SSL 和 TLS 是什麼?
SSL 和 TLS 都是加密協議,用於從客戶端到伺服器、電腦或應用程式數據傳輸的加密和驗證。
SSL(Secure Socket Layer)是 TLS(Transport Layer Security)的前身,SSL 於1995年由 Netscape 開發,用於保障網路上數據傳輸的安全,不過有許多漏洞,因此一年後被 SSL v3.0 取代,但這個版本也不完美,所以1999年推出了 TLS,屬於 SSL v3.0 的後續版本。現在,大多數設備和瀏覽器都已支援 TLS v1.2。然而許多人習慣了 SSL 這個名詞,因此他們將 TLS 稱為 SSL。多數人現在使用 SSL/TLS 這個名詞作為代表。
網站為何需要 SSL/TLS?
HTTP 是一種網際網路的傳輸協議,主要是將數據從網頁瀏覽器傳輸到網頁伺服器,更簡單的說,是將瀏覽網頁傳遞到瀏覽器上。
不過,HTTP 連線本身不安全,數據公開發送出去,任何人都能看到。HTTP 容易受到中間人攻擊,這表示任何窺探流量的人都可能竊取您的登入或信用卡資訊。
因此有了超文本傳輸安全協議 HTTPS,其中的 “S” 指的是安全性(Security)。 HTTPS 結合了處理資料傳輸的 HTTP 和處理資料加密的 SSL/TLS。使用 SSL/TLS 加密,傳輸數據更加安全,這表示任何窺探流量的人只能看到加密的數據。如今,大多數網站都使用 HTTPS。
SSL/TLS 主要的目的包括:
- 認證網站,確保數據確實發送到正確的網站,而非假冒的釣魚網站。
- 建立加密連線,以防止數據中途被竊取。
- 確保數據的完整性,確保數據在傳輸過程中不會被改變。
SSL 如何運作
SSL/TLS 加密可分為兩個階段:SSL/TLS 握手協議(SSL handshake)和 SSL/TLS 紀錄層,以下我們會詳細說明。
SSL 握手協議
SSL 握手是客戶端和伺服器之間的一種通訊形式。在這種通訊形式中,客戶端和伺服器會決定如何進行進一步的通訊。以下是 SSL 握手的方式:
- 客戶端發出「hello」請求,並將客戶端支援的 SSL 版本和加密演算法發送給網頁伺服器。
- 伺服器收到客戶端的「hello」請求,然後伺服器回傳「hello」到客戶端,並傳送 SSL 證書和公鑰,這裡的客戶端和伺服器用非對稱加密來交換安全資訊。這表示客戶端需要伺服器的公鑰來加密訊息,而伺服器需要公鑰和私鑰來解密訊息。任何窺探流量的人都無法破解傳輸的加密訊息。
- 然後,客戶端使用伺服器的公鑰建造 pre-master secret,這是一個亂數,並將其發送到伺服器,以建造對話金鑰(session key),這會將通訊提升為對稱加密。目前這兩端只使用私鑰,對稱加密讓通訊速度更快,而且使用更少的資源。
- 伺服器解密 pre-master secret,使用它建立金鑰並與客戶端交換。藉由對稱加密的建立,雙方現在可以交換加密訊息,網站的傳輸是安全的。
SSL/TLS 紀錄層
這個階段會傳輸加密資料,數據從用戶應用程式發送並加密。根據加密演算法的不同,數據可能會被壓縮。然後加密訊息會被發送到網路傳輸層,該層會決定如何將數據發送到目標設備。
什麼是 SSL 憑證,為何需要 SSL 憑證?
支援TLS的網頁伺服器必須安裝「SSL憑證」,SSL 憑證由受信任的數位憑證認證機構(Certificate Authority,CA)核發,例如 TWCA 臺灣網路認證公司。在 SSL/TLS 握手過程中會需要憑證來證明它們確實是安全連線的提供者。
不過,協議與憑證是不同的,連線期間將使用 SSL 或 TLS 哪種協議、取決於瀏覽器和伺服器的設定,而不是網站的憑證。因此,有可能連接到具有 HTTPS 但使用過時 SSL v3.0 協議的網站。
這種連線很容易受到攻擊,大多數新版瀏覽器會在網址列中提示 HTTPS 連線狀況,通常出現鎖頭符號代表安全連線。但如果您擔心意外連到只支援 SSL v3.0 的網站,可以手動停用 SSL 連線,但這可能會導致連線中斷。
SSL 憑證有到期日,並會註明簽發單位。SSL 憑證必須定期更新以維持憑證有效性,如果網站的SSL憑證過期,瀏覽器會將網站視為不安全。如果網站安裝非 CA 機構核發的憑證或偽照憑證,瀏覽器也會將網站視為不安全。
結論
SSL 技術發展已久,多數網站都已安裝 SSL 憑證,以確保資訊不會被攔截盜用。重要的是,用戶在瀏覽網頁時,要懂得識別網站是否以安全的 HTTPS 連線,尤其是瀏覽社群網站、進行網路購物、使用網路銀行時,以避免個人資料、信用卡資訊、銀行帳戶資訊被中途攔截,導致敏感資訊外洩。
使用 NordVPN 保護您的網上安全性。試用無風險 NordVPN,30 天退款保證。
已驗證作者
