前言
隨著網路遍布
連結起全世界
商品購買
資訊往來也越來越密切
但在此之中
總有一些邪惡的駭客或小偷
想趁機盜取用戶的信用卡或帳號密碼。
許多人可能都有過下述經驗
接到詐騙電話
對方說出你曾經在XX商城購買商品的紀錄
然後現在系統稍稍出了差錯
叫你購買點數
或再匯款過去。
層出不窮的網站被駭或資料外洩事件
絕對讓人再也不想
也不敢於該網站登錄或消費
甚至是透過網站與你做生意。
要為提供客戶一個安心又安全的網站環境
最好的解決辦法就是
將網頁設定一個安全的加密裝置!
這個加密裝置叫做
「SSL」(Secure Socket Layer, 安全通訊端層),
是網頁的安全憑證。
什麼是SSL?
SSL是虛擬世界中
網頁的安全憑證。
現實生活中
用來證明身分的證照有駕照
護照
身分證
健保卡…。
虛擬世界中
每個網頁也都有一個身分證,
而SSL就是虛擬世界裡的身分證。
現實生活中
核發身分證的單位
戶政事務所
網路上
有一群專門驗證網站的真實性
提供 SSL 認證的業者
GlobalSign
VeriSign
Entrust
GeoTrust
以博客來網站為例
你想過博客來可能是一間假公司嗎?
我們要如何相信博客來網站上對應的博客來書局,
是真的存在?
發布SSL憑證的業者
會確認「博客來」這間公司
網站的真實性
最後頒給博客來網站
一張「SSL」安全證書
讓瀏覽器在進入博客來網站時
知道這是一個值得信賴的網站。
為什麼我們要重視SSL?
SSL保護了網站
使用者在傳輸資料時
不受駭客入侵。
我們已於《什麼是網路?》
一文中討論了瀏覽器
伺服器是怎麼運作
──「網頁」就是儲存在「伺服器」裡的檔案
要打開檔案需透過「瀏覽器」這個專門的軟體
其中也提到:
HTTP是
電腦間互相傳送訊息時
一種共通語言
HTTP雖然便利
但另一方面而言
既然全世界的電腦都使用著共通的語言
駭客的電腦要入侵我們的電腦
不也更加容易?
比如:
在咖啡廳
公眾場合
使用公開Wi-Fi時
由於你的電腦
駭客的電腦
都是用HTTP語言溝通
駭客可以很輕易地入侵
並竊取資料
因此為了安全性考量
我們還需要額外為網站加裝SSL
當電腦中的瀏覽器連接到伺服器時
伺服器即會傳送SSL身分
認證給瀏覽器。
更精確而言
SSL是在公開網路上
建立私密通訊專用
加密通道
保護使用者
在傳輸資料時的安全
我們的電腦會先確認核發
該網站SSL認證的業者是否值得信任
接著伺服器會與電腦共用這條SSL加密通道
和解鎖的金鑰
沒有金鑰的駭客
就會無法讀取訊息
最後竊資失敗
這個程序稱為「SSL 信號交換」。
也叫「SSL Handshake」,
意味我們的瀏覽器
在確認網站具有可信賴的SSL憑證後
放心又高興的與網站握手
整體認證過程即為:
1.瀏覽器嘗試連線到以 SSL 保護的網站。
2.瀏覽器要求網路伺服器自我識別。
3.伺服器傳送一份 SSL憑證給瀏覽器。
4.瀏覽器檢查是否信任 SSL憑證。如果信任,就會傳送訊息給伺服器。
5.伺服器傳回數位簽章的確認,以展開 SSL 加密的階段作業。
6.加密的資料由瀏覽器與伺服器之間共用。
因此
有了http語言讓電腦能彼此溝通之外
我們還需要安全保障:
網址中s的意思
即為「安全」(Secure)
代表這個網站擁有SSL身分證。
未來
別再隨意登入網址列沒有https
身分不明的非法網站
它們很可能會竊光你所有的資料
幾乎所有涵蓋高度隱私資料
(網路銀行密碼
信用卡密碼等
或要求身分認證的網站
都會使用 SSL 加密技術。
另一方面
當商家選擇自行架設官網
來經營電子商務時
請務必向 SSL 業者申請一個 SSL 憑證
不但能擔保重要資訊不輕易外露,
也讓使用網站的消費者得以信賴
當瀏覽器跳出SSL憑證提醒時
請再再三思