HTTP vs. HTTPS:為什麼多一個 "S" 如此重要?

發表於 分類於

當打開瀏覽器,輸入網址,或是點擊一個連結時,我們都在無意識地使用著網路上最重要的應用層協定之一——HTTP。然而,隨著網路威脅的日益增長,單純的 HTTP 已經遠遠不足以保護資料安全。這就是為什麼需要它的安全進化版:HTTPS

HTTP:網路世界的「公開信件」

HTTP,全名為「超文本傳輸協定 (Hypertext Transfer Protocol)」,是網際網路中最廣泛使用的協定,用於在全球資訊網 (World Wide Web) 上傳輸各種格式的超文本資料。它可以說是瀏覽器與網站伺服器之間進行「對話」的基本語言

  • 工作層次:HTTP 工作在 OSI 模型的應用層 (Application Layer, Layer 7)
  • 運作方式
    • 客戶端-伺服器模型:瀏覽器 (客戶端) 向網站伺服器 (伺服器端) 發出請求 (Request),伺服器收到請求後,回應相應的網頁內容 (Response)。
    • 請求-回應機制:每次溝通都由客戶端發起請求,伺服器進行回應。
    • 無狀態 (Stateless):HTTP 本身不保存客戶端的過去互動狀態。每個請求都是獨立的。
    • 預設埠:HTTP 的預設埠號是 80
  • 用途:主要用於取得 HTML 文件、圖片、聲音、影片等多媒體資訊。

HTTP 的本質弱點:透明的溝通

想像一下,和朋友用明信片進行溝通。明信片上的內容清晰可見,任何人,路過的郵差、分揀員,甚至是好奇的旁觀者都能讀取你寫的訊息。

這正是 HTTP 的問題所在:它以純文字 (Plain Text) 的形式傳輸資料。這意味著:

  1. 資料未加密:輸入的用戶名、密碼、信用卡號碼等敏感資訊,在網路傳輸過程中是完全暴露的,任何人透過截取網路流量就能直接讀取。
  2. 無法驗證資訊來源:無法確定正在訪問的網站是否真的是預期的網站,還是有人偽裝了它。
  3. 資料完整性未受保護:傳輸途中的資料可能會被惡意篡改,卻渾然不知。

在沒有這些保護的情況下,瀏覽活動和個人資料很容易受到「中間人攻擊 (Man-in-the-Middle, MITM)」、網路竊聽、資料篡改等威脅。

HTTPS:加上「安全鎖」的溝通方式

HTTPS,全名為「超文本傳輸安全協定 (Hypertext Transfer Protocol Secure)」,是 HTTP 的安全版本。它本質上是在 HTTP 上層疊加了一個安全層 (SSL/TLS),為資料加上了一道堅不可摧的保護網。

這個多出來的 S,代表的就是 Secure (安全)

  • 工作層次:HTTPS 雖然仍是應用層協定,但其安全性關鍵在於引入了傳輸層安全協議 (TLS, Transport Layer Security),它取代了其前身 安全通訊端層 (SSL, Secure Sockets Layer)。TLS/SSL 工作在 OSI 模型的會話層、表示層和傳輸層之間
  • 運作方式
    • 在客戶端和伺服器建立 HTTP 通訊之前,會先建立一個 TLS/SSL 安全通道
    • 在這個通道內,所有通過 HTTP 傳輸的資料都會被加密
    • HTTPS 的預設埠號是 443

HTTPS 如何提供安全性?三大支柱:

HTTPS 透過 TLS/SSL 協議,提供了三大核心安全特性,就像是把公開的明信片放進了一個加密的信封,並且加上了寄件人身份證明防篡改印章

  1. 資料加密 (Encryption)
    • 所有在客戶端和伺服器之間傳輸的資料都會被加密,使其變得不可讀。即使資料被截取,竊聽者也無法理解其內容。
    • 這確保了敏感資訊(如登入憑證、交易細節)在傳輸過程中是安全的。
  2. 身份驗證 (Authentication)
    • 伺服器會向客戶端提供一個數位憑證 (Digital Certificate),該憑證由受信任的憑證頒發機構 (Certificate Authority, CA) 簽發。
    • 客戶端可以驗證這個憑證的有效性,從而確認網站的身份是真實的,而非惡意網站的偽裝。這有效防止了中間人攻擊。
  3. 資料完整性 (Data Integrity)
    • TLS/SSL 協議會使用訊息摘要 (Message Digest) 或雜湊函數 (Hash Function) 來檢測資料在傳輸過程中是否被篡改。
    • 如果資料在途中被修改,接收方會立即發現並拒絕該資料。這保證了收到的資訊是期望收到的、未被動手腳的資訊。

HTTPS 的運作機制簡介:SSL/TLS 握手

當嘗試訪問一個 HTTPS 網站時,會發生一個複雜而精密的「SSL/TLS 握手」過程:

  1. 客戶端發送 Hello:瀏覽器向伺服器發送一個「Client Hello」,聲明它支持的 TLS 版本、加密演算法等。
  2. 伺服器回應 Hello 和憑證:伺服器回應「Server Hello」,選擇一個共同支持的加密組,並將自己的數位憑證發送給瀏覽器。
  3. 瀏覽器驗證憑證:瀏覽器檢查憑證的有效性(是否由受信任的 CA 簽發、是否過期等),以確認伺服器的真實身份。
  4. 密鑰交換:驗證成功後,瀏覽器生成一個對稱加密金鑰 (Symmetric Key),使用伺服器憑證中的公開金鑰加密後發送給伺服器。只有擁有私有金鑰的伺服器才能解密這個對稱金鑰。
  5. 建立安全通道:雙方都獲得了相同的對稱金鑰後,這個金鑰將用於後續所有資料的加密和解密
  6. 資料傳輸:之後,所有 HTTP 資料都在這個由對稱金鑰加密的 TLS 安全通道中傳輸,確保安全。

這個過程雖然看起來複雜,但都發生在毫秒之間,對使用者來說是完全透明的。

為什麼 HTTPS 不再是選項,而是必需?

如今,HTTPS 已經不再是「錦上添花」的優勢,而是任何網站的必要條件

  • 保護用戶隱私與數據安全:這是最核心的價值。無論是個人資料、商務交易還是日常瀏覽,HTTPS 都能有效防止資料洩露和被篡改。
  • 建立信任:網址列上的綠色小鎖頭和 https:// 已經成為用戶判斷網站是否安全可信的標誌。沒有 HTTPS 的網站會被瀏覽器標記為「不安全」,嚴重損害網站形象。
  • 搜尋引擎優化 (SEO):Google 等主流搜尋引擎已將 HTTPS 作為排名考量因素之一。使用 HTTPS 的網站會獲得更好的搜尋排名。
  • 支援新網路技術:許多現代網路技術和協議(如 HTTP/2)都要求或強烈建議使用 TLS/SSL。HTTP/2 在 HTTPS 的基礎上提供了更快的連線速度和更高的效率。
  • 遵守法規合規性:GDPR 等資料保護法規要求網站必須採取足夠的技術措施來保護用戶數據,HTTPS 是實現這一目標的基礎。

HTTP vs. HTTPS:核心差異一覽

特性 HTTP (Hypertext Transfer Protocol) HTTPS (Hypertext Transfer Protocol Secure)
安全性 無加密,資料以純文字傳輸,易被竊聽與篡改。 加密,資料透過 SSL/TLS 加密傳輸,防竊聽、防篡改。
連接埠 預設使用 80 埠 預設使用 443 埠
憑證 無需憑證。 需要 SSL/TLS 數位憑證,由 CA 簽發。
身份驗證 無伺服器身份驗證,無法確認網站真實性。 提供伺服器身份驗證,確認網站是可信的。
資料完整性 無資料完整性保護。 提供資料完整性檢查,確保資料未被篡改。
成本 零 (設定簡易)。 憑證費 (雖然現在有免費憑證如 Let’s Encrypt),伺服器資源消耗略高。
SEO 影響 負面影響,可能降低搜尋排名。 正面影響,有助於提升搜尋排名。
瀏覽器顯示 顯示 http://,常被標示為「不安全」或無鎖圖示。 顯示 https://,有綠色鎖頭或安全標誌。

結論

在資訊安全日益重要的今天,HTTP 已經成為過時且危險的通訊方式。而 HTTPS 則作為現代網路的標準,以其強大的加密、身份驗證和資料完整性機制,為每一次點擊、每一次輸入提供保護。