SSL代表安全套接字層。它是用於保護和驗證Internet資料的重要協議。由於Encrypt All The Things和Google推動更廣泛採用SSL之類的運動,SSL已成為網路圈子中的熱門話題。但儘管如此,許多網站管理員仍然不確定SSL的工作原理以及它的重要性……甚至不確定SSL最初代表什麼!
雖然我們已經介紹了首字母縮略詞的含義,但我們將在本條目中更深入地挖掘並告訴您SSL是什麼,以及它如何使網路成為您和您網站訪問者的更好場所。
SSL代表什麼?SSL的工作原理
重申一下——SSL代表安全套接字層。它是一種用於加密和驗證應用程式(如瀏覽器)和Web伺服器之間傳送的資料的協議。這將為您和您網站的訪問者帶來更安全的網路。SSL與另一個首字母縮寫詞TLS密切相關。TLS是Transport Layer Security 的縮寫,是原始SSL協議的繼承者和更新版本。
如今,SSL和TLS通常被稱為一個組(例如 SSL/TLS)或可互換使用。例如,Let’s Encrypt(我們將在稍後詳細討論)廣告提供“免費SSL/TLS證書”。但是您還會發現很多網站只是簡單地討論SSL證書,即使它們實際上是指TLS。
結合SSL和TLS的示例
那麼SSL最初從何而來,我們又是如何通過TLS走到今天的呢?SSL 1.0版是由Netscape在1990年代初期開發的。但由於安全漏洞,它從未向公眾釋出。SSL的第一個公開版本是1995年2月的SSL 2.0。雖然它是對未釋出的SSL 1.0的改進,但SSL 2.0也包含自己的一組安全缺陷,這導致完全重新設計和隨後釋出的SSL 3.0版一年後。
SSL 3.0版是最後一個公開版本,並在1999年引入TLS作為替代品時黯然失色。此時,SSL 3.0已被棄用且不再被視為安全,因為它容易受到POODLE攻擊。至於TLS,它現在在TLS 1.3上,它提供了許多效能和安全性的改進。
那為什麼我們不都使用TLS證書呢?
你很可能是。儘管網路社羣為了方便起見通常將它們稱為SSL證書,但證書實際上並不依賴於其名稱中的特定協議。相反,使用的實際協議由您的伺服器決定。這意味著即使您認為您安裝了稱為SSL證書的東西,您實際上很可能正在使用更新和安全的TLS協議。
但是,在網路社羣採用 TLS 術語之前,您可能會繼續看到此類證書,為簡單起見,這些證書通常稱為 SSL 證書。
HTTPS和SSL如何連線?
建立Internet的人喜歡他們的首字母縮略詞 – 在談論SSL/TLS時您經常會看到的另一個術語是HTTPS。 HTTP(不帶S)代表超文字傳輸協議。
HTTP及其後繼HTTP/2都是支援資訊在Internet上傳輸的應用程式協議。它們本質上是Internet上資料通訊的基礎。當您新增回S時,它只是成為超文字傳輸協議安全(或HTTP over TLS或HTTP over SSL)。
本質上,SSL/TLS保護通過HTTP傳送和接收的資訊。這有很多好處……
使用SSL/TLS的好處是什麼?
許多網站管理員錯誤地假設SSL/TLS只為處理信用卡或銀行詳細資訊等敏感資訊的站點提供好處。雖然SSL/TLS對這些站點來說肯定是必不可少的,但它的好處絕不僅限於這些領域。
SSL/TLS的主要優點之一是加密。每當您或您的使用者在您的站點上輸入資訊時,該資料在到達最終目的地之前都會經過多個接觸點。如果沒有SSL/TLS,這些資料會以純文字形式傳送,惡意行為者可以竊聽或更改這些資料。SSL/TLS提供點對點保護,以確保資料在傳輸過程中是安全的。即使是WordPress登入頁面也應該加密!如果SSL證書存在但無效,您的訪問者可能會遇到“您的連線不是私密連線”錯誤。
另一個主要好處是身份驗證。有效的SSL/TLS連線可確保將資料傳送到正確的伺服器和從正確的伺服器接收資料,而不是惡意的“中間人”。也就是說,它有助於防止惡意行為者錯誤地冒充站點。
SSL/TLS的第三個核心優勢是資料完整性。SSL/TLS連線通過包含訊息身份驗證程式碼或MAC,確保在傳輸過程中不會丟失或更改資料。這可確保接收傳送的資料而不會進行任何更改或惡意更改。
除了加密、真實性和完整性之外,還有其他技術較少的好處,例如:
- 提高Google自然搜尋排名的潛力
- 提高與訪客的信任度
如何判斷網站是否使用SSL/HTTPS?
檢視網站是否使用SSL/TLS的最簡單方法是檢視您的瀏覽器。大多數瀏覽器用綠色掛鎖和/或訊息標記安全連線。例如,在Google Chrome中,您可以查詢綠色掛鎖和安全訊息:
Google Chrome如何顯示HTTPS
在 Firefox 中,您只會看到一個掛鎖:
Firefox如何顯示HTTPS
在Microsoft Edge中,您實際上看不到顏色,而是一個簡單的灰白色掛鎖。
Edge如何顯示HTTPS
谷歌會懲罰不使用SSL的網站嗎?
最近,谷歌在谷歌瀏覽器中針對未能安裝SSL證書的網站推出了一套越來越嚴厲的處罰/警告。這些處罰始於2017年1月,在沒有SSL證書的情況下要求提供信用卡詳細資訊或密碼的頁面上引入了不安全警告:
2017年10月起Chrome不安全警告
這一變化是谷歌推動增加SSL和HTTPS使用的第一個推動力。但最近,他們進一步加大了力度。
2017年10月增加的不安全警告
2017年10月,谷歌推出了更加激進的通知。從Chrome 62(2017年10月17日釋出)開始,Google新增了不安全警告:
- 使用者輸入任何型別資料的所有HTTP頁面,包括像搜尋框這樣簡單的內容。該警告不會出現在初始頁面載入時,但會在使用者開始在欄位中輸入資料時出現
- Chrome隱身模式下的所有HTTP頁面
Chrome不安全警告
谷歌只會變得更具侵略性
Google的長期計劃 是最終將所有HTTP頁面標記為Not secure。這意味著即使您不要求使用者填寫任何型別的表單欄位,無論如何您最終都會收到警告。因此,您現在就開始計劃遷移到SSL/TLS和HTTPS非常重要。
2020年,當站點使用TLS 1.0或TLS 1.1(舊版本)時,Chrome開始顯示ERR_SSL_OBSOLETE_VERSION警告通知。
如何在您的網站上安裝SSL證書
許多主機可以輕鬆安裝免費的SSL/TLS證書。一般個人站長最有可能使用名為Let’s Encrypt的服務,該服務提供免費的SSL/TLS證書。你可以檢視詳細的Let’s Encrypt證書申請及安裝教學。
如果您的主機不提供免費SSL證書,或者您想要其他型別的SSL證書,您也可以從第三方提供商處購買自己的證書。
安裝SSL證書後的操作
是的 – 在安裝SSL證書後,您需要執行技術和非技術操作。首先,在技術層面上,將所有HTTP流量重定向到HTTPS很重要。您還應該確保您沒有通過HTTP載入任何資產。通常,這將是您自己的影象或您拉入的外部內容,例如指令碼或外部廣告服務。這有助於您避免混合內容警告。
除了這兩個技術細節之外,您可能還需要執行以下任務,具體取決於您使用的工具:
- 在Google網站管理員工具中新增您網站的HTTPS版本。
- 確保將Google Analytics或其他跟蹤指令碼設定為使用HTTPS。
- 確保您沒有收到任何與SSL連線相關的錯誤訊息。
總而言之,SSL/TLS是建立安全、可靠的網路的重要協議。現在您已經瞭解SSL的工作原理,如果您還沒有進行轉換,我們鼓勵您考慮安裝SSL/TLS證書並將您的站點移至HTTPS。
我們有一個非常詳細的HTTP到HTTPS遷移教學,請確保您閱讀它並按照步驟操作!
評論留言