隨著網路遍布、連結起全世界,商品購買和資訊往來也越來越密切。但在此之中,總有一些邪惡的駭客或小偷、想趁機盜取用戶的信用卡或帳號密碼。
許多人可能都有過下述經驗──接到詐騙電話、對方說出你曾經在XX商城購買商品的紀錄。然後現在系統稍稍出了差錯,叫你購買點數、或再匯款過去。
層出不窮的網站被駭或資料外洩事件,絕對讓人再也不想、也不敢於該網站登錄或消費,甚至是透過網站與你做生意。
要為提供客戶一個安心又安全的網站環境,最好的解決辦法就是──將網頁設定一個安全的加密裝置!
這個加密裝置叫做「SSL」(Secure Socket Layer, 安全通訊端層),是網頁的安全憑證。
什麼是SSL?
SSL是虛擬世界中,網頁的安全憑證。
現實生活中,用來證明身分的證照有駕照、護照、身分證、健保卡…。虛擬世界中,每個網頁也都有一個身分證,而SSL就是虛擬世界裡的身分證。
現實生活中核發身分證的單位是戶政事務所;網路上則有一群專門驗證網站的真實性、提供SSL認證的業者,如:GlobalSign、VeriSign、Entrust、Thawte和GeoTrust。
以博客來網站為例:你想過博客來可能是一間假公司嗎?我們要如何相信博客來網站上對應的博客來書局,是真的存在?
發布SSL憑證的業者會確認「博客來」這間公司和網站的真實性,最後頒給博客來網站一張「SSL」安全證書,讓瀏覽器在進入博客來網站時,知道這是一個值得信賴的網站。
為什麼我們要重視SSL?
SSL保護了網站使用者在傳輸資料時不受駭客入侵。
我們已於《什麼是網路?》一文中討論了瀏覽器和伺服器是怎麼運作的──「網頁」就是儲存在「伺服器」裡的檔案,要打開檔案需透過「瀏覽器」這個專門的軟體。其中也提到:HTTP是電腦間互相傳送訊息時的一種共通語言。
HTTP雖然便利,但另一方面而言…既然全世界的電腦都使用著共通的語言,駭客的電腦要入侵我們的電腦,不也更加容易?
比如:在咖啡廳或公眾場合使用公開Wi-Fi時,由於你的電腦和駭客的電腦都是用HTTP語言溝通,駭客可以很輕易地入侵並竊取資料。
因此為了安全性考量,我們還需要額外為網站加裝SSL:當電腦中的瀏覽器連接到伺服器時,伺服器即會傳送SSL身分認證給瀏覽器。
更精確而言,SSL是在公開網路上建立私密通訊專用的加密通道,保護使用者在傳輸資料時的安全。我們的電腦會先確認核發該網站SSL認證的業者是否值得信任、接著伺服器會與電腦共用這條SSL加密通道和解鎖的金鑰。沒有金鑰的駭客就會無法讀取訊息,最後竊資失敗。
這個程序稱為「SSL 信號交換」。也叫「SSL Handshake」,意味我們的瀏覽器在確認網站具有可信賴的SSL憑證後、放心又高興的與網站握手。
很可愛吧!
整體認證過程即為:
1. 瀏覽器嘗試連線到以 SSL 保護的網站。
2. 瀏覽器要求網路伺服器自我識別。
3. 伺服器傳送一份 SSL憑證給瀏覽器。
4. 瀏覽器檢查是否信任 SSL憑證。如果信任,就會傳送訊息給伺服器。
5. 伺服器傳回數位簽章的確認,以展開 SSL 加密的階段作業。
6. 加密的資料由瀏覽器與伺服器之間共用。
因此,有了http語言讓電腦能彼此溝通之外,我們還需要安全保障:
上面網址中s的意思,即為「安全」(Secure),代表這個網站擁有SSL身分證。
未來,別再隨意登入網址列沒有https、身分不明的非法網站,它們很可能會竊光你所有的資料。對於自己的網站,也請一定要申請一個SSL憑證,擔保重要資訊不輕易外露的同時、也讓網站使用者得以信賴。
當瀏覽器跳出SSL憑證提醒時,也請再再三思。
謝謝您的收看。
_延伸閱讀:_