[ SSL憑證 ] 數位憑證是網路安全的主幹
創造安全連結
SSL 是建立加密連結的標準安全技術 — 以下是它的運作原理。
有一種終端使用者看不見的程序叫做「SSL 握手」(SSL handshake),可在網路伺服器和瀏覽器之間創造安全連結。它以三把金鑰打造一個對稱式會話金鑰,再以此加密所有傳輸資料。
- 伺服器傳送自己的對稱式公開金鑰發送給瀏覽器。
- 瀏覽器創造一個對稱會話金鑰,並以伺服器的對稱式公開金鑰加密,然後發送給伺服器。
- 伺服器用自己的對稱式私密金鑰解密加密的會話金鑰,以便取得對稱式會話金鑰。
- 伺服器和瀏覽器現在都以對稱式會話金鑰加密並解密所有傳輸的資料。這個程序可以保障通道安全,因為只有這對瀏覽器和伺服器知道它們的對稱式會話金鑰,而這組會話金鑰只可用於這一段會話。若是瀏覽器隔日再連接同一部伺服器,則需要再產生一副新的會話金鑰。
什麼是 SSL 憑證(SSL Certificate)?
已經有越來越多的消費者會以瀏覽器上的鎖頭標誌或"https",作為這個網站是值得購買交易的信任跡象,這就是 SSL 憑證的實際作用之一。
電商網站需要使用 SSL 憑證的最大原因是,這可以保護非常敏感或重要的資訊。如果信用卡號、密碼或其他個人資訊…等未經加密就傳輸,那麼駭客就可以輕鬆介入並竊取資料。
但是,使用 SSL 憑證之後,任何試圖竊取資料的人都直接讀取,唯一能夠容易獲得資訊的是另一端的接收者。也就是說,即使駭客中途攔截經過加密的傳輸資料,也很難輕易掌握資訊內容。
為什麼要用 SSL 憑證來傳輸資料?
SSL 憑證就像一個保護數據的專用鎖頭,它可以在訪客的瀏覽器與網站或應用程式之間確保安全連接,用於確保數據加密傳遞。此外,可以對網頁進行身份驗證,以便用戶在沒有第三方的情況下保留數據,因此任何未經授權的人都不能輕易監視並進行攻擊。
所以,SSL 憑證可在網站和訪客共享的資訊之間增加額外的安全級別,進而增強信任感。相對地,網站沒有安裝 SSL 憑證,將會在 Chrome 瀏覽器上自動標註此網站為"不安全"。
同時,它還可以防止網路駭客使用自己的加密方式將訪客流量轉移到他們自己的網站,並禁止以這種方式獲取對數據的權限。(是不是很厲害呀!是不是該買一個憑證了~)
SSL 憑證的效用過程是一個複雜的過程,簡單地說,如果沒有憑證,網站根本沒辦法從 http 變成 https。不過需要知道的是, SSL 它並不能保護網站免受惡意軟體、駭客入侵密碼、DDoS 攻擊……等等,它可不是萬能無敵的阿!
任何網站都需要使用 SSL 憑證嗎?
如果你的網站需要訪客提交任何個人資料,那麼你真的非常需要考慮購買和安裝 SSL 憑證,把網站提升成為 https 加密等級。
除此之外,網站加密還有其他好處,尤其是 SEO。這也是搜尋引擎老大 Google 近期非常強調的一點,因為 Google 向來非常在意用戶體驗與安全,除非你根本不在乎自然搜尋流量,否則應該盡快將網站提升為 https 加密等級。
相對地,網站從 http 變更為 https 並不是沒有缺點,至少這會需要花費額外的成本,但這依然是值得的,我認為這更偏像是一種投資。因為 https 加密網站可以提高用戶對你的信任,從而消除了心理購物障礙並提高轉換率。
總結而言,SSL 憑證具有以下 3 大好處:
・增加信任感-當網站啟用了 SSL 之後,主流的瀏覽器將會顯示 https 和代表安全的鎖頭標誌,而信任感對於銷售是有非常顯著影響的。
・防止數據洩漏-當客戶的數據傳輸到網站或從網站傳輸時,能極大化降低數據洩漏的風險,否則你將會是駭客眼中的軟柿子。
・確認身份-當要安裝 SSL 憑證時,必須經過憑證頒發機構(CA)的驗證過程。根據憑證的類型等級,CA 會驗證身份。此類驗證可確保沒有冒名頂替者會假冒身分。因此,SSL 還可以幫助用戶進入真實網站,使訪客避免網路釣魚被詐欺。
