現在所有的網站幾乎都要有 SSL 憑證,簡單來說就是以往
http:// 的網站需要有
https:// 多了網站加密連線的機制在,為什麼那麼多網站積極的加上 SSL 憑證,就是因為 Google 搜尋非常在意這個部分,若是缺乏了 SSL 會嚴重影響到網站的 SEO,而且現在網路購物相當發達,要有安全的連線機制才能確保線上購物的安全,簡單來說你與網站的所有網路封包都是加密的,沒有任何人可以從中竊取任何隱私資訊。
簡單說明 SSL 加密機制以前我曾經當過 MIS,那時候很多工具可以分析所有 Client 的網路行為,譬如說去了哪些網站?送出了什麼資訊?對話聊天內容?信件傳送內容等等,在網路連線沒有加密的時代,只要有一個專門監看網路封包的工具,等於所有的資料是透明的,當然網路攻擊也會比較簡單。而 SSL 憑證網頁加密之後,等於當瀏覽器與網站連線時,就已經建立起一個已經加密的橋樑,你也可以想像成一條不透明的水管,中間流過的資料沒有人會知道,這就是 HTTPS 非常重要的安全機制。
啟用 HTTP/2 取代 HTTP/1.1對網站主來說,設定了 HTTPS 還可以啟用 HTTP/2 的超文字傳輸協定第 2 版,這跟 HTTP/1.1 在連線模式上有相當大的不同,連線一個網站頁面除了會向對方主機要求頁面檔案、CSS 檔案、JS 檔案與圖片檔案等等,一個頁面可能就要向主機要求數十個檔案,對網頁伺服器來說就是有數十個 Request;HTTP/2 的通訊協定可以大幅加速連線速度,因為只要建立一個連線後,所有的檔案傳輸都透過那一個連線,數十個 Request 變成只有一個 Request,減少了網頁伺服器的負擔,處理速度當然也會相對變快的,對站長們來說建立了 SSL 憑證之後,也可以再設定好 HTTP/2 的通訊協定,才能有效優化網站速度。(圖片來源與延伸閱讀:
這裡)
HTTPS 影響 SEO 關鍵字搜尋排名再來說到經營網站都很需要的 SEO 網路搜尋優化,Google 非常積極的推動 HTTPS,現在若是沒有 HTTPS 的話 Chrome、Firefox 瀏覽器都會標示成不安全的網站。在 2014 年的時候 Google 官方就已經正式宣布 HTTPS 已經列為搜尋引擎演算法之一,不過當時 SSL 憑證大多都付費居多,而且價額很昂貴,真正啟用網站加密的大多是比較權威性的大網站。但是到 2017 年之後若是網站沒有 HTTPS 會嚴重影響到 SEO 的排名,當然也是有人並不這樣認為,不過站長們就盡力把網站做到最好就是了,至少不要有不安全的標記出現。
為什麼 HTTPS 沒有綠色鎖頭理論上!網站只要加入了 HTTPS 的機制,在網站上面就會有綠色鎖頭的出現,不過並不是那麼簡單的,這真的要實作過才會知道,譬如以一般內容文章來說,原本嵌入的圖片是
http:// 的網址,當網站升級
https:// 之後,若嵌入的圖片網址沒有更改成
https:// 的話就會變成 mixed content 混和內容的狀態,有安全也有不安全的內容,這樣加總起來雖然網址是
https:// 開頭,不過實際上並不會給你綠色鎖頭唷!所以這也是站長們要留意的部分。(依照我自己的經驗來看,似乎免費憑證才會有這樣的狀態,付費憑證加入了
http:// 的內容也是綠色鎖頭)
檢查 SSL 的安全性目前線上最具指標性的 SSL 檢查網站就是
SSL Labs,他的評分主要分為憑證、協定支援、金鑰交換與加密強度,其實只要網址列的綠色鎖頭有出現,就代表網站經過加密連線,這是很基本的。不過若是能通過 SSL Labs 的 A+驗證也代表安全度是更高的,工程師們可以挑戰看看到底該如何設定,基本上網路上都有 A+ 評分的設定檔可以參考,也是努力做到最好吧!
SSL 付費憑證很貴嗎?SSL 免費憑證可靠嗎?(
圖片來源)SSL 付費憑證很貴嗎?其實 SSL 憑證也有很多不同的等級,以目前我所使用的遠振資訊 Certum 方案來說,還有分成 Commercial 方案、Trusted 方案與 Premium 方案,單一網域一年的價格分別是 1050 元、7000 元與 28000 元,甚至還有 VeriSign(Norton™ Secured Seal) 方案一年的價格就要 15000 元,此外還有不同頒發憑證的組織,像是 RapidSSL / GeoTrust / Comodo 方案。自架網站的人得越來越多,有些人只是想要有一個簡單的網站,不靠網站來創造營收,網站空間可以選擇便宜的虛擬主機,若是額外負擔 SSL 憑證可能就覺得有點多了,所以免費憑證還是很有必要的,目前最夯的應該就是 Let's Encrypt 憑證,在使用上是真的不用付費,麻煩的事情就是三個月就要更新一次憑證,不過現在更新機制也很方便,坦白說也是可以設定自動更新的^^。付費憑證與免費憑證在安全性上沒有差異,只是憑證發行組織的權威性不同,譬如說遠振資訊也有推台灣 TWCA SSL 伺服器數位憑證,這是由臺灣網路認證公司資本額達兩億兩千萬,結合證交所、集保公司、財金公司、網際威信等股東,組成令客戶信任的專業團隊。若是透過這樣的單位來認證,相對的信賴度也比較高,舉個簡單的例子來說,你打籃球打得非常好,麥可喬丹認證你是個籃球好手,跟你的體育老師認證你是籃球好手還是不同的,這個差異很明顯吧!因此若你的網站有購物消費等金流行為,建議採用付費憑證來提升別人對你的信賴程度。
免費 SSL 憑證 |
付費 SSL 憑證 |
基本的網域驗證 DV SSL |
網域驗證 DV SSL 組織驗證 OV SSL 延伸驗證 EV SSL |
30-90 天的有效期間 |
1-2 年的有效期間 |
沒有信任的驗證標章 |
有驗證標章 |
若有任何錯誤不會賠償 |
憑證加密失敗會賠償 |
適合測試網站、部落格與論壇 |
涉及到金流交易的線上商業網站 |
本站 SSL 憑證用哪一家?目前本站是使用
遠振資訊 Certum Commercial 方案,其實自己安裝憑證比免費憑證還有稍有難度,坦白說在安裝過程中的確有很多不了解的地方,最後都是他們工程師直接在線上幫我完成的,若你也擔心自己不太會用的話,當然也可以和我有相同選擇,至少不怕自己裝不好。目前活動搭配虛擬主機方案加購 Certum Commercial SSL(單一網域 1 年),可享 SSL 999 元!方案參考:
https://yji.tw/39d1ajA本篇文章主要是以我自己的角度來看 SSL 憑證,若是想要了解更多更仔細的資訊,可以參考以下我整理好的資訊唷!參考資料: