HTTPS 、 SSL 是什麼？ SSL憑證對網站來說重要嗎？

內容目錄

一、SSL、HTTPS是什麼？

HTTPS 、 SSL 是什麼？ SSL憑證對網站來說重要嗎？—-在了解一項未知的事物時，第一步要先知道其名稱是如何解釋，SSL完整的英文是 Secure Sockets Layer ，在國家教育研究學院-學術名詞中所查詢的結果，其翻譯為通訊安全協定、安全性通訊層、安全資料傳輸層等中文名稱，而在金管會的定義則為安全保密付款機制，是一種網站保護使用者個人資料、聯絡方式、付款資訊等不被第三方所攔截的技術方法。而其運作的原理，就是當網站有申請SSL通訊安全協定時，使用者透過網路連線到網站伺服器時，會傳送要求建立安全連線的訊息給網站伺服器，這個訊息中包含加密密碼演算的函數式列表，也就是通訊安全協定的版本以及亂數，而當網站伺服器接收到訊息後，從其加密密碼的列表中決定密碼組合以及採用的通訊安全協定版本，並通知使用者所決定的密碼組合，接者伺服器再回傳數位憑證(CA，具有高信任度機構所頒發的憑證)以及金鑰(由程式演算出來的隨機密碼)給使用者，接者就會以非對稱加密方式進行雙方的身份認證，當認證成功後，在關閉連線之前，所有傳輸的資料都會在加密的狀態下進行傳輸。

那麼，SSL是透過怎樣的方式保護資料不被第三方所竊取呢？這就要從非對稱加密系統這件事講起了，非對稱加密的運作方式簡單來說就是當在實施SSL驗證連線時，網站伺服器這一方會產生一組非對稱金鑰 ，分別是加密金鑰(會公開傳輸，又稱公鑰)以及解密金鑰(不會傳輸保留私用，又稱私鑰) ，網站伺服器會將加密金鑰預先傳輸給使用者，自己保留解密金鑰;而當使用者收到金鑰後，會將想要傳送到伺服器的資料透過剛剛收到的加密金鑰進行加密，再將加密過的資料回傳給伺服器，網站伺服器收到資料後使用自己剛剛保留的解密金鑰將資料解密以接收訊息。透過複雜的運算方法，讓第三方有心人士就算竊取到資料，也會因為缺少解密金鑰而無法得到正確的訊息，只能看到亂碼。

圖片來源：https://commons.wikimedia.org/wiki/ 、作者：Essich

那HTTPS跟SSL又有怎樣的關係呢？在使用瀏覽器上網時請注意看到網址列開頭的部分，有區分為 http及https，以http開頭的網址其網站所有資料均是以明碼傳輸，也就是説任何的網站資料傳輸對第三方而言是相當容易竊取運用的;而https則是透過申請安裝SSL憑證，讓網站所有的資料都會經過加密後才開始傳送。如果是使用 Google 的 Chrome 上網，會發現在網址列的前方會有三種不同的圖示警訊:

第一種：具有鎖頭圖示的綠色安全字樣，表示在這個網站內所有傳輸的內容都是受到加密保護。
第二種：驚嘆號及黑色不安全字樣，網站的安全性憑證是有效的但資料不是以加密方式傳輸，也就是http形式的網址，Google對於這樣的網站通常都會顯示個人資訊、帳號、密碼等可能會遭竊取的警訊。
第三種：紅色三角型驚嘆號及斜線標示為高危險的網站，不具有任何安全性憑證或憑證無效，不具有加密傳輸方式，在前幾年Chrome只是會跳出警告頁面，在畫面的下方還是有選項讓使用者可以決定是否繼續前往，而現在Chrome越來越重視使用者在網路上的個人隱私權保護，因此現在無論是更改https成http重新載入，或者是繼續前往的選項，都無法進入網站，只會跳出警告的畫面，而如果想要進入到網站就必須到Chrome瀏覽器設定中更改安全性及隱私權的選項，才能夠順利進入網站。

2018年9月更新：Google Chrome 瀏覽器在今年對 https http 在網址列上的顯示方式不斷修改，上述內容是舊版的顯示方式，最新變更內容可以參考這一篇文章：

http https 如何顯示? Google 9 月將移除 https 安全性綠鎖圖示

二、SSL對網站重要嗎？

在2018年1月以及2018年3月，分別發生了蘋果晶片漏洞造成用戶個資外洩，以及FB臉書遭英國分析公司以心理測驗應用竊取大量用戶資料的新聞，造成了兩家世界知名的品牌形象重創，損失的金額也相當驚人，雖然這兩則新聞個資外洩與SSL並沒有直接的關係，但可以側面了解到這兩則有關個人隱私權的消息對於普遍使用者的上網習慣會產生很大的影響，沒有人願意個人資料遭受他人非法挪用，更沒有人希望自己的帳戶被盜領或信用卡被盜刷，因此一個網站是否具有主動保護使用者個人資料的措施，對於網站品牌信任度的影響會越來越大，關於網站安全的最新消息，請參考：GDPR歐盟個人資料保護法規發佈，網站快速建立隱私政策！。為網站建立SSL憑證的理由，我想區分為兩個面向，以下說明：

圖片來源：https://www.flickr.com/photos/smemon、作者：Sean MacEntee

(一) 網路行銷的面向：Google在2014年8月發表了HTTPS as a ranking signal 這一篇通告給所有的網站管理員，其中明確指出為了確保在搜尋結果中每一個網站頁面都具有安全性，網站是否採用 SSL憑證進行資料傳輸，將納入 SEO 搜尋引擎網站排名優化的要素之一，只要為網站安裝SSL憑證的功能，就為網站獲得 SEO 優化的分數。 SEO 是能幫助網站在搜尋結果中獲得更好排名，讓消費者在搜尋時可以最快找到一種優化方法，因此SSL對於網站排名是有幫助的。另外 Google 在2016年9月也發佈了另一則消息明年起Chrome將把含機密資訊的HTTP網頁標示為「不安全」，Google對於網站安全這個議題只有隨著時間推移越來越重視，到了今年 Google 已經會 “主動 “告知使用者，那些網站的內容是不安全的，容易遭受攻擊或個資會有洩漏風險的，如此明顯的提示，很大層面上的影響使用者的網站停留意願。

(二)使用者體驗的面向：假設今天你今天想要上網購買特定的商品，進入了購物網站，挑了許多喜歡的商品加入購物車，在跳轉結帳頁面等待的時間你無意中瞄到網址的地方標示著 “不安全”，因為平常很少注意到網址列的你，只是單純覺得是不是自己的電腦壞了？於是好奇之下點了驚嘆號進入瀏覽器的錯誤說明頁面，上面寫著 ” 你與這個網站的連線不安全，請勿在這個網站上輸入任何機密資訊 (例如密碼或信用卡號碼)，以免遭到攻擊者竊取。” 的文字，再往下看了一眼網頁，顯示的是確認商品及輸入信用卡卡號的結帳步驟，這時候的你，是繼續購物，還是關掉網頁，換到其它的購物網站？

這是筆者假設的狀況，有更多可能性的是，科技業個資外洩的新聞報得滿城風雨，沸沸揚揚，於是有更多的使用者為了保障在網路上的個人隱私權，開始去了解如何確保在網站上購物的安全，或如何得知這個網站是可以信任的相關訊息，於是在網路上搜尋出來的結果就是類似剛剛Google所發的通告被新聞媒體拿來發新聞稿的報導，接下來只要看過這篇報導的使用者，進入網站的第一件事說不定就是會先檢查網站是不是綠色的安全字樣，是的話才會繼續在網站內停留。

除了上述的假設狀況，另外一種會是任何人都不會想面對的麻煩問題，如果因為網站沒有設置SSL驗證導致網站內會員個人資料遭竊取，每一個遭竊取資料的使用者都有向你的網站控告求償的權利，屆時開啟法律訴訟程序所必需花費的金錢以及時間，遠遠超過每年購買安裝SSL憑證保護網站的成本，完全是得不償失。