網站安全環境中的SSL

有一個種常見的的誤解，認為如果有人將SSL（安全套接字層）添加到他們的博客站點或公司網站，那么它將保護他們免受網絡入侵。然而，SSL實際上并不能保證網站的安全，它僅為網站訪問者的數據提供保護。為了了解原因，讓我們來分析一下SSL是什么，以及它如何影響網站的安全性。

什么是SSL？

SSL及其改良版TLS（傳輸層安全）是加密協議，用于加密通過互聯網發送的數據。由于一些嚴重的漏洞，TLS已經取代了SSL，但用于指代此安全功能的術語仍然是SSL。請注意，當我們說SSL時，實際上指的是TLS。

SSL確保當訪問者登錄或退出電子商務網站時，其個人信息不會被被除目標方或服務器以外的任何窺探者獲取。

當網站服務器擁有SSL證書時，瀏覽器的網址列會以https(Hyper Text Transfer Protocol Secure，超文本傳輸安全協議)作為開頭，告知訪問者正位于受到SSL證書保護的網站。

網站使用SSL的三大原因

1. 保障交易與個人資料的安全

使用SSL證書除了能保護訪問者的個人隱私資料，例如信用卡號、地址、電話等資訊外，也能降低網站數據泄漏的風險。

2. 增加訪問者的信任感

如果網站沒有使用SSL證書，訪問者在進入網站時，網頁會顯示「此網站的安全性憑證有問題」，降低使用者繼續使用的意愿，容易導致訪問者流失，影響網站的營運、銷售、瀏覽量等。相對的，當網站顯示https時，表示網站受到安全的保護，也可以增加訪問者的信任感。

3. 獲得更好的搜索排名

使用SSL證書是SEP(搜索引擎優化)的重要指標，因此，如果網站想要借由自然搜索來提升流量，建議使用SSL證書來增加網站的安全性。

SSL證書的工作原理

網站使用SSL證書之后，當用戶使用瀏覽器訪問網站時，SSL證書就會觸發SSL/TLS協議，此類協議會將服務器與瀏覽器之間（或服務器與服務器之間）傳輸的信息進行加密。

• 首先，創建TCP連接之后，SSL證書會開始工作，發起“SSL握手”。
• 服務器將其SSL證書連同若干說明一起發送給用戶客戶端，這些說明包括了SSL/TLS證書的版本以及所使用的加密方法。
• 客戶端會檢查網站的SSL證書是否有效，然后選擇服務器和SSL證書均能支持的最高級別加密，并使用這些加密方式開啟安全會話。不同加密方法合集具有不同的加密強度，它們統稱為密碼套件。
• 為確保所有傳輸信息的完整性和真實性，SSL/TLS協議還包含了采用信息驗證代碼（MAC）的身份驗證流程。

SSL的主要作用

SSL通過加密保護客戶端的數據。客戶端瀏覽器與網站服務器進行“握手”，創建一個只有服務器和客戶端才知道的加密密鑰。

它不能保護網站免受惡意軟件感染、跨站腳本攻擊、DDoS攻擊、SQL注入等。但這是因為SSL并非用于保護網站免受這些攻擊，它旨在保護與客戶端的數據傳輸。它履行了自己的職責，并為網站訪問者提供了一定程度的信心。而保護網站安全的其余艱巨任務則需要采用其他的安全解決方案。

可以將SSL看作是一種以非常特定的方式編寫消息，只有打算接收它的人才能理解，而其余任何可能接觸到這一信息的人都不會理解它。一個很好的例子是我們經常在間諜電影中看到，有人在一個隨機的垃圾桶上畫一個X。對于路過的你看起來這是毫無意義，只有寫這封信的人知道它具體的含義。