HTTPS 加密連線SSL 證書

HTTPS 加密連線 以前一般只應用於付款網關 Payment Gateway 或者銀行網上理財。隨著使用 Wi-Fi 上網的普及,黑客只要在 Wi-Fi 訊號接收範圍之內,就可以利用設備和軟件過濾 Wi-Fi 訊號。如果用戶這時輸入敏感資料,例如網站後台登入密碼,黑客 Hackers 可以輕易取得登入密碼,這稱之為竊聽 eavesdropping. 隨著 IT 技術普及價格下降,愈來愈多網站採用加密連線。Google 在 2014 年宣布提高使用 HTTPS 網站的 SERP 排名,亦有助於使 HTTPS 加密連線更受普及。根據 Alexa 的統計,至  2016 年 6 月,全球排名前 100 萬網站已經有超過 10% 使用 HTTPS. 另一個重要因素是 Google Security Blog 9 月 八 日宣佈 2017 年 1月起 Chrome 瀏覽器會對要求用戶輸入密碼的 HTTP 無加密連線網站發上不安全警告,這對使用無加密連線的網店會是非常不利。

加密連線技術

加密連線是點對點。就是從用戶端瀏覽器加密數據傳送到伺服器解密,或相反從伺服器加密再傳送到客戶端解密。加密連線 HTTPS 需要一張 SSL 證書。機構可以向認可數位認證中心申請 SSL 電子證書。SSL 證書中包括機構資料,證書有效期 (需要每年支付費用證書否則該證書失效),公鑰 Public Key 和私鑰 Private Key. 私鑰是安裝在申請機構的伺服器中。當用戶端瀏覽器以 HTTPS 加密連線訪問某網域 (如:welldevelop.com) 時,瀏覽器會先向證書認證中心查詢該網域的 SSL 電子證書是否仍然有效。如果是,會以該網域的公鑰加密一個會話密鑰 Session Key 送到網域伺服器。如果SSL 電子證書無效,瀏覽器將顯示警告信息。

由於加密內容只有擁有該機構的私鑰才能解密,所以能成功解密加密會話密鑰者,變相證明是證書機構內的授權伺服器。當伺服器成功解密會話密鑰,往後相方所有資料會以會話密鑰加密,又以會話密鑰解密 (所以會話密鑰亦稱之為對稱密鑰 Symmetric Key)。會話密鑰沒有公鑰/私鑰安全,但勝在加密解密比較容易,不會對處理器造成大負荷。由會話密鑰較容易被破解,所以當瀏覽器關閉會話後,該會話密鑰不會被再用。而只有知道會話密鑰的機器才能解密。所以就算網絡被偷聽,竊聽器只能看到加密數據。

搜尋引擎優化考慮

從 HTTP 過渡到 HTTPS 需要考慮搜尋引擎優化。就算是內容一樣,搜尋引擎索引時會將 HTTP 和 HTTPS 看作兩個不同版本。所以如果您的網站已經通過搜尋引擎優化累積了一些搜尋流量,要將 HTTP 重定向為 HTTPS 否則將丟失HTTP 頁面的有機排名 (因為 404 找不到錯誤)。重定向又分為 301 (永久) 和 302 (暫時) 兩種。只有301可以保留90%的鏈接權益。