---
# System prepended metadata

title: SSL 介紹

---

# SSL/TLS 介紹

### 前言
  SSL（Secure Sockets Layer） 中文叫做「安全通訊協定」或「網路憑證」，是一種用來**加密網路傳輸資料**的標準安全技術，主要用於保護瀏覽器與網站伺服器之間的通訊。

  後來發展出更安全的版本 TLS（Transport Layer Security，傳輸層安全性協定），目前已經全面取代 SSL。由於 SSL 存在多項安全漏洞（如弱加密演算法），現今已被視為不安全並逐步淘汰。

  雖然實務上使用的是 TLS，但業界仍習慣將整體稱為「SSL」，例如常見的「SSL 憑證」其實指的是 TLS 憑證。

### SSL/TLS 的主要功能

SSL/TLS 主要提供以下三大安全機制：

#### 1. 資料加密（Encryption）

  將傳輸中的資料加密，使第三方無法輕易讀取內容，例如帳號密碼、信用卡資訊等。

#### 2. 資料完整性（Integrity）

  確保資料在傳輸過程中沒有被竄改。如果資料被修改，接收端可以偵測出來。

#### 3. 身分驗證（Authentication）

  透過數位憑證驗證網站的身份，確保你連線的是真正的網站，而不是偽造的釣魚網站。

### SSL/TLS 的運作原理
  當使用者透過瀏覽器連線到一個 HTTPS 網站時，會發生一個稱為「握手（Handshake）」的過程：

1. 瀏覽器向伺服器發出連線請求
2. 伺服器回傳 SSL/TLS 憑證（包含公開金鑰）
3. 瀏覽器驗證憑證是否合法（是否由可信任的憑證機構簽發）
4. 驗證通過後，雙方協商加密方式並建立加密連線
5. 後續資料皆透過加密通道傳輸

  這個過程會結合「非對稱加密」與「對稱加密」來兼顧安全性與效能。

### 什麼是 SSL 憑證？

  SSL 憑證（更準確說是 TLS 憑證）是一種由「憑證授權機構（CA, Certificate Authority）」發行的數位證明，用來證明網站的身份。

憑證通常包含：
* 網站網域名稱（Domain）
* 公開金鑰（Public Key）
* 憑證發行者資訊
* 有效期限

常見的憑證類型：
* DV（Domain Validation）：只驗證網域，最基本
* OV（Organization Validation）：驗證公司資訊
* EV（Extended Validation）：最高等級，瀏覽器會顯示公司名稱

### 不使用SSL會怎樣?
  網站沒有使用 SSL 雖然依樣可以運作，但安全性極低。

  且Google Chrome 瀏覽器會直接在網址列標示「不安全」的警告。

### HTTP 與 HTTPS 的差異
| 項目     | HTTP  | HTTPS   |
| ------- | ----  | ------- |
| 是否加密  | ❌ 否 | ✅ 是   |
| 安全性    | 低    | 高      |
| 預設 Port | 80   | 443     |
| 使用技術   | 無   | SSL/TLS |

### 為什麼現在一定要用 HTTPS？

  現代網站幾乎都必須使用 HTTPS，原因包括：
* 保護使用者隱私與資料安全
* 提升網站可信度
* 有助於 SEO（搜尋引擎排名）
* 符合現代瀏覽器安全政策

### 總結

  SSL/TLS 是現代網路安全的基礎技術之一，透過加密、驗證與完整性保護機制，確保資料在網路傳輸過程中的安全性。

  雖然 SSL 已被 TLS 取代，但「SSL」一詞仍廣泛用於業界。實務上，只要看到 HTTPS，就代表網站已經使用 TLS 來保護通訊。