在大家越來越重視網路安全的時代,HTTPS顯得越來越重要,不只是工程師、網路管理者需要具備這些知識,就連使用者也應該要知道HTTP和HTTPS兩者的差異,因為這牽涉到資訊安全和隱私。
今天就要帶你來了解,HTTP和HTTPS是什麼?兩者之間又有什麼差異?HTTPS跟SSL之間又存在什麼樣的關聯?為什麼HTTPS變得那麼重要?以及從HTTP轉換到HTTPS後要注意那些事情?
HTTPS是什麼?
HTTPS是HTTP的安全版本,其英文全稱為Hyper Text Transfer Protocol Secure,中文則翻譯為「超文本傳輸安全協定」,多了安全(Secure)的部分、指的是HTTPS透過HTTP進行通訊,但通訊過程使用SSL/TLS進行加密,以提高資料傳輸的安全性。
其重要性為當使用者傳輸敏感性、或機密性資訊時,如登入銀行帳戶、輸入信用卡資料、帳號密碼等,這些資訊得以被加密保護,也就是說如果有心人士要竊取,看到的也只是加密符號或一堆亂碼而已。
是不是霧煞煞?讓我們舉個生活化的例子:
- 助理上傳文件(發出請求)
- 經過 TCP 傳送資料到伺服器
- 抵達網路
- 主管開啟或下載檢視
現在網路技術發達的時代,對於這一連串的流程可能不會覺得有異議;但在2010年https普及前,很多網站執行「傳輸動作」,會在無意間被有心人士、駭客偷窺或將資料用在其他地方嗎?這就是因為HTTP雖然可以傳輸資料,卻沒有完善的安全機制,讓有心人士有機可趁。
HTTP又是什麼?
HTTP的全名為「超文本傳輸協定 (Hyper Text Transfer Protocol)」,是一種用於在網際網路上傳輸超媒體文件(例如HTML)的協定。
HTTP以TCP(Transmission Control Protocol;傳輸控制協議)作為網路資料傳輸的方式。
讓我們舉個生活化的例子,假如助理要上傳文件到雲端給主管審核,流程便會是:助理上傳文件(發出請求)→經過TCP傳送資料到伺服器→抵達網路→主管開啟或下載檢視。
然而上述的傳輸過程,資料都是明文(plain text,意指可直接閱讀的文字),簡單的說就是有心人士很容易可以窺探、竊取這些資訊。
HTTP與HTTPS的差異
HTTP和HTTPS的差異有下列5點:
安全性
HTTP是一個不安全的協議,因為其數據在傳輸過程中是明文的,容易被攔截和盜用。
相較之下,HTTPS則是一個安全的協議,因為它是透過使用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)協議、對數據進行加密,確保數據在傳輸過程中的保密性。
如何判斷網站是否加密?
- HTTP 網站:瀏覽器會顯示驚嘆號,甚至彈跳視窗警告使用者。
- HTTPS 網站:瀏覽器會顯示鎖頭圖示,點擊後會顯示已建立安全連線,輸入個資或信用卡資料都會以加密方式傳輸。
舉例說明
在網站中輸入「戰國策」三個字:
- HTTP 網站:「戰國策」會以明文形式傳輸。
- HTTPS 網站:「戰國策」會以加密形式傳輸,例如「**」或「dfjioor32or23f」。
連接方式
當我們輸入網址時,瀏覽器透過不同的連接埠向伺服器發送請求,來獲取網頁內容。HTTP的預設連接埠為80,而HTTPS使用的則是443連接埠。
基礎通訊協定
就HTTP的基礎通訊設定而言,HTTP/1與HTTP/2是使用TCP/IP,HTTP/3則使用QUIC通訊協定;而HTTPS則是使用HTTP/2與SSL/TLS進一步加密HTTP請求和回應。
網頁載入速度
如果要使用HTTP/2協議,必須先啟用HTTPS協議才可以升級為HTTP/2,而相較於HTTP1.1、HTTP/2可以提升網頁載入速度,所以HTTPS會讓用戶有更好的使用體驗。
識別和驗證
HTTPS網站使用SSL/TLS憑證,驗證其身份的合法性,確保使用者正在造訪正確的網站,也可以防止中間人攻擊(MitM)和網路釣魚攻擊;相對之下,因為HTTP沒有這樣的憑證,容易受到偽造網站的攻擊。
HTTPS和SSL的關聯
HTTPS和SSL的關聯,簡單來說就是HTTP網站去申請SSL憑證,就能升級為HTTPS,讓網站在傳輸資料時,不易被第三方攔截,提高網站的安全性。
而申請SSL憑證是需要費用的。雖然有些SSL憑證沒有經過認證,或者免費的SSL憑證,因公信力不夠,所以雖然網址開頭為https,但仍有可能會被瀏覽器(如Google Chrome)認定是不安全的網站。
舉例來說,下面是Google Chrome顯示網站安全性的三種圖示,會出現在網址欄最前面:
| 狀態 | 圖示 | 圖解 |
|---|---|---|
| 安全網站 |  |
網址開頭為https,且擁有認證的SSL憑證,Google瀏覽器顯示為安全網站。 |
| 有疑慮的 HTTPS 網站 |  |
網址開頭為https,但網站無有效的SSL憑證、或未使用私人連線等,Google瀏覽器出現相關資訊警示。 |
| 不安全網站 |  |
網址開頭為http,Google瀏覽器警示為不安全網站。 |
什麼是SSL
SSL為Secure Sockets Layer的縮寫,中文翻譯成「安全通訊端層」,是一種加密技術,經由SSL加密後的網站,能夠有效保護使用者在網站內或網站間傳輸的資訊,尤其是重要數據,例如個人資料、聯絡方式、付款資訊等,使其不易被第三方攔截,防止資料外洩。
SSL憑證則是針對這項加密技術所頒發的證書,認證該網站數據傳輸的安全性;
此外,SSL憑證還具有身份驗證的功能,透過數字簽名來確認網站的真實性和可信度。
當使用者造訪的網站擁有SSL憑證,就可以知道自己正在瀏覽的網站是正確且安全的。
為什麼HTTPS變得那麼重要?
HTTPS的重要性有下面4點:
Google從2019年10月開始封鎖HTTP
為提高用戶的使用體驗,Goolge也是逐年限制、甚至封鎖HTTP網頁。
從2018年7月起,Chrome 68版將HTTP網頁標示為不安全,2019年10月起,Chrome 79版預設封鎖來自HTTP網域的混合內容,甚至2020年2月發布的Chrome 81、則封鎖了所有非HTTPS內容。
到了2021年的Chrome 93則加入了HTTPS-only模式,會封鎖任何HTTP網站直接下載或位於下載路徑中。種種的動作都顯示Google想全面擊退HTTP網頁的決心,而HTTP網頁勢必終將走入歷史。
消費者會看到「不安全」的警示
當網址為HTTP開頭時,在瀏覽器的網址欄前面會出現警示,以圖像及文字說明此網站不安全。
而大部分使用者看到這個標示,都會選擇離開此網頁、不再繼續瀏覽閱讀,網站業主也因此損失上門的生意。
SEO會被「逐月」降低流量
搜索引擎(如Google)對於使用HTTPS的網站、會給予更優先的排名,因為它提供了更好的安全性和用戶隱私保護。
而且,Google從2019年10月開始封鎖HTTP,將HTTP網頁標示為不安全、甚至封鎖相關內容,再加上Google將HTTPS列為排名訊號之一,一來一往間就導致使用HTTP網頁的SEO會被降低排名,甚至失去排名。
保護使用者輸入的資訊
HTTPS因為傳輸的資訊經過加密,能防止數據洩漏,保護使用者輸入的資訊不會被有心人士竊取。且萬一真的發生資料外洩,而被使用者提告的時候,可以提出有申請SSL憑證的證據、保護自己。
相較之下,HTTP網站確實有較高的機密資訊外流風險,在大家越來越重視網路安全的時代,HTTP將逐漸被淘汰。
從HTTP轉換成HTTPS後需要注意的6件事
若你有計畫將你的網站從HTTP轉換為HTTPS,請務必注意下面6件事情:
301轉址
雖然從HTTP變成HTTPS感覺好像只是多了一個字母,但在程式面中卻是無比浩大的工程,因為那等於你把網站搬家的意思。
如果沒有對新舊網址做301轉址設定,當使用者搜尋到你的舊站,發現網頁錯誤(404 Not Found)或一片空白,他們會直接跳出去找其他網站,而你就錯失了一次做生意的機會。
因此,在網址換成HTTPS之後第一件事就請先設定好301轉址,讓使用者即使點到舊站,也會自動轉址到新站,讓你不會流失任何客戶。
重新提交Sitemap
通常在網站完成後,大家都會跟Google提交Sitemap,讓網頁能見度變高。
如果你當初所提交的URL(網址)是HTTP開頭,當網址升級成HTTPS後,同樣要再次提交Sitemap,這樣新網站才能被Google爬蟲找到。
更新監控網站資訊
無論是Google Search Console(GSC)、Google Analytics(GA)、百度、Bing等,這些都要同步更新、或重新申請GA追蹤碼等,才不會讓這些監控網站繼續分析舊網站。
檢查網站資料
在網站中,所有的外部和內部連接都應該從HTTP修改為HTTPS,包含網頁內的連結、圖片、影片、音效、音樂、CSS與JavaScript文件等,否則瀏覽器可能會發出安全警告,影響用戶體驗,甚至對SEO產生負面影響。
修改社群網站推廣網址
當網站轉換為HTTPS後,在所有社群網站的基本資料或貼文,如臉書、Instagram(IG)、YouTube、TikTok等,都要記得提供新的https網址,不然瀏覽數還是累積在舊的http網站。
確認各項目都正常運作
轉換成HTTPS後,也請確認下列項目是否都有正常運作:
-
- HTTPS網站載入速度:因為HTTPS加密和解密數據需要額外的處理時間,請檢查伺服器和網站程式碼等,確保網站載入速度夠快。
- HTTPS網站可正常連線、瀏覽:確認所有網頁都回傳HTTP 200代碼。
- 所有頁面都能正常顯示,且網址欄前面有出現安全網站的圖示。
- 開啟HSTS:強制使用HTTPS連線,避免http與https開頭的網址同時存在,導致重複網址。
專業SSL憑證,就找戰國策
根據以上的說明,相信大家都知道網站使用HTTPS的重要性,從今以後別再使用HTTP了,趕快換成有SSL憑證的HTTPS吧!
戰國策SSL憑證服務的五大服務優勢如下:
1. 國際認證,品質保障:
– 戰國策SSL憑證通過多間國際大廠的認證,確保憑證的品質和安全性值得信賴。這些憑證經過嚴格的測試和認證,能夠有效保護您的網站和使用者資料,讓您在進行線上交易時更加安心。
2. 業界最具競爭力的CP值:
– 戰國策提供多種SSL安全憑證,價格在同業中擁有絕對的競爭優勢。我們的費用不僅透明且無隱藏費用,還比同業便宜50%以上,確保您以最實惠的價格獲得最高品質的SSL保護。此外,我們還提供「買三年送三年」的超值優惠方案。
3. 快速簽發與靈活部署:
– 戰國策的SSL憑證從提交訂單申請到證書簽發,最快只需20分鐘,讓您能夠迅速部署並保護網站。此外,我們的SSL證書可以在同一域名下部署至無限數量的服務器,提供您極大的靈活性和便利性。
4. 24小時專業售後支援:
– 戰國策提供365天24小時全年無休的專家級服務,無論您遇到什麼問題,都能隨時獲得即時的協助。我們的中文客服專員隨時待命,確保您在使用SSL憑證時不會因為技術問題而中斷服務。
5. 免費安裝服務,無憂上線:
– 為了讓您使用SSL憑證更加輕鬆,戰國策提供免費的代客安裝服務,即使您的網站並非使用我們的主機服務,也能免費享有此服務。我們的專業技術團隊將確保您的SSL憑證正確安裝,讓您的網站迅速、安全地上線。
結論
如果有需要HTTPS或SSL的安裝設定服務,歡迎洽詢0800-003-191戰國策或上網訂購,本公司會免費幫您把SSL安裝到好,讓專業的人協助你,比起自己摸索還更加有效率喔!
如果您有任何問題
歡迎諮詢戰國策365天全年無休的客服中心
加入官方LINE:@119m
免付費客服專線 0800-003-191
