑證的類型
SSL憑證可依照保護範圍與驗證等級兩種方式做個別區分。依照憑證的保護範圍分為三種:
- 單域名憑證(Single Domain Certificate):該憑證僅適用於單一網域,並提供資訊加密驗證,是一般企業網站中最常使用的類型。
- 多域名憑證(Multi-Domain Certificate):該憑證可用於多個不同的網域名稱,如果有多個網域則非常適合,例如ibest.com.tw、ibest.tw。
- 通用型憑證(Wildcard Certificate):該憑證可用於同一個網域底下的所有子網域,集團剛好有許多分公司,且不同分公司擁有獨立網站時則相當適合,例如:ibest.com.tw主網域可同時保護taipei.ibest.com.tw、taichung.ibest.com.tw、esg.ibest.com.tw等子網域。
依照憑證的驗證等級高低依序可分為三種:
- DV 域名驗證(Domain Validation Certificate):DV驗證是最容易取得的憑證,僅需透過網頁驗證檔或DNS或E-Mail進行驗證即可,無需進行身份驗證,因此發放憑證的速度是所有憑證中最快的,大約數分鐘至半小時即可完成,價格也是最便宜的,個人部落格與中小型企業相當適合。
- 作業天數:最快大約數分鐘至半小時即可完成
- 適合客群:個人部落格與中小型企業
- OV 組織驗證(Organization Validation Certificate):僅合法的公司行號才能申請OV驗證,需要提交相關證明文件進行人工審查,通常需要1-3個工作天以上,相較DV驗證來說,安全性與嚴謹性較高,但費用與所費時間也較高。
- 作業天數:1-3個工作天以上
- 適合客群:有相當規模或者品牌聲浪的企業
- EV 延伸驗證(Extended Validation Certificate):EV驗證是所有憑證中最高的保護等級,與OV驗證相同,需透過人工審核檢視該企業是否合法存在,但程序相對更加複雜,因此,通常需要5-7個工作天,費用也是最高的,但是對於使用者來說會更加安心。
- 作業天數:5 至 7個工作天以上
- 適合客群:非常適合重視資安的上市櫃公司與電商網站。
SSL/TLS 有免費的嗎?跟付費的有什麼差異?
其實不論選擇付費或是免費的SSL/TLS安全性憑證,加密等級都是一樣的,都很難被破解,最主要的差異就是如果用了SSL/TLS憑證之後,資訊還是外洩,就可以向發行單位求償或發起賠償訴訟,其他差異,如下表所列:
國內TWCA 付費型 SSL | Let's Encrypt 免費 SSL | |
憑證效期 | 1年 | 3個月 |
賠償機制 | 可向總公司所在地(台灣)法院提出賠償訴訟 | 沒有賠償規範 |
賠償金額 | 由臺灣網路認證股份有限公司(TWCA)認定後賠償 | 無 |
驗證差異 | 要求完整書面的網域驗證&組織驗證 驗證嚴謹度較高,適用於安全性需求較高的使用者 |
僅要求網域驗證,未要求組織驗證 |
適用對象 | 有大量個資或是隱密資料的網站 | 無大量個資或是隱密資料的中小型網站 |
核發時間 | 5-7個工作天 | 很快 |
結論
SSL/TLS 安全性憑證對於網站的資安來說,其實是相對簡易設定,又不需要花費太多金額即可取得的資安措施,同時又能提升使用者的信任度及提升SEO成效,該選擇什麼樣的憑證,就看網站類型或者企業網站如果資訊外洩需要的保障程度。
最後一個小提醒,如果安裝完SSL/TLS 安全性憑證後,也要記得將HTTP網址做301跳轉至HTTPS,這樣才不會有重複性內容的問題發生,讓網站SEO受到影響!
-
01Oct.2415Jan.2029Oct.24