文章彙整

HTTPS 跨時代的網路資安新方法

By Astral Web 2 years agoNo Comments
首頁  /  網站設計與開發  /  網站測試  /  HTTPS 跨時代的網路資安新方法

https

在數位世界中,如何確保個人隱私的保密及安全一直是大家都非常關注的議題。同時,電商經營者也希望藉由安全性能的提升,確保他們的客戶能享有最安全的瀏覽及購物經驗。

從過去的一年到最近,有幾起關於保護個人數位資訊隱私的新聞值得讓我們留意:FBI要求Apple提供破解iPhone的程式但遭到後者拒絕、知名通訊軟體WhatsApp將所有通訊內容改為使用加密連線傳輸、極受歡迎的部落格平台wordpress.com將所有註冊在其網域下的部落格改為HTTPS連線、甚至搜尋引擎巨擘Google也宣布將會對全站採用HTTPS連線的網站提升排名。這些全球知名企業對於資訊傳輸安全性的重視實質上反應了使用者的需求。

從在地的觀點看,前一陣子沸沸揚揚的肯亞案也衍生出一些值得電商經營者討論的話題。

詐騙集團的問題一直困擾許多民眾,許多人在接到詐騙電話或簡訊時的第一個問題往往是”他們怎麼會有我的資料的?“或”他們怎麼知道我最近在網絡上做過這些事的?“;這樣的疑惑會使更多人對如何保護私密資料更加重視。對於電商經營者而言,由於網路使用者在輸入敏感的個人資料如姓名、聯絡資訊、信用卡卡號時會更加謹慎,如何讓潛在客戶能放心在自己的網站上購物已然是極其重要的問題;有在關心自家購物網站遺棄購物車比率的電商經營者有可能會發現不管商品再怎麽吸引人、價格再有競爭力、網站使用者界面再怎麼親和簡便,面對居高不下的遺棄購物車率時也不得不考慮到網站安全性這項經常被自己忽略的網站元素對整體業績會造成的可能的影響。

 

什麼是HTTPS?為什麼如此重要?

使用HTTPS的網站必須獲得一個簡稱為CA(Certificate Authority)的安全憑證,大部分頒發安全憑證的機構資料會內建在瀏覽器中,這樣當使用者造訪這個網站時,瀏覽器才能辨識出這個網站的安全憑證是有效的;如果瀏覽器無法辨識這個安全憑證的提供者的話,

有別於許多人熟悉的HTTP傳輸協定,HTTPS的中文為“超文字傳輸安全協定”;也就是這段傳輸一樣是透過HTTP傳遞,但不同的是傳遞內容是利用SSL加密過的資訊,可以有效保護傳輸雙方的資料。

由於傳輸的資料被加密過,使用HTTPS的網站會具有以下的安全特性:

  1. 可認證性:可確保使用者輸入的敏感資料如帳號、密碼、電話、住址、信用卡卡號、第三方支付的密碼等資料都被安全的傳遞到正確的接收者手中。以寄信來比喻,寄信人填好了地址後,即便郵差先生能將信件寄到正確的地址,還是必須透過掛號信等方式來確保這封信件能傳到正確的收信人手中。
  2. 一致性:透過加密的方式,可確保傳遞的資料在傳輸過程中不會被竄改。如果傳輸的資訊可以被任意的攔截、解讀的話,那麼有心人士就不難把攔截到的資訊修改之後再傳給收件者了。
  3. 保密性:由於傳遞的資料被加密過,確保雙向溝通的資訊不會被第三者監聽、破譯、竄改。MITM (Man In The Middle)指的是透過躲在發送跟接收方之間的第三者,兩個被害人不會意識到自己發送出去的訊息都會先被MITM接收;針對收到的訊息,MITM可以直接轉發給接收方,也可以竄改後再轉發以達成自己的目的。

    除了安全性之外的好處

    看到這裡,有經驗的電商經營者腦海中應該已經浮現更多問題了:隨之而來的新增成本呢?加密會不會影響我的網站速度、因而影響使用者體驗呢?

    大部分的SSL等安全憑證是需要定期購買的,有一些廠商會提供免費的試用期,有興趣的讀者可以參考歐斯瑞之前分享的資訊”如何購買與安裝SSL憑證“(http://www.astralweb.com.tw/how-to-purchase-and-install-an-ssl-certificate/)。
    除了憑證的成本之外,網頁內容加密、解密造成的硬體負擔也有許多方法可以緩解;來自Facebook及Twitter的專家們已經確認即使採用了安全連線,使用Keepalives等技術可以減少金鑰加密時的硬體負擔,對新一代CPU來說這樣的運算也已不是多麼困難的工作了。
    至於網頁載入速度的部分,Google先前力推的SPDY以及以SPDY為基礎的HTTP/2通訊協定已經可支援HTTPS,使用了安全連線的網站大可透過更先進更快的HTTP/2來彌補甚至使網頁達到既安全又快速的完善境界,由於採用多工及伺服器推送等新技術的關係,HTTP/2可以更快的載入網頁。關於HTTP/2如何使網頁載入更快的原理,有興趣的讀者可以參考我們之前分享的文章”HTTP2的好處“(http://www.astralweb.com.tw/the-benefits-of-http2/)。
    除了更安全、更快速之外,Google為了鼓勵網站經營者,他們在Webmaster Central的官方部落格也宣布HTTPS已成為計算網站排名時採計的計分標準之一(https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html );雖然在初期為了給網站多一點時間因應,這項分數的權重還不算高,但為了鼓勵網站提供使用者更安全的環境,Google會逐步修改搜尋演算法,屆時採用HTTPS與否對網站排名的影響一定會越來越大。

     

http2https

 

如何將HTTP網站轉成HTTPS?

看到這裡,大家是不是已經摩拳擦掌、迫不及待想體驗一下HTTPS了呢?跟著我們一步一步了解如何設定吧!

  1. 首先,您必須要有一個有效的SSL憑證。如果預算許可,您當然可以使用付費的憑證,但這裡有一個更令人興奮的好消息,為了推廣HTTPS的使用率,由EFF、Mozilla基金會、Amamai、Cisco以及Linux基金會等網路大咖組成的非營利組織ISRG也提供免費的SSL/TLS憑證Let’s Encrypt(https://letsencrypt.org/getting-started/)。
  2. 使用cerbot之類的方式,將憑證安裝到您的網站主機上(這部分因為需要較多的技術支援,您可以請公司的IT部門支援或是找合適的專業廠商進行)。
  3. 調整網站及網頁的設定,例如確認所有網頁上的內容連結都改成https開頭或是已使用相對路徑。這步驟也很重要,因為如果網頁上有不屬於安全連線的內容的話,使用者開啟您的網頁時瀏覽器可能會有警告出現,這樣反而會對使用者體驗造成反效果。
  4. 自己的網站設定完成後,接下來就要讓搜尋引擎知道您的網站已經使用HTTPS了,您可以找專家一起確認網站的相關設定如HSTS(HTTP Strict Yransport Security)、robot.txt以及canonical都依照搜尋引擎的規範設定完成。

 

立即行動!

讓您的網站使用HTTPS可以為您的讀者及客戶提供更安全、快速的瀏覽及購物體驗,同時對於網站的曝光度也大有助益。雖然設定步驟有點複雜,您可能會需要相關的專家協助,但帶來的效益絕對值得您投資,今天就拿起電話或寫Email聯絡您的網站提供廠商或是歐斯瑞吧!

 

以上內容由Astralweb 歐斯瑞編寫製作

 000

推薦文章

Category:
  網站測試

留下回應

你的電子郵件地址不會被公開.

取得獨家電子商務祕技

建立更好的策略靈感

跟上全球的網路趨勢

絕佳的電商解決方案

電子商務戰略全指南

每月發送電商戰略指南,只要填寫E-mail即可訂閱!

請到您的信箱確認,即可完成訂閱。