早在2014年1月,由于安全问题,Google不断推广HTTPS的重要性,经过8年的努力,如今超过一半以上的网站已经符合条件。Google透过许多手段推广HTTPS,例如在浏览器上的安全性示警、影响关键字自然排名成绩...等,为什麽Google用这么大的动作,希望所有网站都加入安全协定呢?
什么是HTTP?为什么它不安全?
你我每日观看的网页都是透过HTTP这个协定传输的,而HTTP正是"超文本传输协定"的缩写,它是网络上最重要的传输协议,已有将近30年历史。与许多其他网际网络协定一样,该协定根据客户端-服务器模型工作。相似的服务协定其实还有FTP、GOPHER…等等,但上述协定因逐渐走入历史或已经终止服务,唯有HTTP屹立不摇。
HTTP起初并未考量到安全传输,直到电子商务与各种应用兴起,人们开始正视安全问题。如果您的数据是通过HTTP传输的,未加密的情况下,发送的数据基本上没有安全性可言,换句话说,透过HTTP协议传输的任何数据,若遭到恶意的组织拦截,讯息无须解密即可一览无遗。
未加密的信息真的会外流吗?答案是肯定的,根据报导指出,攻击者会使用一种嗅探(sniffer)工具,找寻透过网络传递且有价值的信息,例如密码、用户讯息、信用卡号...等。嗅探也称为网络协定分析器,但网络分析器本质上是网络故障排除工具,攻击者可以巧妙地将其用于窃取信息。
对于单纯浏览网页的人来说,未经加密的HTTP通讯协定没有太大影响。但是电子商务就很重要了,例如:处理在线购物、银行信用卡授权、个人资料、购物资料、会员资料、购物习惯等...如今使用称为HTTPS的安全通讯协定,就可以轻松解决HTTP欠缺的安全问题。
SSL证书如何运作?
HTTPS与HTTP只差了一个S,但就差在这个"安全"(Security)单字就足以影响网站安全,因为协定是经过SSL安全层授权的证书办到的,而证书授权步骤过程如下:
步骤1. 通过握手在服务器和浏览器之间建立安全的通信。
步骤2. 收到客户端的请求后,服务器通过发送其SSL证书的副本及其公钥进行回应。
步骤3. 客户端从服务器接收回该数据后,浏览器将立即验证证书。
步骤4. 然后,服务器发回已签名的确认。
步骤5. 现在已经建立了SSL管道,客户端和服务器可以安全地传输加密的数据。
使用通过SSL证书保护的HTTPS连结,可以为您提供我们前面提到的所有保护。即使嗅探器拦截并窃取了包含公钥的封包,他们也将永远无法对其解密。当然,你手上的资料仍然完好,因此你可以传输机密资料,而不必担心它们被损坏或被修改而不会被检测到。
我的网站需要SSL证书吗?
HTTP能够为您的网站带来许多好处,包括:
安全:全球一半以上的网站皆采用此标准,是一致认可的高安全通讯加密技术。
信任:电子商务网站尤其重视购物安全性,没有安全就没有信任可言。
营销:Google建议不论大小网站应当使用SSL,即便是中小企业网站,使用SSL都有助于搜寻引擎自然排名。
如果您有任何SSL相关的问题,欢迎与iWare网页设计团队联系,我们将协助您的网站添加安全协定,并提升网站的兼容性。