SSL 憑證是什麼?http、https 是什麼?推薦安裝免費 SSL 憑證!

SSL 是什麼的精選圖片

在這篇筆記中,我要跟大家聊聊 SSL 是什麼,TLS、http、https 又是什麼?

我們架設網站時該申請免費還是付費 SSL 憑證呢?最後,我還會告訴大家如何安裝免費的 SSL 憑證。

SSL 筆記重點

如果你偏好用影片學習,歡迎觀看下面的 YouTube 影片。

SSL 憑證是什麼?推薦安裝免費的還是付費購買?TLS、http、https 是什麼?

如果你喜歡透過圖文學習,請繼續往下閱讀吧!

圖文版會比較詳細、方便快速瀏覽,還會持續更新與補充內容。



http 跟 https 有什麼差別?

在像是 Google Chrome 或 Safari 這樣的瀏覽器中瀏覽網頁時,常常會看到網址最前面的「https」,你有想過這是什麼意思嗎?

網址最前面的 https

其實,這跟「SSL」有很大的關聯喔

網址前面出現的「https」,它可以被拆解成「http」和「s」兩部分。

http (HyperText Transfer Protocol) 中文翻譯為「超文本傳輸協定」

是運算 html 頁面的一種傳輸協定,定義了客戶端和伺服器之間的通訊規則,就像是網路上所有裝置之間的共同語言。

它讓瀏覽器能夠向網站主機請求並接收網頁、圖片等等資源,為網際網路的運作提供基本的架構。

http 超文本傳輸協定

但 http 在資安方面有個致命的缺點,那就是 http 是採用一眼就能看懂內文的明文傳輸。

在 90 年代電商興起後,人們發現在網站上輸入的帳號、密碼、信用卡號等個人資料,在公開上傳給網站主機 (伺服器) 的途中,容易被駭客竊取、盜用。

http 容易會被駭客竊取

於是,就衍生出了加密傳輸資訊的需求,「加密」就是將明文資訊轉換成像亂碼一樣難以讀懂的密文。

就算駭客在中途攔截到傳輸的資料,也只會看見一堆亂碼,無法看到真正的內容。

只有擁有解密方法的瀏覽器和網站主機,才能將密文還原成正常可閱讀的內容。

而 SSL 就是順應這項需求誕生的加密技術。

SSL 加密傳輸資訊

有 SSL 保護的網站,網址的「http」會變成「https」,加上的「s」代表 「secure」 (安全的)

https 的正式名稱是 HyperText Transfer Protocol Secure,也常被稱為 HTTP over TLS、HTTP over SSL 或 HTTP Secure,中文翻譯是「超文本傳輸安全協定」

當我們看見網址開頭為「https」,就表示這個網站透過 SSL 加密,能夠有效保護訪客在瀏覽網站與輸入資料的安全性。

https 超文本傳輸安全協定

SSL 是什麼?

SSL 是 Secure Socket Layer 的縮寫,中文翻譯叫「安全通訊協定」,是在 1994 年由網景公司 (Netscape) 發表的一種資訊傳輸加密技術。

能保障網路通訊的安全性及資料的完整性,避免資料在傳遞途中被偷走或是竄改。

SSL 安全通訊協定

如果想要了解「SSL 加密」的實際運作過程的話,我有找到一部很不錯的影片,講解得很清楚,你可以點擊下方的連結進一步了解。

👉 HTTPS 是什麼?加密原理和證書。SSL/TLS 握手過程|技術蛋老師

SSL 憑證 (ssl certificate) 是什麼?

那 SSL 憑證又是什麼呢?

它是針對 SSL 這項技術所頒發的數位證書,要獲得 SSL 憑證,需要有數位憑證認證機構的核發。

SSL 憑證負責加密、證明網站身份,以確保資料傳送時的完整性與安全性。

備註:
數位憑證認證機構 (Certificate Authority,簡稱 CA),也稱為電子商務認證中心、電子商務認證授權機構。
作為電子商務交易中受信任的第三方,是負責簽發憑證、認證憑證、管理已頒發憑證的權威機構。

憑證中包含被第三方認證機構審核過的網域資訊,以及加密過程要使用到的「公開金鑰」:

  1. 網域名稱
  2. 加密協定版本
  3. 憑證核發對象
  4. 憑證認證機構的數位簽章
  5. 簽發日期與到期日期
  6. 公開金鑰
SSL 憑證是什麼

其實 SSL 憑證就是 TLS 憑證?

不過,需要特別說明的是,隨著技術的演進,

在 1999 年時 IETF 將 SSL 標準化,改名為「傳輸層安全性協定 TLS」 (Transport Layer Security)。

備註:

IETF 網際網路工程任務組(Internet Engineering Task Force,縮寫為 IETF), 是一個開放、非營利的標準組織,負責制定網際網路與傳輸協議標準。

到了現在, SSL 其實早就被淘汰了,目前市面上的加密傳輸技術其實都是使用 TLS 1.3 這個最新版本的協定。

但是因為 TLS 也算是 SSL 的進化版本,SSL 這個術語也比較廣為人知,為了方便,現在業界還是繼續沿用「SSL 憑證」一詞。

在這篇筆記裡也會統一使用「SSL 憑證」來稱呼。

SSL 憑證就是 TLS 憑證

如何確定網站有 SSL 憑證保護?

如果你想要確認一個網站有沒有 SSL 憑證的保護,可以觀察兩個重點。

第一,觀察網址中是否有「https」

你可以在 Google 搜尋時,注意搜尋結果的顯示網址,看看最前面是不是「https」。

搜尋結果網址中是否有 https

或者是進入網頁後,點擊瀏覽器上方的網址列兩下,讓網址隱藏的部分顯示出來,確認一下有沒有「https」。

瀏覽器網址列是否有 https

第二,查看「安全鎖頭」

如果是使用 Google Chrome 瀏覽器的人,點擊網址列左邊的「查看網站資訊」,會顯示「已建立安全連線」

查看安全鎖頭 Chrome

Safari 瀏覽器則是在網址最前方如果出現「鎖頭」圖示,那就表示這個網站有安裝 SSL 憑證。

查看安全鎖頭 Safari

我該不該為網站安裝 SSL 憑證?

說到這裡大家或許會疑惑,SSL 憑證是必須的嗎?

我們自己架設網站時,需不需要也幫網站安裝 SSL 憑證呢?

我的建議是「一定要」

一定要安裝 SSL 憑證

安裝 SSL 憑證的 3 大優點

優點 1:保護資料安全

網站的訪客在瀏覽網頁時,訪客與網站之間傳送的資料透過 SSL 加密,就能降低資料洩漏的風險,

如果訪客在我們的網站註冊會員,也不用擔心手機號碼或是身分證字號之類的個資外流,對訪客與自己的網站雙方的資訊都更有保障

優點 2:提升網站的專業度、信任感

擁有憑證就證明了網站的資料傳輸有 SSL 加密保護,能讓訪客放心瀏覽網站或進行交易。

憑證當中的數位簽章,則可以證明我們的網站已經由第三方認證機構核可身份,不是奇怪的釣魚網站或詐騙網站。

相反地,如果沒有 SSL 憑證,瀏覽器會跳出「與網站的連線並不安全」的警告,可能會導致訪客心生警戒,直接關掉網頁。

優點 3:提高 SEO 排名

網址是「https」開頭的話,搜尋引擎會認定這個網站是比較安全的。

也因為 Google 等搜尋引擎非常注重客戶的安全和隱私,它們早在 2017 年 1 月就宣佈,會給有安裝 SSL 憑證的網站比較高的網站權重,並且優先索引

這可以讓網站有比較好的搜尋引擎排名,有機會能增加更多的自然流量。

由此可知,SSL 憑證對網站經營非常重要!可以說是網站架設必要的項目。

SSL 憑證優點

SSL 憑證有免費的嗎?有哪些類型?

那如果想要為自己的網站安裝 SSL 憑證的話,有哪些選擇呢?

我們來了解一下吧!

免費 SSL vs 付費 SSL 有什麼不同?

SSL 憑證除了付費跟憑證商購買外,也有免費的憑證可以申請。

首先,免費和付費的 SSL 憑證在加密強度上其實是一樣的,都能提供 https 加密連線。

但付費 SSL 憑證多提供了認證標章,能為網站的安全性背書。

還有憑證商提供的技術支援以及賠償保證,如果網站因為加密保護不足而造成損失,就可以向憑證商申請損害賠償。

免費 SSL vs 付費 SSL

備註:
SSL 憑證效期 目前 SSL 憑證的最長時效是 398 天,這個政策從 2020 年 9 月 1 日開始實施,是憑證授權機構 (CA) 基於瀏覽器和網站安全性考量下所制定的規則。

DV、OV、EV 三種 SSL 憑證驗證等級的差別

如果是向憑證商所購買的付費 SSL 憑證,依照安全層級和驗證程序的嚴謹度,分成三個等級:

  • 網域驗證 (DV) :最基礎的安全憑證,申請門檻最低,只要驗證域名,幾分鐘內就可以拿到憑證。
    比較適合個人網站、部落格、初期商業網站。
  • 組織驗證 (OV):只有公司行號才能申請,需要提出公司的證明文件給憑證商做人工審核,大約需要 1-3 個工作天。
    適合商業網站與非營利組織網站。
  • 延伸驗證 (EV) :最高安全等級 SSL 憑證,只有公司行號才能申請。憑證商除了審查書面證件,還會透過電話驗證、查驗營業登記等方式驗證申請人身份,審核時間可能要等待 5 到 7 個工作天。
    通常是對安全性要求最高的商業網站、金融機構網站或政府機關網站會使用。
DV OV EV 驗證等級差別

備註:驗證方式
驗證方式主要看憑證商規定,不同憑證商的要求不同,不僅限於以上提到的幾種,表格裡只列出比較常見的方式。

結語:推薦安裝免費 SSL 憑證

最後我來總結一下。

我覺得在架站初期可以選擇安裝免費的 SSL 憑證,免費的憑證基本上就已經很夠用了,加密強度也跟付費的一樣。

就連像是 Notion 這樣頗具規模的網站,目前也都是使用免費 SSL 憑證。

架站初期選擇免費的 SSL 憑證

但如果你的網站有較高的安全需求,會涉及一些機密資料,例如有會員註冊功能,或是需要刷卡下單的商業網站。

才需要考慮購買付費 SSL 憑證,這樣多一層保障,也能提高訪客對網站的信任感。

有較高的安全需求可考慮購買付費 SSL 憑證

如果你想要自己架設網站,並安裝免費的 SSL 憑證,可以點擊下面卡片的按鈕。

WordPress 教學總整理的精選圖片

WordPress 新手教學 (總整理)
架設網站看「這個」就夠了!

只要跟著精選教學操作,就能架設出有安裝好免費 SSL 憑證的 WordPress 網站囉!

WordPress 新手教學 總整理 精選教學

參考資料

製作團隊

總編輯、發佈:諾特斯
文字撰寫、文字編輯、圖片編輯:鹹魚
圖片製作:蚊子