什麼是 HTTPS?

HTTPS 是在網頁伺服器與 Web 瀏覽器之間傳送資料的安全方式。

學習目標

閱讀本文後,您將能夠:

  • 定義 HTTPS
  • 探索 HTTPS 的運作方式
  • 瞭解 HTTPS 的重要性
  • 瞭解如何在網站上取得 HTTPS

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 HTTPS?

超文字安全傳輸通訊協定 (HTTPS) 是 HTTP 的安全版本,HTTP 是用於在 Web 瀏覽器和網站之間傳送資料的主要通訊協定。HTTPS 經過加密,以提高資料傳輸的安全性。當使用者傳輸敏感性資料(例如透過登入銀行帳戶、電子郵件服務或健康保險提供者)時,這一點尤其重要。

任何網站(尤其是需要登入憑證的網站)都應使用 HTTPS。在現代的 Web 瀏覽器中(例如 Chrome),未使用 HTTPS 的網站會以不同的方式標記。請留意 URL 列中的綠色鎖頭,這表示網頁安全無虞。Web 瀏覽器相當嚴正看待 HTTPS;Google Chrome 和其他瀏覽器會將所有非 HTTPS 網站標示為不安全

Google Chrome 安全性範例

HTTPS 如何運作?

HTTPS 使用加密通訊協定對通訊進行加密。該通訊協定稱為 Transport Layer Security (TLS),但以前稱為安全通訊端層 (SSL)。該通訊協定透過使用所謂的非對稱公開金鑰基礎結構來保護通訊。這種類型的安全系統使用兩個不同的金鑰來加密兩方之間的通訊:

  1. 私密金鑰:此金鑰由網站擁有者控制,並且如讀者所推測的那樣,它是私有的。此金鑰位於 Web 伺服器上,用於解密透過公開金鑰加密的資訊。
  2. 公開金鑰:所有想要以安全方式與伺服器互動的人都可以使用此金鑰。用公開金鑰加密的資訊只能用私密金鑰解密。
電子書
最大化安全性與效能的 5 種方法
電子書
在攻擊生命週期的所有階段提供 Everywhere Security

為什麼 HTTPS 很重要? 如果網站沒有 HTTPS,會發生什麼情況?

HTTPS 讓網站不會以任何在網路上窺探的人都能輕鬆查看的方式廣播資訊。透過常規 HTTP 傳送資訊時,資訊會分解為封包,使用免費軟體即可輕鬆「嗅探」這些封包。這使得透過不安全媒介(例如公用 Wi-Fi)進行的通訊極易受到攔截。實際上,所有透過 HTTP 進行的通訊都是以純文字形式進行的,因此,只要使用適當的工具,任何都可以輕鬆存取,而且容易遭受中間人攻擊

使用 HTTPS 時,流量會經過加密,即使嗅探到封包或以其他方式截取封包,它們也會呈現為無意義的字元。我們來看一個範例:

加密前:

This is a string of text that is completely readable

加密後:

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

在不使用 HTTPS 的網站中,網際網路服務提供者 (ISP) 或其他中間人有可以在未經網站擁有者核准的情況下將內容插入網頁。這通常採用廣告形式,希望增加收入的 ISP 將付費廣告插入其客戶的網頁中。毋庸置疑,當這種情況發生時,絕不會與網站擁有者分享廣告的利潤和這些廣告的品質控制。HTTPS 杜絕了未經審核的第三方將廣告插入Web 內容的可能。

第三方內容插入

影像來自 Ars Technica

如需 HTTPS 所提供好處的完整清單,請參閱為什麼要使用 HTTPS?

註冊
所有 Cloudflare 方案中均包含免費 SSL

HTTPS 使用哪個連接埠?

HTTPS 使用連接埠 443,這與 HTTP 不同,後者使用連接埠 80。

(在網路中,連接埠是基於虛擬軟體的點,這些點是連線開始和結束的地方。所有與網路連線的電腦都會公開一些連接埠,使其能夠接收流量。每個連接埠都與特定程序或服務相關聯,而不同的通訊協定則使用不同的連接埠。)

HTTPS 與 HTTP 還有何不同?

從技術上來講,HTTPS 並不是獨立於 HTTP 的通訊協定。它只是在 HTTP 通訊協定的基礎上使用 TLS/SSL 加密。HTTPS 基於 TLS/SSL 憑證的傳輸而發生,該憑證驗證特定提供者就是他們所聲稱的身分。

當使用者連接網頁時,該網頁將透過其 SSL 憑證傳送,憑證包含啟動安全工作階段所需的公開金鑰。然後,兩台電腦(用戶端和伺服器)將經歷一個稱為 SSL/TLS 交握的過程,即用於建立安全連線的一系列來回通訊。要更深入地瞭解加密和 SSL/TLS 交握,請閱讀 TLS 交握期間會發生什麼

網站如何開始使用 HTTPS?

許多網站託管提供者和其他服務提供收費的 TLS/SSL 憑證。這些憑證通常會在許多客戶之間共用。也有更加昂貴的憑證,可以單獨註冊到特定的 Web 內容。

所有使用 Cloudflare 的網站均透過共用憑證免費獲得 HTTPS(此技術詞彙為多網域 SSL 憑證)。設定免費帳戶將確保 Web 內容獲得不斷更新的 HTTPS 保護。您也可以探索我們的付費方案,以獲取個人憑證和其他功能。無論哪種情況,Web 內容都可以享受使用 HTTPS 的所有益處。