超文字安全傳輸通訊協定 (HTTPS) 是 HTTP 的安全版本,HTTP 是用於在 Web 瀏覽器和網站之間傳送資料的主要通訊協定。HTTPS 經過加密,以提高資料傳輸的安全性。當使用者傳輸敏感性資料(例如透過登入銀行帳戶、電子郵件服務或健康保險提供者)時,這一點尤其重要。
任何網站(尤其是需要登入憑證的網站)都應使用 HTTPS。在現代的 Web 瀏覽器中(例如 Chrome),未使用 HTTPS 的網站會以不同的方式標記。請留意 URL 列中的綠色鎖頭,這表示網頁安全無虞。Web 瀏覽器相當嚴正看待 HTTPS;Google Chrome 和其他瀏覽器會將所有非 HTTPS 網站標示為不安全。
HTTPS 使用加密通訊協定對通訊進行加密。該通訊協定稱為 Transport Layer Security (TLS),但以前稱為安全通訊端層 (SSL)。該通訊協定透過使用所謂的非對稱公開金鑰基礎結構來保護通訊。這種類型的安全系統使用兩個不同的金鑰來加密兩方之間的通訊:
HTTPS 讓網站不會以任何在網路上窺探的人都能輕鬆查看的方式廣播資訊。透過常規 HTTP 傳送資訊時,資訊會分解為封包,使用免費軟體即可輕鬆「嗅探」這些封包。這使得透過不安全媒介(例如公用 Wi-Fi)進行的通訊極易受到攔截。實際上,所有透過 HTTP 進行的通訊都是以純文字形式進行的,因而能夠為任何使用正確工具的人輕鬆存取,而且容易遭受中間人攻擊。
使用 HTTPS 時,流量會經過加密,即使嗅探到封包或以其他方式截取封包,它們也會呈現為無意義的字元。我們來看一個範例:
This is a string of text that is completely readable
ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=
在不使用 HTTPS 的網站中,網際網路服務提供者 (ISP) 或其他中間人有可以在未經網站擁有者核准的情況下將內容插入網頁。這通常採用廣告形式,希望增加收入的 ISP 將付費廣告插入其客戶的網頁中。毋庸置疑,當這種情況發生時,絕不會與網站擁有者分享廣告的利潤和這些廣告的品質控制。HTTPS 杜絕了未經審核的第三方將廣告插入Web 內容的可能。
影像來自 Ars Technica
如需 HTTPS 所提供好處的完整清單,請參閱為什麼要使用 HTTPS?
從技術上來講,HTTPS 並不是獨立於 HTTP 的通訊協定。它只是在 HTTP 通訊協定的基礎上使用 TLS/SSL 加密。HTTPS 基於 TLS/SSL 憑證的傳輸而發生,該憑證驗證特定提供者就是他們所聲稱的身分。
當使用者連接網頁時,該網頁將透過其 SSL 憑證傳送,憑證包含啟動安全工作階段所需的公開金鑰。然後,兩台電腦(用戶端和伺服器)將經歷一個稱為 SSL/TLS 交握的過程,即用於建立安全連線的一系列來回通訊。要更深入地瞭解加密和 SSL/TLS 交握,請閱讀 TLS 交握期間會發生什麼。
許多網站託管提供者和其他服務提供收費的 TLS/SSL 憑證。這些憑證通常會在許多客戶之間共用。也有更加昂貴的憑證,可以單獨註冊到特定的 Web 內容。
所有使用 Cloudflare 的網站均透過共用憑證免費獲得 HTTPS(此技術詞彙為多網域 SSL 憑證)。設定免費帳戶將確保 Web 內容獲得不斷更新的 HTTPS 保護。您也可以探索我們的付費方案,以獲取個人憑證和其他功能。無論哪種情況,Web 內容都可以享受使用 HTTPS 的所有益處。