# SSL/TLS 介紹 ### 前言   SSL（Secure Sockets Layer） 中文叫做「安全通訊協定」或「網路憑證」，是一種用來**加密網路傳輸資料**的標準安全技術，主要用於保護瀏覽器與網站伺服器之間的通訊。   後來發展出更安全的版本 TLS（Transport Layer Security，傳輸層安全性協定），目前已經全面取代 SSL。由於 SSL 存在多項安全漏洞（如弱加密演算法），現今已被視為不安全並逐步淘汰。   雖然實務上使用的是 TLS，但業界仍習慣將整體稱為「SSL」，例如常見的「SSL 憑證」其實指的是 TLS 憑證。 ### SSL/TLS 的主要功能 SSL/TLS 主要提供以下三大安全機制： #### 1. 資料加密（Encryption）   將傳輸中的資料加密，使第三方無法輕易讀取內容，例如帳號密碼、信用卡資訊等。 #### 2. 資料完整性（Integrity）   確保資料在傳輸過程中沒有被竄改。如果資料被修改，接收端可以偵測出來。 #### 3. 身分驗證（Authentication）   透過數位憑證驗證網站的身份，確保你連線的是真正的網站，而不是偽造的釣魚網站。 ### SSL/TLS 的運作原理   當使用者透過瀏覽器連線到一個 HTTPS 網站時，會發生一個稱為「握手（Handshake）」的過程： 1. 瀏覽器向伺服器發出連線請求 2. 伺服器回傳 SSL/TLS 憑證（包含公開金鑰） 3. 瀏覽器驗證憑證是否合法（是否由可信任的憑證機構簽發） 4. 驗證通過後，雙方協商加密方式並建立加密連線 5. 後續資料皆透過加密通道傳輸   這個過程會結合「非對稱加密」與「對稱加密」來兼顧安全性與效能。 ### 什麼是 SSL 憑證？   SSL 憑證（更準確說是 TLS 憑證）是一種由「憑證授權機構（CA, Certificate Authority）」發行的數位證明，用來證明網站的身份。 憑證通常包含： * 網站網域名稱（Domain） * 公開金鑰（Public Key） * 憑證發行者資訊 * 有效期限 常見的憑證類型： * DV（Domain Validation）：只驗證網域，最基本 * OV（Organization Validation）：驗證公司資訊 * EV（Extended Validation）：最高等級，瀏覽器會顯示公司名稱 ### 不使用SSL會怎樣?   網站沒有使用 SSL 雖然依樣可以運作，但安全性極低。   且Google Chrome 瀏覽器會直接在網址列標示「不安全」的警告。 ### HTTP 與 HTTPS 的差異 | 項目 | HTTP | HTTPS | | ------- | ---- | ------- | | 是否加密 | ❌ 否 | ✅ 是 | | 安全性 | 低 | 高 | | 預設 Port | 80 | 443 | | 使用技術 | 無 | SSL/TLS | ### 為什麼現在一定要用 HTTPS？   現代網站幾乎都必須使用 HTTPS，原因包括： * 保護使用者隱私與資料安全 * 提升網站可信度 * 有助於 SEO（搜尋引擎排名） * 符合現代瀏覽器安全政策 ### 總結   SSL/TLS 是現代網路安全的基礎技術之一，透過加密、驗證與完整性保護機制，確保資料在網路傳輸過程中的安全性。   雖然 SSL 已被 TLS 取代，但「SSL」一詞仍廣泛用於業界。實務上，只要看到 HTTPS，就代表網站已經使用 TLS 來保護通訊。