網頁設計知識HTTP與HTTPS:如何使用SSL保護您的網站
早在2014年1月,由於安全問題,Google不斷推廣HTTPS的重要性,經過8年的努力,如今超過一半以上的網站已經符合條件。Google透過許多手段推廣HTTPS,例如在瀏覽器上的安全性示警、影響關鍵字自然排名成績...等,為什麽Google用這麼大的動作,希望所有網站都加入安全協定呢?
什麽是HTTP?為什麽它不安全?
你我每日觀看的網頁都是透過HTTP這個協定傳輸的,而HTTP正是"超文本傳輸協定"的縮寫,它是網路上最重要的傳輸協議,已有將近30年歷史。與許多其他網際網路協定一樣,該協定根據客戶端-伺服器模型工作。相似的服務協定其實還有FTP、GOPHER…等等,但上述協定因逐漸走入歷史或已經終止服務,唯有HTTP屹立不搖。
HTTP起初並未考量到安全傳輸,直到電子商務與各種應用興起,人們開始正視安全問題。如果您的數據是通過HTTP傳輸的,未加密的情況下,發送的數據基本上沒有安全性可言,換句話說,透過HTTP協議傳輸的任何數據,若遭到惡意的組織攔截,訊息無須解密即可一覽無遺。
未加密的資訊真的會外流嗎?答案是肯定的,根據報導指出,攻擊者會使用一種嗅探(sniffer)工具,找尋透過網路傳遞且有價值的資訊,例如密碼、用戶訊息、信用卡號...等。嗅探也稱為網絡協定分析器,但網路分析器本質上是網路故障排除工具,攻擊者可以巧妙地將其用於竊取資訊。
對於單純瀏覽網頁的人來說,未經加密的HTTP通訊協定沒有太大影響。但是電子商務就很重要了,例如:處理線上購物、銀行信用卡授權、個人資料、購物資料、會員資料、購物習慣等...如今使用稱為HTTPS的安全通訊協定,就可以輕鬆解決HTTP欠缺的安全問題。
SSL證書如何運作?
HTTPS與HTTP只差了一個S,但就差在這個"安全"(Security)單字就足以影響網站安全,因為協定是經過SSL安全層授權的證書辦到的,而證書授權步驟過程如下:
步驟1. 通過握手在伺服器和瀏覽器之間建立安全的通信。
步驟2. 收到客戶端的請求後,服務器通過發送其SSL證書的副本及其公鑰進行回應。
步驟3. 客戶端從伺服器接收回該數據後,瀏覽器將立即驗證證書。
步驟4. 然後,伺服器發回已簽名的確認。
步驟5. 現在已經建立了SSL管道,客戶端和伺服器可以安全地傳輸加密的數據。
使用通過SSL證書保護的HTTPS連結,可以為您提供我們前面提到的所有保護。即使嗅探器攔截並竊取了包含公鑰的封包,他們也將永遠無法對其解密。當然,你手上的資料仍然完好,因此你可以傳輸機密資料,而不必擔心它們被損壞或被修改而不會被檢測到。
我的網站需要SSL證書嗎?
HTTP能夠為您的網站帶來許多好處,包括:
安全:全球一半以上的網站皆採用此標準,是一致認可的高安全通訊加密技術。
信任:電子商務網站尤其重視購物安全性,沒有安全就沒有信任可言。
行銷:Google建議不論大小網站應當使用SSL,即便是中小企業網站,使用SSL都有助於搜尋引擎自然排名。
如果您有任何SSL相關的問題,歡迎與iWare網頁設計團隊聯繫,我們將協助您的網站添加安全協定,並提升網站的相容性。