如何啟用HTTPS來保護您的網站
在日常瀏覽網頁的過程中,我們偶爾會發現有些公司網站仍然以HTTP開始。雖然HTTPS協定已經普及不下二十多年了,但為什麼以HTTP開始的網站還會在這個先進的互聯網世界出現呢?有些朋友會反映,他們雖然明白HTTPS與HTTP的分別,亦了解到HTTPS的好處,但他們就是不懂得怎樣操作。好了,我們就嘗試簡單講解一下,如何在伺服器上啟用 HTTPS。
HTTPS(Hybertext Transfer Procotol Secure)是一種互聯網通信協定,可保護使用者在瀏覽器和網站之間數據的完整性和機密性。使用者在使用網站時期望獲得安全和私密的線上體驗。
簡單來說,HTTPS就是在HTTP的協定下,在其上分層成SSL / TLS加密層。伺服器和用戶端仍然彼此使用完全相同的HTTP,但通過安全的SSL連接加密和解密其請求和回應。
相信大家在不同的場合,也會聽過這三個英文字詞—Confidentiality,Integrity,Authentication。這三個英文詞彙就正正解釋了,我們要啟用 HTTPS的原因。
Confidentiality—這可以保護雙方之間的通信免受來自互聯網等公共媒體中其他人的侵害,避免私人資訊如信用卡的資料會在不知情的環境下被偷窺或盜竊,甚至造成更嚴重的傷害。
Integrity—這確保了資訊以完整且不變的方式到達其預定的一方。
Authentication—這證明使用者與預期的網站進行通信。
那麼到底我們要如何在伺服器上正確啟用 HTTPS?
首先,如果伺服器上要啟用 HTTPS,就必須要有專用的SSL證書。SSL證書是一個文本檔,其中包含安裝在伺服器上的加密數據,以便您可以保護/加密網站與客戶之間的敏感通信。
這裡大概把SSL證書的取得及使用列成四個步驟:
- 創建私鑰和公鑰對,並準備證書簽名請求 (Certificate Signing Request(CSR))。CSR是一個小型的編碼文本檔,其中包含有關要保護的組織和域的資訊。它是啟動數位 SSL 證書所必需的,並且通常在要安裝證書的伺服器上生成。CSR 將提交給證書頒發機構並用於生成證書。
- 聯繫證書頒發機構(Certificate Authority(CA))並請求基於 CSR 的 SSL 證書。
- 獲取已簽名的 SSL 證書並將其安裝在網站的服務器上。
- 配置網站以啟用 HTTPS—不同類型的系統,會有不同的配置方法,有關配置的詳情,大家可參考系統供應商的官方文件。
當SSL 證書成功安裝,網站服務器亦成功啟用 HTTPS,在網頁瀏覽的時候,瀏覽器會出現一個鎖頭的圖標,按著這個鎖頭圖標,我們會檢視到SSL 證書的詳細資料,如證書的簽發機構、有效日期等等。
當然,HTTPS並非牢不可破,但是隨著SSL協議的不斷發展,HTTPS仍然是一種非常強大的秘密數據傳送方式,不必擔心誰看到了你的消息。
不過,要切記的是,雖然HTTPS在通往目的地的線路上保持數據安全,但它絕不會保護你(作為使用者或開發人員)免受XSS或資料庫洩漏或任何其他事情的影響 。畢竟網絡安全最終也是要靠大家在日常應用中時刻保持警覺,才能用得得心應手。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
