網頁設計知識HTTP與HTTPS：如何使用SSL保護您的網站

早在2014年1月，由於安全問題，Google不斷推廣HTTPS的重要性，經過8年的努力，如今超過一半以上的網站已經符合條件。Google透過許多手段推廣HTTPS，例如在瀏覽器上的安全性示警、影響關鍵字自然排名成績...等，為什麽Google用這麼大的動作，希望所有網站都加入安全協定呢？

什麽是HTTP？為什麽它不安全？

你我每日觀看的網頁都是透過HTTP這個協定傳輸的，而HTTP正是"超文本傳輸協定"的縮寫，它是網路上最重要的傳輸協議，已有將近30年歷史。與許多其他網際網路協定一樣，該協定根據客戶端-伺服器模型工作。相似的服務協定其實還有FTP、GOPHER…等等，但上述協定因逐漸走入歷史或已經終止服務，唯有HTTP屹立不搖。

HTTP起初並未考量到安全傳輸，直到電子商務與各種應用興起，人們開始正視安全問題。如果您的數據是通過HTTP傳輸的，未加密的情況下，發送的數據基本上沒有安全性可言，換句話說，透過HTTP協議傳輸的任何數據，若遭到惡意的組織攔截，訊息無須解密即可一覽無遺。

未加密的資訊真的會外流嗎？答案是肯定的，根據報導指出，攻擊者會使用一種嗅探(sniffer)工具，找尋透過網路傳遞且有價值的資訊，例如密碼、用戶訊息、信用卡號...等。嗅探也稱為網絡協定分析器，但網路分析器本質上是網路故障排除工具，攻擊者可以巧妙地將其用於竊取資訊。

對於單純瀏覽網頁的人來說，未經加密的HTTP通訊協定沒有太大影響。但是電子商務就很重要了，例如：處理線上購物、銀行信用卡授權、個人資料、購物資料、會員資料、購物習慣等...如今使用稱為HTTPS的安全通訊協定，就可以輕鬆解決HTTP欠缺的安全問題。

SSL證書如何運作？

HTTPS與HTTP只差了一個S，但就差在這個"安全"(Security)單字就足以影響網站安全，因為協定是經過SSL安全層授權的證書辦到的，而證書授權步驟過程如下：

步驟1. 通過握手在伺服器和瀏覽器之間建立安全的通信。
步驟2. 收到客戶端的請求後，服務器通過發送其SSL證書的副本及其公鑰進行回應。
步驟3. 客戶端從伺服器接收回該數據後，瀏覽器將立即驗證證書。
步驟4. 然後，伺服器發回已簽名的確認。
步驟5. 現在已經建立了SSL管道，客戶端和伺服器可以安全地傳輸加密的數據。

使用通過SSL證書保護的HTTPS連結，可以為您提供我們前面提到的所有保護。即使嗅探器攔截並竊取了包含公鑰的封包，他們也將永遠無法對其解密。當然，你手上的資料仍然完好，因此你可以傳輸機密資料，而不必擔心它們被損壞或被修改而不會被檢測到。

我的網站需要SSL證書嗎？

HTTP能夠為您的網站帶來許多好處，包括：

安全：全球一半以上的網站皆採用此標準，是一致認可的高安全通訊加密技術。
信任：電子商務網站尤其重視購物安全性，沒有安全就沒有信任可言。
行銷：Google建議不論大小網站應當使用SSL，即便是中小企業網站，使用SSL都有助於搜尋引擎自然排名。

如果您有任何SSL相關的問題，歡迎與iWare網頁設計團隊聯繫，我們將協助您的網站添加安全協定，並提升網站的相容性。