SSL數位憑證

什麼是SSL憑證? SSL有什麼好處和優點? 為什麼需要使用SSL?

SSL數位憑證是種網路連線的驗證、加密解密的技術,用來驗證網站身份、保護與驗證資料傳送時(例如網頁伺服器和使用者的瀏覽器之間)的完整性與安全性。若網站有安裝SSL,我們在瀏覽網站時,和網站之間傳送的資料,就會先被加密、再傳送。 那為什麼需要使用SSL呢? 因為SSL可以讓我們的資料更安全被傳送,避免傳送的資料被竊取或變更,也可以增加客戶對我們的信任。而且Google在2008年已有聲明,若網站未使用SSL連線,會將網站標視為不安全,這將會影響使用者對我們的信任。因此,SSL不僅可以增加客戶對我們的信任,對於網站的SEO通常也會有正面的幫助。

使用SSL的好處、優點?

  • 安全: 安裝SSL,使網友和主機間使用加密的方式連線,最直接的好處與優點是讓傳輸的資料受到保護,增加資料安全、降低資料洩漏的風險。
  • 信任感: 要取得SSL憑證,需要有憑證頒發機構(CA)的認證,因為SSL能提供更安全的資料傳輸,使網友、客戶與主機間傳送的資料受到保護,便可提升網友與客戶對於網站的信任感。
  • 網站SEO:因為Google等搜尋引擎非常注重使用者的安全和隱私,使用SSL等於保障使用者的資料安全,相較於沒有使用SSL的網站,若有使用SSL,網站通常可在Google等搜尋引擎的有比較好SEO排序、自然搜尋排名。

SSL和http、httpS間有什麼關係

在提到http跟httS的差異前,我們先來說說「明文」跟「密文」的差異。舉例來說,我們有串文字1234要傳給其他人:
  • 如果我們在紙上直接寫1234這種大家都能辨識的文字,當有其他人看到這張紙時,也能直接知道這張紙的內容是1234,這就叫明文。
  • 如果我們把1234改成一串亂碼,例如s8tkkE2M7fs,當有其他人看到這張紙,只能看到一串亂碼的文字,就無法直接知道我們是在講1234,是吧,那我們可以稱作這是密文。

而我們在瀏覽網站時,可能會在瀏覽器上輸入帳號、密碼、信用卡卡號..等重要資料,再傳送到網站上。如果我們用「明文」的方式傳送,在這傳送過程中,如果有人在竊聽我們傳送的資料,那不就直接被看光這些重要資料? 如果我們用「密文」的方式傳送,即使真的被竊聽了,那對方也很難直接知道我們在傳送什麼資料,而是要解密後,才能知道傳送的內容。

一般網站的網址用 http 連結時,就是用「明文」的方式傳送,如果我們幫網站安裝SSL數位憑證,讓網站的連結變成 httpS ,那傳送資料時,就會用密文的方式傳送,這樣是不是比較安全呢。因此,SSL安全憑證兼具了加密、資料完整性和驗證等安全保護。

SSL和TLS的差異在哪

SSL是 Secure Sockets Layer(安全通訊協定)的縮寫,也是最初安全憑證的統稱。SSL從問世開始,陸續推出1.0、2.0和3.0等不同版本,但隨著技術的演進,當初的設計顯得不夠周延與安全,便另外開發出TLS(Transport Layer Security的縮寫,傳輸層安全性協定)。

TLS是改良SSL後的協定,沒有命名為SSL V4.0或其他版本,這是因為TLS使用不同的協定,但其本質、用途和當初設計SSL的目的相同,都是用來強化網路傳輸時的安全。因此,即使我們目前使用的數位憑證是用TLS的方式來設計,我們仍統稱其為SSL。

SSL的申請、設定與運作方式

如果要在主機上安裝SSL數位憑證,讓網站可以使用 httpS 的方式來連線,我們可以分成(1)申請、設定 和 (2)運作 兩大部分來做說明。

  1. 申請、設定: 我們得依據自己的需求,申請一個合適的SSL憑證,再將產生好的CSR提交給憑證商、進行認證,當憑證商完成認證後,會將SSL憑證回覆給我們,我們再將SSL憑證安裝在我們的主機上,這樣網站就具備用 httpS 連線的能力。
  2. 運作: 若已經在主機上安裝好SSL憑證,網友就能用 httpS 的方式正常開啟我們的網站,而主機和瀏覽器之間傳送的資料,就會經過加密與解密。當然,這些加密與解密的過程都是瀏覽器在運作的,我們一般使用者並不需要去理解,所以不影響我們瀏覽網頁。

SSL的認證等級

我們的電腦跟網站在進行httpS連線時,會需要使用SSL憑證來作加密與解密,而這個SSL憑證需要有個公正有權威性的第三方機構來做認證,我們稱這個機構為憑證授權機構(CA)、認證機構或憑證商。而憑證商所核發的SSL數位憑證,依照驗證程序的多寡、嚴謹度,可以分成三種等級

  1. 網域驗證(DV): 網域驗證的SSL憑證是我們最常見的,個人或公司都可以申請。在申請後,提交CSR等資訊給憑證商,再透過EMAIL或網域紀錄等方式完成驗證,就可以拿到憑證檔來安裝,快的話,幾個小時內就可以完成所有程序。
  2. 組織驗證(OV): 有別於網域驗證,組織驗證只有公司才能申請。申請時,需要提出公司的證件給憑證商做審核,在審核完畢後,憑證商才會提供憑證檔給我們。由於需要人工審核資料,通常需要數天的時間。
  3. 延伸驗證(EV): 延伸憑證和組織憑證一樣,都只有公司才能申請、都需要提交公司的書面證件,但更嚴格的是,憑證商會透過電話驗證..等方式來驗證申請人的真偽,因此,申請程序相對麻煩,也需更多的時間來處理。但比較特別的是,在瀏覽器上檢視憑證時,會顯示這個公司的資訊,讓憑證可信任度更高。

SSL依據網站數做分類

我們可以知道,每個網站的網址是由網域組成,而網域又可以設定成不同的子網域,因此,SSL也依據網域的個數提供不同的分類:

  1. 單網域: 單網域類型是我們最常見的SSL憑證。一個SSL憑證只能用來驗證一個網域,價格也是最便宜的。
  2. 多網域: 多網域又稱為SAN或UCC,常見於一間公司可能有不同網域,但想用同一組CSR、Key來驗證和安裝。
  3. 多子網域: 舉例來說,我們公司的網域是wanteasy.com.tw,一般單網域的SSL憑證只能驗證wanteasy.com.tw和www.wanteasy.com.tw,如果我們公司用子網域blog.wanteasy.com.tw架設一個部落格,那就只能另外買一個單網域的憑證,或是直接購買一個多子網域的憑證,這樣才能安裝在不同的子網域上。

如何判斷網站是否有安裝SSL安全憑證

  1. 如果您開啟一個網站時,網址左側有顯示完整的鎖頭,就是代表有使用SSL。如果鎖頭上有黃色的驚嘆號,代表這個SSL憑證可能有問題,或是這個網站內有部份連結沒有使用SSL。
  2. 如果網站的連結是 httpS 開頭,也沒有出現憑證錯誤,就代表網站是有安裝SSL憑證。如果您連結的網址是用 http,代表您當下連結的網站,並未使用SSL。

SSL的費用? SSL怎麼收費?

一般來說,網域驗證、單網域的SSL比較便宜。

  1. 如果您希望使用知名度較高的憑證商所核發的憑證,費用會比較高。
  2. 以認證等級來說,網域驗證(DV)的費用比較親民,組織驗證(OV)的費用次之,而延伸驗證(EV)的費用最貴。
  3. 如果您只是要架WordPress部落格、簡易的公司形象網站,也有購買我們的虛擬主機,建議可以考慮使用我們免費版的SSL憑證即可,這樣每年可以省下一筆SSL的費用。

常見問題

購買SSL一定需要搭配獨立IP嗎?

好一段時間之前,若要安裝SSL,確實得幫網站準備獨立的IP。但後來的SSL、瀏覽器與網頁伺服器支援SNI(Server Name Indication的簡稱)技術後,不需獨立IP就可以安裝SSL了。

為什麼會出現「你的連線不是私人連線」?

如果網站使用主機自己核發的SSL憑證,或是瀏覽器無法辨識該憑證的核發廠商,當你用httpS開啟這個網站時,就可能出現「本網站可能有安全性風險」、「您的連線並非私人連線」這些SSL的連線錯誤和警告。如果你是購買比較大廠牌的SSL、在正確安裝後,出現這類錯誤的機會通常比較低。

http和httpS算是不同的連結? 安裝SSL後,需要設定301轉址嗎?

對搜尋引擎來說,雖然視同一筆網域(例如wanteasy.com.tw),但 http://wanteasy.com.tw 和 httpS://wanteasy.com.tw 被視為不同的網址。因此,當您購買、安裝SSL後,必需主機端設定301轉址,讓 http:// 的網址自動轉址到 httpS:// 上,這樣對搜尋引擎來說,才不會有重複網頁的問題。

網站有安裝SSL數位憑證,就100%安全嗎? 都不會被入侵嗎?

網站安全涉及到很廣泛的問題,包含主機、網站、網路連線..等層面,並非安裝SSL憑證後就100%安全。只是安裝SSL後,讓訪客再連結網站時採httpS的連線方式,加密傳送的資料,讓這安全性多一層保護。

要開始架網站了嗎? 還是仍有問題呢?

歡迎您直接申請主機方案來架設網站、將網站搬移到我們的虛擬主機,也歡迎試用我們的虛擬主機。當然,如果有任何不清楚的地方,歡迎填寫問題單和我們聯繫。