[Secure101] 從歷史到分級, 一篇文章看懂什麼是 SSL

#資訊安全

[Secure101] 從歷史到分級, 一篇文章看懂什麼是 SSL

讓你的網站被使用者信任的第一步:http「S」。

網頁設計的再美麗,沒有S,還是很難被使用者信任。

SSL尚未問世前,網路傳輸沒有加密,很難在網站中對公司進行身份識別,處於不安全的網路環境。SSL的出現,對網路的世界影響極大,有了加密及認證機制,才讓信用卡線上刷卡與網路金流變得可靠足以信任,也才能帶動電子商務蓬勃發展至今。

今天這篇文章會從這個S的故事開始説起...

SSL的故事

SSL(Secure Sockets Layer)

傳輸層安全協定。由90年代瀏覽器霸主Netscape公司發起,SSL之父塔希爾·蓋莫爾(Taher Elgamal)編寫,是一種使用者與網站之間溝通加密的技術,使內容不被竊取,若不幸遭竊,也會是一堆無法解讀取的亂碼。

SSL1.0由於使用弱加密算法,存在重大漏洞,一直個未公開的測試版。此後,SSL2.0與3.0分別於1995、1996年問世,後因設計缺陷,已於2015年全部被伺服器棄用。

TLS(Transport Layer Security)

TSL1.0於1999年推出,為SSL3.0的升級版,此時SSL2.0與3.0還未退役,歷史上的這段時間,SSL與TSL是共同存在的。在SSL被棄用後,TSL正式成為主流協定。最新版本為2018年推出的TSL1.3,相較TSL1.2,有超過10項以上的修正,是歷來最大的改動。

如今SSL協定已面停用,但「SSL」名稱已深植人心,被TSL取代的多年後,溝通上,我們仍稱傳輸層安全協定為SSL

SSL的原理概述

所有伺服器中,都存在著一個認證的「發證機構清單」,只要是這清單內的機構發出的認證,都會受到伺服器承認,出現網址前的小鎖頭。但在核發證書給任何網站前,網站及網站主、公司,都會受到審查,根據審查的細緻度與難易度,出現了SSL的分級標準。

舉例來說,A公司是被伺服器認證的發證機構,你向他申請證書,他發證書給你後, Chrome、safari或任何瀏覽器因內建信任A公司的憑證,也就會信任被A公司授與證書的你的網頁。

假如A公司沒有盡到審核的義務,讓一些阿貓阿狗通過認證,那麼他可能會被撤銷發證的權利,全世界用A公司證書的網站會全部不被瀏覽器信任。

(延伸閱讀:違反多項憑證機構要求,Chrome 全面取消對中國沃通的 SSL 證書信任

如何分級?

SSL演變至今,功能上除了加密資訊外,還分成認證網域、認證企業等功能,當然層級越高審核方式越嚴苛,也越安全。

現在,大部分網站設計公司在網站上架前都至少會做到DV認證。

(圖片出處/延伸閱讀:How does an end user differentiate between OV and DV certificates?

上三張圖為DV或OV認證的鎖頭,下三張圖為EV認證,整個公司名稱或整條欄位變綠色,並不是每個瀏覽器都會讓認證高的網頁名稱轉綠色,若想知道網頁更進一步的認證資訊,可以點擊小鎖頭。

補充:2018年9月開始,Google已經慢慢拿掉「綠色小鎖頭」了,目的是希望表達

「https應是常態」,不安全的才會被標示「不安全」進行警告,再見小綠鎖!

為什麼要買SSL?

  1. 只要有購買SSL,不論層級,網址前都會出現小鎖頭,讓使用者逛得更放心。

  2. Google表示有SSL的網站會優先收錄,凡有受到SSL保護的網站,皆對SEO有正向的幫助。

  3. SSL憑證不僅能有效降低被駭機率,資料即便被竊取了也無法被破解,只會是一團亂碼,保護隱私安全。

跟誰買?怎麼買?

網路上反手搜尋,此類供應商及商品琳瑯滿目。知名供應商有戰國策、GoDaddy、中華電信、亞太電信、遠振資訊、捕夢網等,基本上,可以買網域的公司也可以買到SSL憑證,選擇自己與業界都信賴的公司一站購足,是最安全且實惠的方式。

詢價時注意開始生效日期、保護範圍,以及最重要的,假若被破解的「賠償金」,與自身需求以及預算比對即可。

早年還未特別注重SSL時製作的網站,現在依然可以加買憑證,可洽各大供應商或網站設計公司。

網域名稱跟誰買? 購買注意事項 | 夏木樂網頁設計

網域名稱跟誰買? 購買注意事項 | 夏木樂網頁設計

結論

建議使用者,除了沒事不要點一看就是詐騙的一頁式購物網站外,在任何網站上留下Email、電話以及信用卡帳號等個資時,一定要特別注意安全層級,才能妥善保護自身安全。

建議網站主,為了做好SEO,提升形象、取得使用者的信任,應購買SSL,若對於購買層級及費用有疑問,可洽網站設計公司,或洽 夏木樂,品牌網頁設計專家,讓我們幫你從網頁設計開始,提供最好的服務。

相關文章