SSL 憑證是什麼?http、https 是什麼?推薦安裝免費 SSL 憑證!
在這篇筆記中,我要跟大家聊聊 SSL 是什麼,TLS、http、https 又是什麼?
我們架設網站時該申請免費還是付費 SSL 憑證呢?最後,我還會告訴大家如何安裝免費的 SSL 憑證。
如果你偏好用影片學習,歡迎觀看下面的 YouTube 影片。
如果你喜歡透過圖文學習,請繼續往下閱讀吧!
圖文版會比較詳細、方便快速瀏覽,還會持續更新與補充內容。
http 跟 https 有什麼差別?
在像是 Google Chrome 或 Safari 這樣的瀏覽器中瀏覽網頁時,常常會看到網址最前面的「https」,你有想過這是什麼意思嗎?
其實,這跟「SSL」有很大的關聯喔!
網址前面出現的「https」,它可以被拆解成「http」和「s」兩部分。
http (HyperText Transfer Protocol) 中文翻譯為「超文本傳輸協定」,
是運算 html 頁面的一種傳輸協定,定義了客戶端和伺服器之間的通訊規則,就像是網路上所有裝置之間的共同語言。
它讓瀏覽器能夠向網站主機請求並接收網頁、圖片等等資源,為網際網路的運作提供基本的架構。
但 http 在資安方面有個致命的缺點,那就是 http 是採用一眼就能看懂內文的明文傳輸。
在 90 年代電商興起後,人們發現在網站上輸入的帳號、密碼、信用卡號等個人資料,在公開上傳給網站主機 (伺服器) 的途中,容易被駭客竊取、盜用。
於是,就衍生出了加密傳輸資訊的需求,「加密」就是將明文資訊轉換成像亂碼一樣難以讀懂的密文。
就算駭客在中途攔截到傳輸的資料,也只會看見一堆亂碼,無法看到真正的內容。
只有擁有解密方法的瀏覽器和網站主機,才能將密文還原成正常可閱讀的內容。
而 SSL 就是順應這項需求誕生的加密技術。
有 SSL 保護的網站,網址的「http」會變成「https」,加上的「s」代表 「secure」 (安全的)。
https 的正式名稱是 HyperText Transfer Protocol Secure,也常被稱為 HTTP over TLS、HTTP over SSL 或 HTTP Secure,中文翻譯是「超文本傳輸安全協定」。
當我們看見網址開頭為「https」,就表示這個網站透過 SSL 加密,能夠有效保護訪客在瀏覽網站與輸入資料的安全性。
SSL 是什麼?
SSL 是 Secure Socket Layer 的縮寫,中文翻譯叫「安全通訊協定」,是在 1994 年由網景公司 (Netscape) 發表的一種資訊傳輸加密技術。
能保障網路通訊的安全性及資料的完整性,避免資料在傳遞途中被偷走或是竄改。
如果想要了解「SSL 加密」的實際運作過程的話,我有找到一部很不錯的影片,講解得很清楚,你可以點擊下方的連結進一步了解。
👉 HTTPS 是什麼?加密原理和證書。SSL/TLS 握手過程|技術蛋老師
SSL 憑證 (ssl certificate) 是什麼?
那 SSL 憑證又是什麼呢?
它是針對 SSL 這項技術所頒發的數位證書,要獲得 SSL 憑證,需要有數位憑證認證機構的核發。
SSL 憑證負責加密、證明網站身份,以確保資料傳送時的完整性與安全性。
備註:
數位憑證認證機構 (Certificate Authority,簡稱 CA),也稱為電子商務認證中心、電子商務認證授權機構。
作為電子商務交易中受信任的第三方,是負責簽發憑證、認證憑證、管理已頒發憑證的權威機構。
憑證中包含被第三方認證機構審核過的網域資訊,以及加密過程要使用到的「公開金鑰」:
- 網域名稱
- 加密協定版本
- 憑證核發對象
- 憑證認證機構的數位簽章
- 簽發日期與到期日期
- 公開金鑰
其實 SSL 憑證就是 TLS 憑證?
不過,需要特別說明的是,隨著技術的演進,
在 1999 年時 IETF 將 SSL 標準化,改名為「傳輸層安全性協定 TLS」 (Transport Layer Security)。
備註:
IETF 網際網路工程任務組(Internet Engineering Task Force,縮寫為 IETF), 是一個開放、非營利的標準組織,負責制定網際網路與傳輸協議標準。
到了現在, SSL 其實早就被淘汰了,目前市面上的加密傳輸技術其實都是使用 TLS 1.3 這個最新版本的協定。
但是因為 TLS 也算是 SSL 的進化版本,SSL 這個術語也比較廣為人知,為了方便,現在業界還是繼續沿用「SSL 憑證」一詞。
在這篇筆記裡也會統一使用「SSL 憑證」來稱呼。
如何確定網站有 SSL 憑證保護?
如果你想要確認一個網站有沒有 SSL 憑證的保護,可以觀察兩個重點。
第一,觀察網址中是否有「https」。
你可以在 Google 搜尋時,注意搜尋結果的顯示網址,看看最前面是不是「https」。
或者是進入網頁後,點擊瀏覽器上方的網址列兩下,讓網址隱藏的部分顯示出來,確認一下有沒有「https」。
第二,查看「安全鎖頭」。
如果是使用 Google Chrome 瀏覽器的人,點擊網址列左邊的「查看網站資訊」,會顯示「已建立安全連線」。
Safari 瀏覽器則是在網址最前方如果出現「鎖頭」圖示,那就表示這個網站有安裝 SSL 憑證。
我該不該為網站安裝 SSL 憑證?
說到這裡大家或許會疑惑,SSL 憑證是必須的嗎?
我們自己架設網站時,需不需要也幫網站安裝 SSL 憑證呢?
我的建議是「一定要」!
安裝 SSL 憑證的 3 大優點
優點 1:保護資料安全
網站的訪客在瀏覽網頁時,訪客與網站之間傳送的資料透過 SSL 加密,就能降低資料洩漏的風險,
如果訪客在我們的網站註冊會員,也不用擔心手機號碼或是身分證字號之類的個資外流,對訪客與自己的網站雙方的資訊都更有保障。
優點 2:提升網站的專業度、信任感
擁有憑證就證明了網站的資料傳輸有 SSL 加密保護,能讓訪客放心瀏覽網站或進行交易。
憑證當中的數位簽章,則可以證明我們的網站已經由第三方認證機構核可身份,不是奇怪的釣魚網站或詐騙網站。
相反地,如果沒有 SSL 憑證,瀏覽器會跳出「與網站的連線並不安全」的警告,可能會導致訪客心生警戒,直接關掉網頁。
優點 3:提高 SEO 排名
網址是「https」開頭的話,搜尋引擎會認定這個網站是比較安全的。
也因為 Google 等搜尋引擎非常注重客戶的安全和隱私,它們早在 2017 年 1 月就宣佈,會給有安裝 SSL 憑證的網站比較高的網站權重,並且優先索引。
這可以讓網站有比較好的搜尋引擎排名,有機會能增加更多的自然流量。
由此可知,SSL 憑證對網站經營非常重要!可以說是網站架設必要的項目。
SSL 憑證有免費的嗎?有哪些類型?
那如果想要為自己的網站安裝 SSL 憑證的話,有哪些選擇呢?
我們來了解一下吧!
免費 SSL vs 付費 SSL 有什麼不同?
SSL 憑證除了付費跟憑證商購買外,也有免費的憑證可以申請。
首先,免費和付費的 SSL 憑證在加密強度上其實是一樣的,都能提供 https 加密連線。
但付費 SSL 憑證多提供了認證標章,能為網站的安全性背書。
還有憑證商提供的技術支援以及賠償保證,如果網站因為加密保護不足而造成損失,就可以向憑證商申請損害賠償。
項目 | 免費 SSL 憑證 | 付費 SSL憑證 |
---|---|---|
加密程度 | https 加密強度 相同 | https 加密強度 相同 |
憑證期限 | 3 個月 | 1 年 |
驗證等級 | 網域驗證 | 網域驗證丶組織驗證丶 延伸驗證 |
驗證差異 | 僅驗證網域所有權 | 組織驗證丶延伸驗證 需審核組織身份 |
安全認證標章 | 無 | 有 |
技術支援 | 無 | 有 |
損害賠償責任 | 無 | 有 |
推薦對象 | 個人網站、部落格、 非營利網站、初期商業網站 … 等 | 商業網站、企業網站、 金融機構網站、政府機關網站 … 等 |
備註:
SSL 憑證效期 目前 SSL 憑證的最長時效是 398 天,這個政策從 2020 年 9 月 1 日開始實施,是憑證授權機構 (CA) 基於瀏覽器和網站安全性考量下所制定的規則。
DV、OV、EV 三種 SSL 憑證驗證等級的差別
如果是向憑證商所購買的付費 SSL 憑證,依照安全層級和驗證程序的嚴謹度,分成三個等級:
- 網域驗證 (DV) :最基礎的安全憑證,申請門檻最低,只要驗證域名,幾分鐘內就可以拿到憑證。
比較適合個人網站、部落格、初期商業網站。 - 組織驗證 (OV):只有公司行號才能申請,需要提出公司的證明文件給憑證商做人工審核,大約需要 1-3 個工作天。
適合商業網站與非營利組織網站。 - 延伸驗證 (EV) :最高安全等級 SSL 憑證,只有公司行號才能申請。憑證商除了審查書面證件,還會透過電話驗證、查驗營業登記等方式驗證申請人身份,審核時間可能要等待 5 到 7 個工作天。
通常是對安全性要求最高的商業網站、金融機構網站或政府機關網站會使用。
項目 | 網域驗證 DV | 組織驗證 OV | 延伸驗證 EV |
---|---|---|---|
英文全名 | Domain Validation | Organization Validation | Extension Validation |
價格 | 免費 或 便宜 | 中 | 高 |
憑證一般名稱 (CN) | 只顯示網域名稱 | 顯示組織名稱 | 顯示組織名稱及詳細資訊 |
申請人資格 | 個人 或 組織 | 組織 | 組織 |
驗證項目 | 網域所有權 | 網域所有權、組織身份 | 網域所有權、組織身份、 合法立案企業 |
人工審核 | X | V | V |
驗證方式 | Email、網頁驗證檔丶 DNS 紀錄 | 公司證明文件、 申請人身份證明 … 等 | 公司證明文件、申請人身份證明、 電話照會、第三方徵信 … 等 |
驗證速度 | 快,數分鐘至半小時 | 約 1-3個工作天 | 慢,約5-7個工作天 |
適用網站 | 個人網站、部落格、 初期商業網站 … 等 | 商業網站、 非營利組織網站 … 等 | 對安全性要求最高的商業網站、 金融機構網站丶政府機關網站 … 等 |
備註:驗證方式
驗證方式主要看憑證商規定,不同憑證商的要求不同,不僅限於以上提到的幾種,表格裡只列出比較常見的方式。
結語:推薦安裝免費 SSL 憑證
最後我來總結一下。
我覺得在架站初期可以選擇安裝免費的 SSL 憑證,免費的憑證基本上就已經很夠用了,加密強度也跟付費的一樣。
就連像是 Notion 這樣頗具規模的網站,目前也都是使用免費 SSL 憑證。
但如果你的網站有較高的安全需求,會涉及一些機密資料,例如有會員註冊功能,或是需要刷卡下單的商業網站。
才需要考慮購買付費 SSL 憑證,這樣多一層保障,也能提高訪客對網站的信任感。
如果你想要自己架設網站,並安裝免費的 SSL 憑證,可以點擊下面卡片的按鈕。
WordPress 新手教學 (總整理)
架設網站看「這個」就夠了!
只要跟著精選教學操作,就能架設出有安裝好免費 SSL 憑證的 WordPress 網站囉!
參考資料
- SSL/TLS Explained in 7 Minutes
- SSL, TLS, HTTP, HTTPS Explained
- How SSL certificate works?
- 什麼是 SSL? | SSL 定義|CLOUDFLARE
- 傳輸層安全性協定|Wikipedia
- A Beginner’s Guide to SSL: What It is & Why It Makes Your Website More Secure
- SSL 是什麼?SSL TLS 差異為何?5 分鐘帶你懂 SSL 原理
製作團隊
總編輯、發佈:諾特斯
文字撰寫、文字編輯、圖片編輯:鹹魚
圖片製作:蚊子