現在的網站都必須要HTTPS,SSL是什麼?各種類型的SSL證書要怎麼選擇適合我用的?
雖然Google2014年就將https列為SEO排序指標,但從2016年Chrome將部份沒有SSL的網站標示為不安全之後,SSL才成為主流的話題,SSL是加密瀏覽,可以保護我們瀏覽安全,有各種不同等級的SSL證書,表現的方式也不同,不同的網站,該如何選擇適合的SSL證書?取得使用者的信任。
簡單來說,https代表我們正在使用安全的加密方式瀏覽、使用網路;http或者non-SSL環境代表我們瀏覽網路的環境是透明的,任何人都可以在網路的任意節點讀取、看到我們瀏覽、傳輸的資料,甚至可以竄改我們看到的網頁。
SSL、TLS是一種加密技術,會將我們與網路伺服器之間的傳輸的資料加密編碼,即使中間被人側錄資料,看到的也只是一堆亂碼,也因為傳輸過程有加密,透過SSL瀏覽的資訊,會是網站伺服器送出來的內容,不會被任意竄改、插入資料。
SSL是加密技術,那為何我們需要申請、甚至購買SSL憑證?加密過程需要一個憑證,確保這個加密資訊真的是由這個伺服器送出來,也藉由這個憑證驗證、管理加、解密的過程;而這個憑證就會透過具有公信力的第三方機構認證憑證的正確、真實、可靠度。所以我們需要向第三方單位申請、取得SSL憑證。
傳輸層安全協議(英語:Transport Layer Security,縮寫:TLS),及其前身安全通訊協定(Secure Sockets Layer,縮寫:SSL)是一種安全協定,目的是為網際網路通訊,提供安全及資料完整性保障。網景公司(Netscape)在1994年推出首版網頁瀏覽器,網景領航員時,推出HTTPS協定,以SSL進行加密,這是SSL的起源。IETF將SSL進行標準化,1999年公布第一版TLS標準檔案。隨後又公布RFC 5246 (2008年8月)與 RFC 6176 (2011年3月)。在瀏覽器、電子郵件、即時通訊、VoIP、網路傳真等應用程式中,廣泛支援這個協定。主要的網站,如Google、Facebook等也以這個協定來建立安全連線,傳送資料。目前已成為網際網路上保密通訊的工業標準。
SSL包含記錄層(Record Layer)和傳輸層,記錄層協定確定傳輸層資料的封裝格式。傳輸層安全協議使用X.509認證,之後利用非對稱加密演算來對通訊方做身分認證,之後交換對稱金鑰作為會談金鑰(Session key)。這個會談金鑰是用來將通訊兩方交換的資料做加密,保證兩個應用間通訊的保密性和可靠性,使客戶與伺服器應用之間的通訊不被攻擊者竊聽。
