為網站申請身分證吧-伺服器憑證(SSL)

隨著網路遍布、連結起全世界,商品購買和資訊往來也越來越密切。但在此之中,總有一些邪惡的駭客或小偷,想趁機盜取用戶的信用卡或帳號密碼。

許多人可能都有過下述經驗──接到詐騙電話、對方說出你曾經在XX商城購買商品的紀錄。然後現在系統稍稍出了差錯,叫你購買點數、或再匯款過去。

層出不窮的網站被駭或資料外洩事件,絕對讓人再也不想、也不敢於該網站登錄或消費,甚至是透過網站與你做生意。

要為提供客戶一個安心又安全的網站環境,最好的解決辦法就是──將網頁設定一個安全的加密裝置!

這個加密裝置叫做「SSL」(Secure Socket Layer, 安全通訊端層),是網頁的安全憑證。

什麼是SSL?

SSL是虛擬世界中,網頁的安全憑證。

現實生活中,用來證明身分的證照有駕照、護照、身分證、健保卡…。虛擬世界中,每個網頁也都有一個身分證,而SSL就是虛擬世界裡的身分證。

現實生活中核發身分證的單位是戶政事務所;網路上則有一群專門驗證網站的真實性、提供 SSL 認證的業者,如:GlobalSign、VeriSign、Entrust 和 GeoTrust。

以博客來網站為例:你想過博客來可能是一間假公司嗎?我們要如何相信博客來網站上對應的博客來書局,是真的存在?

 

發布SSL憑證的業者會確認「博客來」這間公司和網站的真實性,最後頒給博客來網站一張「SSL」安全證書,讓瀏覽器在進入博客來網站時,知道這是一個值得信賴的網站。

為什麼我們要重視SSL?

SSL保護了網站使用者在傳輸資料時不受駭客入侵。

我們已於《什麼是網路?》一文中討論了瀏覽器和伺服器是怎麼運作的──「網頁」就是儲存在「伺服器」裡的檔案,要打開檔案需透過「瀏覽器」這個專門的軟體。其中也提到:HTTP是電腦間互相傳送訊息時的一種共通語言。

HTTP雖然便利,但另一方面而言…既然全世界的電腦都使用著共通的語言,駭客的電腦要入侵我們的電腦,不也更加容易?

比如:在咖啡廳或公眾場合使用公開Wi-Fi時,由於你的電腦和駭客的電腦都是用HTTP語言溝通,駭客可以很輕易地入侵並竊取資料。

因此為了安全性考量,我們還需要額外為網站加裝SSL:當電腦中的瀏覽器連接到伺服器時,伺服器即會傳送SSL身分認證給瀏覽器。

更精確而言,SSL是在公開網路上建立私密通訊專用的加密通道,保護使用者在傳輸資料時的安全。

我們的電腦會先確認核發該網站SSL認證的業者是否值得信任、接著伺服器會與電腦共用這條SSL加密通道和解鎖的金鑰。沒有金鑰的駭客就會無法讀取訊息,最後竊資失敗。

這個程序稱為「SSL 信號交換」。也叫「SSL Handshake」,意味我們的瀏覽器在確認網站具有可信賴的SSL憑證後、放心又高興的與網站握手。

很可愛吧!

整體認證過程即為:

  1. 瀏覽器嘗試連線到以 SSL 保護的網站。
  2. 瀏覽器要求網路伺服器自我識別。
  3. 伺服器傳送一份 SSL憑證給瀏覽器。
  4. 瀏覽器檢查是否信任 SSL憑證。如果信任,就會傳送訊息給伺服器。
  5. 伺服器傳回數位簽章的確認,以展開 SSL 加密的階段作業。
  6. 加密的資料由瀏覽器與伺服器之間共用。

因此,有了http語言讓電腦能彼此溝通之外,我們還需要安全保障:

上面網址中s的意思,即為「安全」(Secure),代表這個網站擁有SSL身分證。

未來,別再隨意登入網址列沒有https、身分不明的非法網站,它們很可能會竊光你所有的資料——幾乎所有涵蓋高度隱私資料(網路銀行密碼、信用卡密碼等)或要求身分認證的網站,都會使用 SSL 加密技術。

 

另一方面,商家選擇自行架設官網來經營電子商務時,請務必向 SSL  業者申請一個 SSL 憑證——不但能擔保重要資訊不輕易外露,也讓使用網站的消費者得以信賴

當瀏覽器跳出SSL憑證提醒時,請再再三思。