1
產業
隨著網路遍布、連結起全世界,商品購買和資訊往來也越來越密切。但在此之中,總有一些邪惡的駭客或小偷,想趁機盜取用戶的信用卡或帳號密碼。
許多人可能都有過下述經驗──接到詐騙電話、對方說出你曾經在 XX 商城購買商品的紀錄。然後現在系統稍稍出了差錯,叫你購買點數、或再匯款過去。
層出不窮的網站被駭或資料外洩事件,絕對讓人不想、也不敢再於該網站登錄或消費,甚至是透過網站與你做生意。要為提供客戶一個安心又安全的網站環境,最好的解決辦法就是──將網頁設定一個安全的加密裝置!
這個加密裝置叫做「SSL」( Secure Socket Layer, 安全通訊端層 ),是網頁的安全憑證。
今天就讓我們來聊聊—什麼是 SSL、為什麼我們要重視 SSL。
SSL—虛擬世界的安全憑證
SSL 是虛擬世界中,網頁的安全憑證。
現實生活中,用來證明身分的證照有駕照、護照、身分證、健保卡…。虛擬世界中,每個網頁也都有一個身分證,而 SSL 就是虛擬世界裡的身分證。
現實生活中核發身分證的單位是戶政事務所;網路上則有一群專門驗證網站的真實性、提供 SSL 認證的業者,如:GlobalSign、VeriSign、Entrust 和 GeoTrust。
以博客來網站為例:你想過博客來可能是一間假公司嗎?我們要如何相信博客來網站上對應的博客來書局,是真的存在?
發布 SSL 憑證的業者會確認「博客來」這間公司和網站的真實性,最後頒給博客來網站一張「SSL」安全證書,讓瀏覽器在進入博客來網站時,知道這是一個值得信賴的網站。
為什麼我們要重視 SSL?
SSL 保護了網站使用者在傳輸資料時不受駭客入侵。
我們已於【什麼是網路】的一文中討論了瀏覽器和伺服器是怎麼運作的──「網頁」就是儲存在「伺服器」裡的檔案,要打開檔案需透過「瀏覽器」這個專門的軟體。其中也提到:HTTP 是電腦間互相傳送訊息時的一種共通語言。
HTTP 雖然便利,但另一方面而言…既然全世界的電腦都使用著共通的語言,駭客的電腦要入侵我們的電腦,不也更加容易?
比如:在咖啡廳或公眾場合使用公開 Wi-Fi 時,由於你的電腦和駭客的電腦都是用 HTTP 語言溝通,駭客可以很輕易地入侵並竊取資料。
因此為了安全性考量,我們還需要額外為網站加裝 SSL:當電腦中的瀏覽器連接到伺服器時,伺服器即會傳送 SSL 身分認證給瀏覽器。
更精確而言,SSL 是在公開網路上建立私密通訊專用的加密通道,保護使用者在傳輸資料時的安全。我們的電腦會先確認核發該網站 SSL 認證的業者是否值得信任、接著伺服器會與電腦共用這條 SSL 加密通道和解鎖的金鑰。沒有金鑰的駭客就會無法讀取訊息,最後竊資失敗。
這個程序稱為「SSL 信號交換」。也叫「SSL Handshake」,意味我們的瀏覽器在確認網站具有可信賴的 SSL 憑證後、放心又高興的與網站握手。很可愛吧!
整體認證過程即為:
- 瀏覽器嘗試連線到以 SSL 保護的網站。
- 瀏覽器要求網路伺服器自我識別。
- 伺服器傳送一份 SSL 憑證給瀏覽器。
- 瀏覽器檢查是否信任 SSL 憑證。如果信任,就會傳送訊息給伺服器。
- 伺服器傳回數位簽章的確認,以展開 SSL 加密的階段作業。
- 加密的資料由瀏覽器與伺服器之間共用。
因此,有了 http 語言讓電腦能彼此溝通之外,我們還需要安全保障—「https://」網址中s的意思,即為「安全」(Secure),代表這個網站擁有 SSL 身分證。
未來,別再隨意登入網址列沒有 https、身分不明的非法網站,它們很可能會竊光你所有的資料——幾乎所有涵蓋高度隱私資料(網路銀行密碼、信用卡密碼等)或要求身分認證的網站,都會使用 SSL 加密技術。
另一方面,當商家選擇自行架設官網來經營電子商務時,請務必向 SSL 業者申請一個 SSL 憑證——不但能擔保重要資訊不輕易外露,也讓使用網站的消費者得以信賴。
44228
