在瀏覽各大網站的經驗中,你有沒有注意過左上角網址列這一個小鎖頭呢?你知道它代表的意義嗎?
如果你想架設一個網站,不論是 形象網站 或是 購物網站,那你一定需要 SSL 憑證!
否則你可能會面臨駭客攻擊風險、或是降低你的網站 SEO 排名。
這篇文章,將會帶你認識 SSL 憑證,並告訴你該如何將它安裝在你的網站。
讓我們開始吧:)
- 1. SSL 憑證是什麼?
- 2. 沒有SSL 憑證,會怎麼樣?
- 3. SSL 安裝後的優點?
- 4. SSL 憑證種類
- 5. 如何為網站安裝 SSL 憑證?
- 6. 如何判斷成功設置 SSL 憑證?
- 常見問題
- WordPress 學習資源
1. SSL 憑證是什麼?
SSL 憑證是架設網站不可或缺的設定,幾乎所有網站都有安裝 SSL 憑證,主要用於確保網際網路連線安全,保障用戶隱私和資料安全( 如:帳號密碼、信用卡號⋯等 )。
SSL 憑證功能介紹
SSL( Secure Sockets Layer ),中文稱「 安全通訊協定或安全通訊端層 」,網站上的資料是以純文字形式傳輸的,如果有任何有心人士嘗試截取資料都可以讀取。
舉個例子,用戶在購物網站下訂單,並在網站上輸入他們的信用卡號,那麼客戶的信用卡號將毫無保留地在網路上傳送。
為了加強用戶的隱私安全,SSL 會加密在兩個網站間互相傳輸的所有資料,任何嘗試攔截資料的人只會看見幾乎無法解密的模糊亂碼。
下面是文字經過 SSL 加密前後的對比:
- SSL 加密前的傳送文字:
Hello World !
- 經 SSL 加密後的文字:
BPlgGyfkfYjOaa+9XCk63Y+z0Fz/n3bo3Ofh=BPDW7ITEwIXc1gU5X73xMsJoro6Af
大家口中的 SSL 其實叫 TLS?
在 1999 年,一個叫 TLS( Transport Layer Security )的通訊協定出現了,中文稱「 傳輸層安全性協定 」。
它是由 SSL 協定演變而來,由於 SSL 協定被發現擁有太多的設計漏洞,2014 年 Apple、Google 和 Mozilla 三大瀏覽器( Safari、Chrome 和 Firefox )皆陸續宣布禁用 SSL,強制使用 TLS。
| | SSL | TLS |
|---|---|---|
| 最初發布時間 | 1995 年 | 1999 年 |
| 功能 | 建立伺服器與瀏覽器的加密連線,防止網站資料被竊取 | 建立加密連線,但比 SSL 功能更完善 |
| 安全性 | 低 | 高 |
| 最新版本 | SSL 3.0( 2015 年已全面停用 ) | TLS 1.3( 2018 年發布 ) |
簡單來說,TLS 就是更新、更安全的 SSL ,現今所有 SSL 都已被 TLS 取代,只是大家都還是習慣說 SSL 而非 TLS。
2. 沒有 SSL 憑證,會怎麼樣?
若你造訪的網站尚未安裝 SSL 憑證,那麼建議要格外小心注意。因為當你在瀏覽網站時,你的資料隱私並不安全!這會發生什麼事呢?
金流個資外洩
一般的網站通常都會包含聯絡表單,讓顧客可以留下姓名、電話、地址等敏感資訊,供商家聯絡報價。如果沒有經過 SSL 加密資料,有心人士可以輕易取得顧客的個資,做不法用途。
那大型的購物網站除了顧客的個資外,還有金流資訊!
顧客在進行交易時輸入信用卡號碼、CVV 安全碼等金融資訊,如果資料在傳輸過程中未經過 SSL 加密,有可能導致信用卡詐騙或盜刷等金錢損失。
造訪未經過 SSL 加密的網站,可能會遭有心人士:
- 竊取帳密
- 盜取電話個資
- 更改帳號密碼,進行冒名詐騙
- 竊取信用卡號
常見的 SSL 攻擊
對於沒有 SSL 會怎麼樣還是沒什麼概念嗎?讓我們舉些日常的例子,讓你更了解沒有 SSL 憑證會發生哪些事,這些例子你可能也曾遇過。
1. 不安全的公共 Wi-Fi 連線
當你想要連接機場或飯店等場所的公共 Wi-Fi 時,有心人士可能會創建一個偽造的 Wi-Fi 熱點,並截取你與網站之間的通訊。如果網站在這種情況下沒有使用 SSL 加密,攻擊者可以輕鬆地截取你的個人資料。
2. 偽造的釣魚網站
疫情期間,有心人士看準民眾需於網路上申請疫苗預約、紓困金申請…等,所以建立了偽造的網站,試圖欺騙使用者提供帳戶資料、密碼或信用卡資訊等相關個資,期間有不少民眾受騙上當。
所以提醒大家,於任何網站填寫資料前,請先確認網站是否有 SSL 認證。
3. 冒用官方名義,要求點選連結按鈕的信件
你可能也有收過釣魚攻擊的電子郵件或手機簡訊,有心人士發送看似合法的訊息,假冒知名社群軟體或是銀行,試圖誘騙點擊惡意連結或提供個人資訊。
當你不小心上當,並進行密碼重設等行動時,沒有 SSL 保護,有心人士就豪不費力地竊取了你的隱私資料。
3. SSL 安裝後的優點?
安裝 SSL 對於客戶或是商家都有很大的安全保障,除了最基本的可以保護個資隱私安全,甚至能提升網站 SEO!
你的網站是否能出現在搜尋頁前面的位置,跟網站 SEO 有很大的關係。更多 SEO 是什麼。
提升 SEO 排名
早在 2014 年 Google 就已宣布 將 HTTPS 納入排名信號,網站是否採用安全加密連線,會成為搜尋排名演算法信號之一。
這表示網站是否安裝 SSL 憑證,將影響整個搜尋結果。
若你的網站有安裝 SSL 憑證,那麼就可以得到比較好的排名。反之,若你的網站沒有安裝 SSL,則可能會降低網站 SEO 分數。更多 WordPress SEO 優化教學。
提升網站信任度
Google 宣布自 2018 年 7 月起,Chrome 瀏覽器將會針對所有 HTTP 網站標示「不安全」。
若網站沒有安裝 SSL 憑證,瀏覽器會出現警告符號,並提醒瀏覽者此網站連線並不安全。這當然會使客戶擔心自己瀏覽網站時,有資安外洩疑慮,進而離開網站。
所以我們建議一定要為你的網站安裝 SSL 憑證,有了 SSL 憑證,瀏覽者才能放心瀏覽你的網站。
像犬哥網站就有安裝 SSL 憑證,你可以看見網址列有安全鎖頭標示。
你可以進一步點擊鎖頭,進到安全連線欄位裡面,將會看到文字說明「 已建立安全連線,傳送給這個網站的資訊不會外洩 」,表示網站很安全,你可以放心於犬哥網站瀏覽文章、留言。
4. SSL 憑證種類
通常免費版的 SSL 憑證,就已經滿夠大部分的人使用了。但如果公司有需要更高一層的防護等級,那這時使用進階 SSL 憑證(付費版),就會有它的必要了。
有關進階 SSL 憑證,主要又分為「 DV、OV、EV 」這三種等級,而不同等級的保護力&價格也會有差異。
免費與付費 SSL 差別
| 免費型 | 付費型 | |
|---|---|---|
| 效期 | 3 個月 | 1 年 |
| 公信力 | 不一定通過國際規範 | Webtrust 與各大瀏覽器認可 |
| 安裝協助 | 僅提供有限的協助 | 專人協助到好 |
| 網域限制 | 僅能用於單一網站 | 可涵蓋子網域、跨網域 |
| 損害賠償 | 無 | 有 |
免費及需要付費的 SSL 憑證,保護力當然也會有所不同,付費 SSL 驗證機制完整且嚴謹,且可以涵蓋多網域,方便大型企業經營維護,若真的不幸發生攻擊事件,也有損害賠償。
不過免費 SSL 也具有基本的加密功能,使用 Chrome 瀏覽時也會出現 HTTPS 安全鎖頭,所以如果預算有限,那先使用免費版本其實就很夠用了。此外,免費型 SSL 雖效期較短,但通常會在期滿前自動重新簽發。
提醒大家,你可能會發現有些付費 SSL 憑證可以購買 2 年或以上的效期,但自 2020 年起,Apple、Google 和 Mozilla 宣布不再接受有效期超過 398 天的 SSL 憑證,必須注意。
DV、OV、EV三種等級差別
SSL 憑證又分三種等級,DV(Domain Validated)、OV(Organization Validated)和 EV(Extended Validation),讓我們來簡單告訴你它們之間的差別,以及你的網站適合哪個等級的憑證吧!
| | DV | OV | EV |
|---|---|---|---|
| 等級 | 最基本的 SSL 證書 | 高級 SSL 證書 | 最高級別 SSL 證書 |
| 價格 | 低 | 中 | 高 |
| 驗證方式 | 網站所有權驗證 | 網站所有權驗證 企業存在合法性驗證 | 網站所有權驗證 企業存在合法性驗證 企業與域名關聯性驗證 |
| 適用網站 | 個人網站、部落格 | 商業網站 | 購物網站、金融企業 |
付費 SSL 憑證根據驗證程度不同,可信度和保護力都有所差異,你可以根據自己的需求和預算,選擇適合的等級,來保護你的網站和隱私資料。
如果你的網站在資安上有更進階的要求,那搭配高等級的 SSL 憑證也是個好選擇!
5. 如何為網站安裝 SSL 憑證?
想要為網站設定 SSL 憑證有非常多種方式,申請 SSL 憑證並不困難,不會程式碼也能簡單解決!
除了可以透過主機端設定,也能透過 WordPress 外掛輕鬆設定。
主機端開啟 SSL 憑證
許多優質的虛擬主機商都會配置免費的 SSL 憑證,這邊以 Bluehost 主機做一個例子。
首先進到 Bluehost,接著前往 My Sites,你會看到右上方有 Security 項目。點擊後,下方有一個 Security Certificate,點選按鈕變成 ON,這樣就完成啦!是不是很簡單呢?
若你還想了解更多,或你是使用 Bluehost 以外的主機架站,可以參考犬哥網站的 Bluehost 教學、 A2 Hosting 教學、Cloudways 教學。
使用 WordPress 外掛解決
若主機商沒有提供 SSL 憑證服務,也可使用 Really Simple SSL 外掛申請 SSL 憑證。如何安裝外掛可參考犬哥網站WordPress 外掛安裝 教學。
成功啟用後,Really Simple SSL 外掛會顯示你的網站已成功啟用 SSL,下方也會列出已完成的安全功能,或是需要再修正的問題。
不論你用哪一種方法設置 SSL,都需要等一段時間憑證才會生效。
建議可以過一天後再來確認網站是否安裝成功唷!
6.如何判斷成功設置 SSL 憑證?
終於完成 SSL 的設置了!不過你可能還是會擔心,到底我的網站有沒有安裝成功?
以下有幾個方法可以確認網站的安全性。
簡易判斷
可透過網址列檢查,有設置 SSL 憑證的網站網址開頭為 HTTPS 而非 HTTP,且會有一個🔒安全鎖頭,顯示網站已建立安全連線。
一般檢查工具
許多網站可以免費檢測 SSL,只需要簡單輸入網址,就能顯示網站是否安全。
這邊提供 2 個可以簡單免費檢測 SSL 的網站給大家,分別為知名網域註冊商「 GoDaddy 」及非營利單位「 財團法人台灣網路資訊中心 」。
1. GoDaddy 免費 SSL 檢查工具
GoDaddy 是知名的網域註冊商,也有虛擬主機、SSL 憑證等服務。它有提供免費的 SSL 檢查工具,不論你是不是透過 GoDaddy 購買網域或主機,都能夠免費檢測。
2. 財團法人台灣網路資訊中心
財團法人台灣網路資訊中心( TWNIC )為交通部電信總局及中華民國電腦學會共同捐助成立,主管機關為交通部,提供網站 SSL、網路連線等免費檢測。需要注意,輸入網址時不能包含「 https:// 」,否則網站會出現錯誤,無法檢測。
例如犬哥網站完整網址為「 https://frankknow.com/ 」,於台灣網路資訊中心檢測 SSL 時,只需輸入「 frankknow.com 」即可。
3. 進階檢查工具:
若你想要更進階的顯示網站各項安全評估,你也可以上 Qualys SSL Labs 做免費的 SSL Server Test,網站會列出細項評分,並打上一個平均成績,最高為 「 A+ 」。
此外,在結果頁面也會詳細地列出網站的 SSL 相關設定值,並且標出有風險的項目。
檢測結果顯示網站安全,那麼你的網站就是已經有 SSL 保護安全的網站了!
不過未來還是記得要檢查「 網站 SSL 憑證 」是否到期需要更新唷!
常見問題
為什麼搜尋我的網站會跑出「無法建立安全連線」?
當你的網站出現「無法建立安全連線」的訊息時,通常表示網站沒有安裝 SSL(TLS)或者安裝過程中出了問題,請檢查網站 SSL 驗證並確實安裝。
我適合哪種 SSL 憑證?
若你經營的網站純粹為美食、文章分享等部落格,比較不需要使用者輸入敏感資訊,可以選擇最簡單的 SSL 憑證。若你欲經營購物網站,將牽涉金流個資,那麼則建議你使用等級較高的付費 SSL,確保資訊安全。
SSL憑證會過期嗎?
會的,免費的 SSL 憑證效期為 3 個月(通常會自動重新簽發),付費 SSL 則為 1 年,請留意自身網站 SSL 憑證是否到期。
WordPress 學習資源
學習 WordPress 網站架設流程中,或許會遇到一些解決不了問題,可以在下方留言給我,我會盡力協助解答!
接下來,額外分享 3 項架站資源,可有效幫助大家處理網站問題。
資源一:犬哥數位(專業 WordPress 網頁設計公司)
如果你沒時間自己架站、或是遇到解決不了的網站問題。歡迎洽詢 犬哥數位(WordPress 網頁設計公司),請專家製作會更有效率!
資源二:WP 精選模組攻略書
由於 WordPress 主題 / 外掛有非常多種,很多網友私訊我不知道安裝哪一款,才有辦法實現功能。或是已經試了很多款外掛,但始終找不到適合自己的。
對此我整理了 高達 100 多款精選主題&外掛大全(電子書),這些都是我們團隊協助客戶開發案件時,會搭配使用的。一來外掛品質優良,二來功能性也足夠強!
資源三:官方教學資源(含 FB 社群解答)
如果你偏愛自架網站,也歡迎持續關注 犬哥網站 Blog,我們都持續有發布新的網站架設、網路行銷教學。
或是你比較喜歡看影片學習,也可關注 YouTube 頻道,幫助你更容易進入狀況。
當然,如果你在操作過程中遇到問題,也可以加入 WordPress 架站 x SEO 教學時光屋 – 犬哥網站 ,除了有網友一同幫你解惑外,犬哥團隊也會同步在社團幫助大家。
