SSL数位凭证是种网路连线的验证、加密解密的技术,用来验证网站身份、保护与验证资料传送时(例如网页伺服器和使用者的浏览器之间)的完整性与安全性。若网站有安装SSL,我们在浏览网站时,和网站之间传送的资料,就会先被加密、再传送。 那为什么需要使用SSL呢? 因为SSL可以让我们的资料更安全被传送,避免传送的资料被窃取或变更,也可以增加客户对我们的信任。而且Google在2008年已有声明,若网站未使用SSL连线,会将网站标视为不安全,这将会影响使用者对我们的信任。因此,SSL不仅可以增加客户对我们的信任,对于网站的SEO通常也会有正面的帮助。
SSL的好处、优点?
- 安全: 安装SSL,使网友和主机间使用加密的方式连线,最直接的好处与优点是让传输的资料受到保护,增加资料安全、降低资料泄漏的风险。
- 信任感: 要取得SSL凭证,需要有凭证颁发机构(CA)的认证,因为SSL能提供更安全的资料传输,使网友、客户与主机间传送的资料受到保护,便可提升网友与客户对于网站的信任感。
- 网站SEO :因为Google等搜寻引擎非常注重使用者的安全和隐私,使用SSL等于保障使用者的资料安全,相较于没有使用SSL的网站,若有使用SSL,网站通常可在Google等搜寻引擎的有比较好SEO排序、自然搜寻排名。
SSL和http、httpS间有什么关系
在提到http跟httS的差异前,我们先来说说「明文」跟「密文」的差异。举例来说,我们有串文字1234要传给其他人:
- 如果我们在纸上直接写1234这种大家都能辨识的文字,当有其他人看到这张纸时,也能直接知道这张纸的内容是1234,这就叫明文。
- 如果我们把1234改成一串乱码,例如s8tkkE2M7fs,当有其他人看到这张纸,只能看到一串乱码的文字,就无法直接知道我们是在讲1234,是吧,那我们可以称作这是密文。
而我们在浏览网站时,可能会在浏览器上输入帐号、密码、信用卡卡号..等重要资料,再传送到网站上。如果我们用「明文」的方式传送,在这传送过程中,如果有人在窃听我们传送的资料,那不就直接被看光这些重要资料? 如果我们用「密文」的方式传送,即使真的被窃听了,那对方也很难直接知道我们在传送什么资料,而是要解密后,才能知道传送的内容。
一般网站的网址用http 连结时,就是用「明文」的方式传送,如果我们帮网站安装SSL数位凭证,让网站的连结变成httpS ,那传送资料时,就会用密文的方式传送,这样是不是比较安全呢。因此,SSL安全凭证兼具了加密、资料完整性和验证等安全保护。
SSL和TLS的差异在哪
SSL是Secure Sockets Layer(安全通讯协定)的缩写,也是最初安全凭证的统称。 SSL从问世开始,陆续推出1.0、2.0和3.0等不同版本,但随着技术的演进,当初的设计显得不够周延与安全,便另外开发出TLS(Transport Layer Security的缩写,传输层安全性协定)。
TLS是改良SSL后的协定,没有命名为SSL V4.0或其他版本,这是因为TLS使用不同的协定,但其本质、用途和当初设计SSL的目的相同,都是用来强化网路传输时的安全。因此,即使我们目前使用的数位凭证是用TLS的方式来设计,我们仍统称其为SSL。
SSL的申请、设定与运作方式
如果要在主机上安装SSL数位凭证,让网站可以使用httpS 的方式来连线,我们可以分成(1)申请、设定和(2)运作两大部分来做说明。
- 申请、设定: 我们得依据自己的需求,申请一个合适的SSL凭证,再将产生好的CSR提交给凭证商、进行认证,当凭证商完成认证后,会将SSL凭证回覆给我们,我们再将SSL凭证安装在我们的主机上,这样网站就具备用httpS 连线的能力。
- 运作: 若已经在主机上安装好SSL凭证,网友就能用httpS 的方式正常开启我们的网站,而主机和浏览器之间传送的资料,就会经过加密与解密。当然,这些加密与解密的过程都是浏览器在运作的,我们一般使用者并不需要去理解,所以不影响我们浏览网页。
SSL的认证等级
我们的电脑跟网站在进行httpS连线时,会需要使用SSL凭证来作加密与解密,而这个SSL凭证需要有个公正有权威性的第三方机构来做认证,我们称这个机构为凭证授权机构(CA)、认证机构或凭证商。而凭证商所核发的SSL数位凭证,依照验证程序的多寡、严谨度,可以分成三种等级
- 网域验证(DV) : 网域验证的SSL凭证是我们最常见的,个人或公司都可以申请。在申请后,提交CSR等资讯给凭证商,再透过EMAIL或网域纪录等方式完成验证,就可以拿到凭证档来安装,快的话,几个小时内就可以完成所有程序。
- 组织验证(OV) : 有别于网域验证,组织验证只有公司才能申请。申请时,需要提出公司的证件给凭证商做审核,在审核完毕后,凭证商才会提供凭证档给我们。由于需要人工审核资料,通常需要数天的时间。
- 延伸验证(EV) : 延伸凭证和组织凭证一样,都只有公司才能申请、都需要提交公司的书面证件,但更严格的是,凭证商会透过电话验证..等方式来验证申请人的真伪,因此,申请程序相对麻烦,也需更多的时间来处理。但比较特别的是,在浏览器上检视凭证时,会显示这个公司的资讯,让凭证可信任度更高。
SSL依据网站数做分类
我们可以知道,每个网站的网址是由网域组成,而网域又可以设定成不同的子网域,因此,SSL也依据网域的个数提供不同的分类:
- 单网域: 单网域类型是我们最常见的SSL凭证。一个SSL凭证只能用来验证一个网域,价格也是最便宜的。
- 多网域: 多网域又称为SAN或UCC,常见于一间公司可能有不同网域,但想用同一组CSR、Key来验证和安装。
- 多子网域: 举例来说,我们公司的网域是wanteasy.com.tw,一般单网域的SSL凭证只能验证wanteasy.com.tw和www.wanteasy.com.tw,如果我们公司用子网域blog.wanteasy.com.tw架设一个部落格,那就只能另外买一个单网域的凭证,或是直接购买一个多子网域的凭证,这样才能安装在不同的子网域上。
如何判断网站是否有安装SSL安全凭证
- 如果您开启一个网站时,网址左侧有显示完整的锁头,就是代表有使用SSL。如果锁头上有黄色的惊叹号,代表这个SSL凭证可能有问题,或是这个网站内有部份连结没有使用SSL。
- 如果网站的连结是httpS 开头,也没有出现凭证错误,就代表网站是有安装SSL凭证。如果您连结的网址是用http,代表您当下连结的网站,并未使用SSL。
SSL的费用? SSL怎么收费?
一般来说,网域验证、单网域的SSL比较便宜。
- 如果您希望使用知名度较高的凭证商所核发的凭证,费用会比较高。
- 以认证等级来说,网域验证(DV)的费用比较亲民,组织验证(OV)的费用次之,而延伸验证(EV)的费用最贵。
- 如果您只是要架WordPress部落格、简易的公司形象网站,也有购买我们的虚拟主机,建议可以考虑使用我们免费版的SSL凭证即可,这样每年可以省下一笔SSL的费用。
常见问题
购买SSL一定需要搭配独立IP吗?
好一段时间之前,若要安装SSL,确实得帮网站准备独立的IP。但后来的SSL、浏览器与网页伺服器支援SNI(Server Name Indication的简称)技术后,不需独立IP就可以安装SSL了。
为什么会出现「你的连线不是私人连线」?
如果网站使用主机自己核发的SSL凭证,或是浏览器无法辨识该凭证的核发厂商,当你用httpS开启这个网站时,就可能出现「本网站可能有安全性风险」、「您的连线并非私人连线」这些SSL的连线错误和警告。如果你是购买比较大厂牌的SSL、在正确安装后,出现这类错误的机会通常比较低。
http和httpS算是不同的连结? 安装SSL后,需要设定301转址吗?
对搜寻引擎来说,虽然视同一笔网域(例如ddv6.com),但http://ddv6.com和httpS://ddv6.com被视为不同的网址。因此,当您购买、安装SSL后,必需主机端设定301转址,让http:// 的网址自动转址到httpS:// 上,这样对搜寻引擎来说,才不会有重复网页的问题。
网站有安装SSL数位凭证,就100%安全吗? 都不会被入侵吗?
网站安全涉及到很广泛的问题,包含主机、网站、网路连线..等层面,并非安装SSL凭证后就100%安全。只是安装SSL后,让访客再连结网站时采httpS的连线方式,加密传送的资料,让这安全性多一层保护。
记者问Charlie Puth为什么mv里没有傻脸,猹回他“We don’t talk anymore.”🌚