網站新手入門

SSL 憑證是什麼?為什麼您必須使用憑證?以及要如何取得憑證呢?

安全性已成為越來越多網站使用者的優先考量事項,瀏覽器以及網站所有者也都將網站安全放在其計畫的首位。

不久之前,HTTPS (使用 SSL 憑證的網路安全協議) 僅適合在某些情況下使用。大多數人都知道,在網路上購物時要確認網址搜尋欄前面是否有小鎖頭的符號。網站管理員會確保輸入帳號密碼或是敏感個人資料的頁面都支援加密連線 (網頁顯示鎖頭小圖示)。

然而,最近我們看到當前最流行的網站的開發人員都開始使用 SSL 憑證來證明 未使用 SSL 憑證的不足。(英語連結)

那麼,什麼是 HTTPS 呢?什麼是 SSL 憑證呢?為什麼您們需要使用它?以及要如如取得它呢?

什麼是 HTTPS?

網路主要的問題之一是 “信任” 。透過網路能與世界各地的人聯絡,這是非常寶貴的價值,這個改變了我們的社會。

但是這種新的交流方式卻引起了一些問題。有一些惡意用戶利用匿名性以及資訊的自由開放和共享的問題來竊取那些原本是私下傳送給受信任的個人或實體的有價值的資料。

HTTPS 是一種最基本的解決方案。

HTTPS 為 HTTP 的安全版本,HTTP 是管理網路上眾多網站的數據傳輸的規則。這代表所有您所網問的網頁上的任何內容、您在網站上所填寫的表格,或與網站進行的訊息交換(例如點選網站上的連結) 都有使用 HTTP 規則進行通訊。就像是一種共享語言。

HTTPS 裡的 S 代表的即為 “安全 (加密)”,也就是說,使用 HTTPS 可以防止第三方看見您所傳輸和收到的訊息。一開始,HTTP 沒有這項功能,因此所有人都可以 “窺探” 您的電腦與網站伺服器間所傳送的訊息。

或可能發生的另一件事是,某人可以將自己偽造成網路通訊的中介者,秘密地交換中繼網站與網站訪問者之間的通訊,但沒有任何一台電腦知道到它不是在與對方直接通訊。

這就是駭客在那些使用 HTTP 的網頁上竊取密碼或信用卡號碼資訊的方法。

HTTPS 透過執行兩件事來解決這兩種竊取訊息的方式:

  • 授權:在網站與網站瀏覽者間建立直接連結,以確保通訊雙方是與其認為的對象在進行交流。
  • 加密方式:透過使用僅有網站和網站訪問者可以解碼的特殊代碼對網站進行編碼,以確保只有網站和網站訪問者才能閱讀特定通訊中的內容。

什麼是 SSL 憑證?

您在先前可能已經使用過基本加密。解碼環與編碼訊息就像是拼圖一樣有趣。但是,如果這類型的訊息太過簡單以至於很容易就被破解,那麼您可能就不會使用解碼環去加密敏感數據,例如您的信用卡號碼。

為此,您會希望擁有一組不被破解的密碼。

但是在這種情形下,如果不向您通訊的個人或是實體提供密碼,則收件人在收到您的訊息後將無法進行讀取。

這不是一個您是否能夠提供實體加密密碼的問題。但這並不能讓您能夠從從未去過的網路商店購買商品。如果您必須親自交付密碼,那麼網路購物的好處是什麼?

您需要的是一個可以透過網路傳遞密碼,而不被他人重組以監控您的活動的方法。聽起來不太可能,不是嗎?

好吧,透過數學您是可以做到的。我們將不在此多做解釋,但是本質上,您可以使用數學進行解釋,您和網站瀏覽者,和網站都能夠有一組只有您知道的單獨的秘密密碼。您可以使用這些密碼去加密訊息,並將其寄給另一個人,然後另一個人可以使用其密碼去解密。

SSL 憑證會將公司的資訊與密碼或金鑰相連結,以便您可以確定自己是與您可信任的網站在通訊。

以下是運作的方式:

  • 當您連接至一個網站時,您的瀏覽器會要求代管網站的網站伺服器要自我標示
  • 伺服器寄送其 SSL 憑證的副本
  • 瀏覽器驗證憑證
  • 瀏覽器與伺服器確認憑證已被驗證
  • 伺服器發回經過數位簽章的回條確認
  • 資料傳輸加密於瀏覽器和伺服器的通訊期間

在此過中,為了要確認 SSL 憑證屬於相關的伺服器,憑證必須要經由證書頒發機構簽章。

這是一組經過挑選的供應商,他們將採取步驟以驗證 SSL 憑證的請求者為其所聲稱的身份。目前有很多種方式可以進行驗證,確切地進行驗證以對應不同類型的 SSL 憑證。

如何取得 SSL 憑證?

當您購買 SSL 憑證時,必須考慮兩個要素。

首先,您需要哪種類型的驗證?驗證可以非常簡單,甚至可以自動化,但它也可能需要一個月的時間去驗證法律文件和公共企業註冊的數據資料。

以下是 SSL 憑證創建所需的基本步驟:

  1. 選擇憑證方案
  2. 建立 CSR(憑證簽署請求)
  3. 選擇驗證方式

SSL 憑證方案

SSL 憑證有多種不同方案,每種憑證方案涵蓋不同數量的位址:

  • 單一位址:此類型的憑證僅涵蓋一個子域名和一個裸域名(無任何子域名)。通常,會選擇的子域名是 www。
  • 萬用字元:此類型憑證涵蓋所有子域名。該名稱來自 “萬用字元”,* 表示可以用任何值替換該字符,因此 *.example.com 代表 www.example.com,但也可能代表 foo.example.com、shop.example.com,store.example.com 等等。萬用字元憑證將涵蓋所有這些可能性。

/!\ 萬用字元憑證涵蓋 *.example.com 但不涵蓋 *.*.example.com。也就是說,其涵蓋 foo.example.com 但不涵蓋 www.foo.example.com、shop.foo.example.com、foo.shop.example.com,或是所有其它此類型的域名。

  • 多重域名:此憑證涵蓋一個以上的域名。您必須指定要覆蓋哪個域名,但是您可以選擇覆蓋多個域名,無論它們是以什麼方式與域名連結。

SSL 憑證簽章請求

憑證簽章 (英文為 CSR,Certificate Signing Request) 是寄送給憑證頒發機構(CA) 所寄出的一個檔案。透過向 CA 提供 “簽署” 憑證所需的內容,其同時可以作為證書請求,也可以作為證書建立程序的開始。

如果您在您的主機上購買 SSL 憑證,可以自動產生憑證,與在 Gandi 的 Simple Hosting 上購買主機以獲得 SSL 憑證的情況相同。

您可以在我們的線上文件中找到如何生成 CSR 的相關資訊。

接著,您必須選擇驗證的方法。以下為 SSL 憑證的驗證種類:

標準 SSL 憑證驗證

標準憑證使用的是自動驗證。此驗證級別的目的是要驗證證書的申請人也對域名具有管理權限,這代表著他可以修改域名的技術設定。執行這件事的作法有很多種:

  • DNS 驗證:CA 提供 DNS 記錄,域名所有權人必須將其新增到 DNS 區域檔紀錄中。一旦 CA 完成驗證記錄後,就會頒發憑證。
  • 電子郵件驗證:CA 會寄發一封電子郵件給域名的 admin@(網域名稱) 的電子郵件地址進行驗證。在域名的所有權人收到此封郵件並點選郵件中的連結後,CA 就會頒發憑證。
  • 文件驗證:CA 提供一個文件給域名所有權人放在其網站伺服器上。一旦 CA 可以驗證到文件的存在,憑證就可以被頒發。

標準驗證憑證被用來保護所有與您網站相連的頁面,像是您網站上的管理介面、會員保留區,或是訊息服務的網站。

進階 SSL 憑證驗證

進階憑證能在出現安全漏洞或問題的情況下增加保險,與標準憑證之外有額外驗證。

因此,如果您希望購買此類型的憑證,您必須提供身份證明文件作為附加驗證條件。

進階 SSL 憑證可用於各類進行金融交易的網站,例如電子商務網站,或是客戶連結區域。

企業 SSL 憑證驗證

企業 SSL 憑證用途與進階 SSL 憑證相同,但企業 SSL 憑證還包含了您的公司在公共註冊文件中的驗證,其包括電話驗證。所有這些程序都是為了向您的客戶提供其它驗證。

此類型的憑證適用於處理大量非常敏感數據的網站,像是大型電子商務網站,並且此類型憑證提供了當前可用的最高級別的保護。

在 Gandi 取得 SSL 憑證

如果您已經準備好取得 SSL 憑證,您可以立即在 Gandi 進行操作。