當我們在瀏覽器中輸入網址時,背後的運作機制,實際上是我們對網站伺服器發送了一個訪問請求,等待伺服器回應後,我們才能順利瀏覽網站,過程中會有許多的通訊協定影響數據在用戶端與網站伺服器之間傳輸,HTTP 和 HTTPS 就是其中兩種常見的網路通訊協定,而兩種通訊協定最主要的差別就在於「安全性」,兩種網址看到的網站內容並不會有差異。
1. HTTP 是什麼?
HTTP(Hypertext Transfer Protocol)是一種用於傳輸網頁資訊的通訊協定,它是網站上數據通訊的基本協定。HTTP 的運作方式是通過用戶端(例如瀏覽器)向伺服器發送請求,然後伺服器根據請求返回相應的資源或數據。
傳統的 HTTP 協定是以明文的形式傳輸資料,內容只規範了用戶端的請求與伺服器回應的標準,並沒有關於數據傳輸加密的相關內容,這意味著數據在傳輸的過程中容易被有心人截取和竊取。
2. HTTPS 是什麼?
HTTPS,全名為超文本安全傳輸協定(Hypertext Transfer Protocol Secure),是一種基於 HTTP 協定的安全性擴充。相對於 HTTP,HTTPS 的主要區別在於其加密數據傳輸的功能。
HTTPS 透過使用 SSL(Secure Sockets Layer)或 TLS(Transport Layer Security)協定,確保了在用戶端和伺服器之間傳輸的數據的加密和安全性,數據較難以被攔截,而就算數據被攔截、竊取,也因為數據經過加密,會以亂數呈現故難以被解讀。
除了數據加密外,HTTPS 還提供了其他安全性功能,例如身份驗證和數據完整性驗證,這些功能進一步提高了網站和用戶之間的安全性。
3. HTTPS 的執行原理
HTTPS 的執行原理是利用 SSL/TLS 來對封包進行加密。當使用者訪問一個擁有 HTTPS 協議的網站時,瀏覽器會向該網站的伺服器發送一個請求,伺服器在收到請求後會返回一個包含了伺服器公鑰的數據憑證。接著,瀏覽器會驗證這個憑證的有效性,確保它是由可信的證書機構所簽發。
一旦憑證被驗證通過,瀏覽器將使用伺服器的公鑰來加密一個稱為「預主密鑰」的隨機數據。該加密過程中使用了一個專門的密鑰,這個密鑰只有伺服器擁有,而瀏覽器無法解開。
接下來,伺服器使用其私鑰來解密瀏覽器發送的預主密鑰,這樣瀏覽器和伺服器之間就建立了一個安全的連接,可以開始進行加密通信。
從此時開始,瀏覽器和伺服器之間的數據傳輸就會使用對稱加密來進行。這意味著兩端都使用相同的密鑰來加密和解密數據,從而實現了數據的安全傳輸。這一過程是完全自動化的,用戶並不需要進行任何額外的操作。
換句話說若在 HTTPS 的網站中執行敏感的資訊輸入或傳遞時(如會員資料、購物資料、信用卡號、後端管理帳號…等),因為該封包已被 SSL 加密,所以就算網頁的資訊被駭客截取也不用擔心資訊會被破解,也因此提升了網頁間資料傳遞時的安全性。
4. HTTP 與 HTTPS 的差異
HTTP 是一種「明文」協議,網站資料在傳輸過程中並不加密。這意味著駭客可以在網站資料傳輸過程中截取和查看個人機密資訊,例如密碼、信用卡號碼等,也因此 HTTP 不適合用於傳輸個人機密資訊的網站;相反的,HTTPS 則是一種安全協議,網頁資料在傳輸過程中使用「加密技術」進行保護。它使用 SSL 或 TLS 協定來加密數據,所以 HTTPS 的網站上必需安裝 SSL 憑證後才能讓網頁正確的執行。
使用 HTTPS 可以確保網站資料在傳輸過程中的機密性和完整性,防止個人機密資訊被有心者竊取或篡改。HTTPS 會在網站上涉及個人隱私的操作和資料傳輸時使用,以提供更好的資安防護。
infoHTTP 是一種不加密的協議,而 HTTPS 則是在 HTTP 基礎上加入了加密層,以提供更高的網頁安全性,但是無論使用 HTTP 或 HTTPS 通訊協定來瀏覽相同網址,「所呈現的內容是一樣的」。此外 Google 針對有使用 SSL 的網站會提升 SEO 排名的優勢,因此現在大多數的網站都已採用 HTTPS 這種較安全的機制來保護網友個資以及提升網站排名。
1. 使用 HTTPS 的優點
- 1. 安全性
- HTTPS 通信使用 SSL(Secure Sockets Layer)或 TLS(Transport Layer Security)協議進行加密,保護敏感數據在網路傳輸過程中的安全性。這意味著第三方無法輕易截取或修改用戶在網站上輸入的信息,提供更高的安全性和隱私保護。
- 2. 信任度
- 使用 HTTPS 的網站會顯示安全鎖(例如綠色鎖頭圖標),並在瀏覽器地址欄中顯示"安全"字樣,這也為使用者帶來更高的信任感,對於需要用戶輸入敏感信息(如個人資料、信用卡號碼等)的網站尤其重要。
- 3. SEO 優化
- 搜索引擎(如 Google)傾向於將使用 HTTPS 的網站排名優先。使用 HTTPS 可以提高網站在搜索引擎結果頁(SERP)中的能見度和排名,有助於提高網站的流量和曝光度。
- 4. 法規要求
- 某些行業(如金融、醫療)或地區(如歐盟的 GDPR)可能會要求網站必須強制使用 HTTPS 進行加密通信,因此使用 HTTPS 也可以確保你的網站符合相關的法規要求。
- 5. 支持 HTTP/2 協議
- HTTP/2 是新一代的網絡傳輸協議,相比於 HTTP/1.1 具有更快的加載速度和性能優化。使用 HTTPS 可以支持 HTTP/2,提供更好的網站性能和用戶體驗。
info使用 HTTPS 的網頁可以提供更高的安全性、信任度和 SEO 優化,並符合合規要求,在現今的網路環境中,使用 HTTPS 已成為主流, 但特別注意 SSL 只能防止網頁間資料傳遞的安全性,若是使用者本身電腦或網站主機伺服器(Web Server)中毒或被入侵的話,網站中的重要資訊仍然有可能被竊取的!
2. 使用 HTTPS 的缺點
有透過 SSL 網路安全機制保護的 HTTPS 網頁,在執行時因為需要透過與網站伺服器(Web Server)進行網頁資料及參數的「加密」與「解密」,所以在該網頁的執行及運作上會比不需加密的 HTTP 網頁速度慢一些, 但這個差距通常是微不足道的。
以下是幾個可能導致 HTTPS 網站稍慢的原因:
- 1. 加密和解密
- HTTPS 通信需要對數據進行加密和解密,這個過程需要額外的計算資源。加密和解密的負擔可能導致較慢的執行速度。
- 2. 網頁驗證過程
- 在建立 HTTPS 連接時,需要驗證網站的身份和建立加密通道。這個過程需要多次往返通信,可能會導致稍微延遲。
- 3. 延遲的加載
- HTTPS 網站的內容需要經過加密和解密過程,可能會導致稍微延遲網頁頁面的加載時間。
然而,現代的計算資源和網絡基礎設施使這些影響變得微不足道。對於大多數網站和用戶,HTTPS 的執行速度差異通常不會明顯感知。同時,使用 HTTP/2 協議可以進一步提高 HTTPS 網站的性能,因為 HTTP/2 在多路複用、壓縮和推送等方面進行了優化。
info如果你的網站在 HTTPS 下執行速度明顯下降,那可能是其他因素引起的問題,如網站內容過大、網頁設計不良、網絡連接問題等。在這種情況下,應該檢查並優化這些方面,以確保網站的執行速度優化。