【網站安全】HTTPS 加密是什麼？防竄改、加密與網站加速實務｜Skycloud

HTTPS 是什麼？與 HTTP 的差異

　超文本傳輸安全協定(HyperText Transfer Protocol Secure, HTTPS) 是 HTTP 的安全版本，用於在瀏覽器與網站伺服器之間進行加密傳輸，其主要目的，是確保網路上傳送的資料不被竊聽、竄改或冒充，保護使用者的隱私與網站的可信度。

　我們可以在網址上面看到以 HTTP 或 HTTPS 開頭的兩種網站連結，這兩者的差別不只是多了一個字母「S」，而是代表網站是否經過安全加密保護，而其中的「S」就代表 Secure(安全)，表示該網站採用了加密機制，能防止資料在傳輸過程中被他人竊取或修改。

　HTTP 和 HTTPS 這兩者最大的不同之處在於：
　HTTP 是網站與我們使用者電腦的瀏覽器之間，直接使用「明文傳輸」進行溝通，也就是資料在傳輸過程中沒有經過加密，任何攔截者都有機會讀取內容、攔截竊聽；而 HTTPS 則是在傳輸之前就對資料進行了加密動作，讓駭客即使攔截了封包和傳輸資訊，也沒辦法直接讀懂其中的內容，因此能有效避免竊聽、偽造身分或中間人攻擊等風險。

　簡單來說，HTTP 就像「明信片」一樣，任何經過的人都能看到裡面的內容，而 HTTPS 則像是「上鎖的信封」，只有收件人能夠開啟與閱讀。

為什麼需要 HTTPS？

在現代網路環境中，網站幾乎都會處理登入、會員資料、付款資訊或表單資料，若仍使用 HTTP 傳輸，這些資料可能在傳輸途中被攔截或竄改，並且在瀏覽器上也可能會顯示為不安全的連線，導致使用者不信任。

HTTPS 則透過 SSL / TLS 加密技術，在使用者與伺服器之間建立「安全通道」，能確保資料內容在傳輸過程中維持機密性、完整性與身份驗證，讓網站更安全、搜尋排名更好，也更能贏得使用者信任。

HTTPS 的加密原理與機制

　HTTPS 之所以能夠保障資料安全，關鍵在於 HTTPS 採用了 SSL/ TLS 來建立一條「加密的安全通道」，確保使用者與伺服器之間傳送的所有資料，在傳輸過程中不會被竊聽、竄改或冒充。

HTTPS 的加密機制，包含了三個核心要素：

1. 加密 (Encryption)：防止資料被竊聽。

2. 驗證 (Authentication)：確認伺服器身分真實。

3. 完整性 (Integrity)：防止資料被竄改。

這三個核心要素共同作用，使 HTTPS 能在傳輸資料時同時保護 機密性、完整性與身份驗證，建立一條安全通道。

※SSL憑證：由 CA(憑證授權中心) 簽發的數位憑證，用以驗證網站身份與建立加密連線。
※TLS憑證：TLS 是 SSL 的升級版本，憑證同樣由 CA 簽發，用於驗證網站身份並加密傳輸資料，TLS 提供更高安全性、更強加密演算法支援，是現代 HTTPS 的標準；實務上，當我們說「SSL 憑證」時，通常也包括 TLS，因為現代瀏覽器與伺服器都使用 TLS 協議來建立安全連線。

建立安全連線 (Handshake 握手過程)

當使用者開啟一個 HTTPS 網站時，瀏覽器和伺服器之間會先進行一段 「握手(Handshake)」流程，用來協商加密方式並驗證伺服器身分。

步驟：請求→憑證→驗證→金鑰交換→建立安全通道

1. 瀏覽器發出請求：
   • 使用者打開網站後，瀏覽器會向伺服器發送建立安全連線的請求。
   • 此時還沒有加密資料，雙方準備建立安全通道。




2. 伺服器回傳 SSL 憑證：
   • 伺服器傳送一份數位憑證(由憑證授權中心 CA 簽發)，內含網站的公鑰與身分資訊。
   • 這個公鑰將在之後的非對稱加密過程中使用。




3. 瀏覽器驗證憑證：
   • 瀏覽器會確認這個憑證是否有效且由可信 CA 簽發，確保連線對象為真正的網站，而非冒充伺服器。
   • 這個驗證過程不涉及資料加密，而是建立信任。




4. 金鑰交換(非對稱加密階段)：
   • 瀏覽器生成一把 隨機的「會話金鑰(Session Key)」，這把金鑰用於後續資料加密。
   • 瀏覽器使用伺服器的公鑰對會話金鑰進行加密，再傳送給伺服器。
   • 伺服器收到後，用自己的私鑰解密得到同一把會話金鑰。
   • 這裡是非對稱加密的核心作用：安全地傳送會話金鑰。




5. 建立安全通道(對稱加密階段)：
   雙方都持有同一把會話金鑰後，後續資料傳輸就使用 對稱加密，確保效率與安全。

透過上述流程，HTTPS 能夠同時利用「非對稱加密」保護金鑰交換，並使用「對稱加密」保障資料傳輸效率，同時結合雜湊演算法檢查資料完整性，達成安全可靠的網路通訊。

HTTPS的兩種加密方式(非對稱 vs 對稱)

HTTPS 在加密資料時，會同時使用兩種加密方式，分別是「非對稱加密(Asymmetric Encryption)」和「對稱加密(Symmetric Encryption)」，這兩種加密方式各自負責不同階段，互補優勢。

【非對稱加密(Asymmetric Encryption)】

非對稱加密的用途用於「建立安全連線」和「交換金鑰」，它使用一對密鑰，分別是公鑰(Public Key) 與私鑰(Private Key)。

• 「公鑰」可以公開給任何人使用，用來加密資料。

• 「私鑰」必須保密，只能由伺服器持有，用來解密資料。

它的特點就是安全性高，即使資料被攔截，也無法解密；但加密和解密運算速度較慢，不適合大量資料傳輸。

【對稱加密(Symmetric Encryption)】

對稱加密的用途用於資料傳輸階段，保護實際傳送的內容，它們雙方使用「同一把金鑰」進行加密和解密，如此特點在於加密速度快、效率高，適合大量資料傳輸；但前提是雙方必須安全交換金鑰。

【兩者結合的加密方式】

「非對稱加密」與「對稱加密」結合能融合兩者的優勢：

• 非對稱加密：安全可靠，用於敏感的金鑰交換。

• 對稱加密：快速高效，用於大量資料加密傳輸。

它們的流程會是這樣：

1. 「非對稱加密」用來安全地交換一把隨機生成的 會話金鑰(Session Key)。

2. 握手完成後，雙方使用這把會話金鑰進行「對稱加密」傳輸，確保資料安全又高效。

簡單來說，非對稱加密就像「用鎖箱寄送鑰匙」，而對稱加密則是「用鑰匙快速打開鎖箱」傳送資料。

確保資料完整性與防竄改

除了加密之外，HTTPS 也會使用「雜湊演算法(Hashing)」來驗證資料是否在傳輸過程中被竄改。

當資料從瀏覽器傳送到伺服器，或從伺服器傳送到瀏覽器時，系統會計算一個「摘要值(Hash Value)」，如果資料在傳輸途中被惡意修改，接收端計算出的雜湊值就會與原始值不一致，系統會立即中斷連線，防止偽造資料送達使用者。

所謂雜湊演算法，是一種 單向運算，將任意長度的資料，轉換成固定長度的「雜湊值」或「摘要」，其特性在於：

• 固定長度：無論輸入資料大小如何，輸出的雜湊值長度固定。

• 單向性：無法從雜湊值逆推出原始資料。

• 唯一性高：即使資料只改動一個字元，雜湊值也會完全不同。

如果用簡單的比喻來說，雜湊就像「資料的指紋」，即使資料內容只變一點，指紋也會完全不同，接收端只要比對指紋是否一致，就能知道資料是否被竄改。

HTTPS 能避免的常見攻擊

　部屬 HTTPS 加密連線，不僅能將資料進行加密傳輸，還能有效的防範多種網路攻擊，以下幾個是最常見的相關攻擊。

【中間人攻擊 MITM, Man-in-the-Middle Attack】

• 攻擊方式：駭客攔截使用者與網站之間的通訊，竊取或修改資料。

• HTTPS防護：透過 SSL/TLS 加密資料與數位憑證驗證網站身份，駭客無法讀取或篡改資料，也無法冒充網站。

• 攻擊案例：駭客在公共 Wi‑Fi，如咖啡廳、機場...等地，架設惡意熱點或 ARP 欺騙，把使用者流量攔截後轉發；或在內網中利用未受保護的交換器做流量監聽。受害者在未注意憑證警告時，可能把帳密或 Cookie 洩漏給攻擊者。

【資料竊聽 Eavesdropping】

• 攻擊方式：駭客被動監聽網路流量，獲取帳號、密碼或信用卡資訊。

• HTTPS 防護：所有資料將在傳輸過程中都被加密，即使封包被截取，也無法被解讀。

• 攻擊案例：駭客在 ISP 邊緣或資料中心側，被動擷取未加密的 HTTP 封包，收集登入表單或 API 呼叫中傳送的敏感欄位；或利用被入侵的代理伺服器長期錄製流量以供後續分析。

【偽造網站或釣魚攻擊 Phishing】

• 攻擊方式：駭客建立一個假冒合法網站，誘導使用者輸入敏感資訊。

• HTTPS 防護：憑證驗證與鎖頭標示，讓使用者能辨識真正的網站，降低上當風險。

• 攻擊案例：駭客寄發仿真銀行郵件，內含看似合法的登入頁面(實為惡意域名)，誘導使用者輸入憑證；或在社群廣告放置速成假站，模仿真站 UI 並收集信用卡資訊。即便頁面長得一模一樣，未被 CA 簽名或憑證不符時，會觸發警告。

【資料竄改 Data Tampering】

• 攻擊方式：駭客在資料傳輸過程中惡意修改內容，例如修改訂單金額或留言內容。

• HTTPS 防護：使用雜湊演算法檢驗資料完整性，一旦資料被篡改，系統立即發現並中斷連線。

• 攻擊案例：中間節點在 API 請求路徑中修改金流參數，如交易金額或回調 URL，或在回應中注入惡意腳本改寫頁面內容，導致使用者看到被竄改的資訊或執行非預期動作。

【DNS 欺騙與伺服器冒充】

• 攻擊方式：駭客將使用者導向假冒伺服器，竊取資料或注入惡意程式。

• HTTPS 防護：憑證驗證，確保使用者連到正確伺服器，即使 DNS 被篡改，也能防止假伺服器取得敏感資料。

• 攻擊案例：攻擊者透過竄改 DNS 緩存(cache poisoning) 或劫持 DNS 解析，將 api.example.com 指向攻擊者伺服器；或透過 BGP 劫持把流量導向惡意 AS，進而嘗試取得憑證或發動釣魚。

HTTPS 與網站效能加速

　部署 HTTPS 不僅可以保障資料安全，防止竊聽、竄改與冒充，對現代網站來說，它同時也可能影響網站的載入速度與使用者體驗；在未搭配效能優化的情況下，加密傳輸會增加握手與加密運算的成本，對網站效能產生一定影響。

　這時，CDN (Content Delivery Network 內容傳遞網路) 就能發揮作用。

　透過就近節點緩存網站靜態內容，CDN 不僅能加速 HTTPS 網頁載入速度，同時協助管理憑證與分散伺服器負載，讓安全與效能可以兼顧。也就是說，HTTPS 與 CDN 是一組安全與加速的最佳搭配，既保護使用者資料，又讓網站運行更順暢，而兩者的關聯主要表現在以下幾個方面：

【加密流量傳輸】

部署 CDN 後，使用者請求會先到最近的 CDN 節點，再由節點轉發到原始伺服器。如果網站使用 HTTPS，CDN 節點就也必須支援 SSL/TLS 加密，確保使用者到 CDN 節點之間的流量安全。這樣即使網站原伺服器位於遠端，傳輸過程仍然保持加密，防止竊聽與篡改。

【提升 HTTPS 連線效能】

HTTPS 使用加密協議會增加握手與加密運算的成本，而 CDN 則可透過就近節點緩存靜態內容，減少每次連線都要經過原始伺服器的加密傳輸，提升網頁載入速度。

【簡化憑證管理】

對大型網站或跨國網站來說，如果每個伺服器都要安裝憑證，管理成本很高。使用 CDN 後，憑證可以安裝在 CDN 節點，由 CDN 代為處理 SSL/TLS 加密與驗證，減輕伺服器負擔並簡化憑證管理。

【提升安全防護】

CDN 不僅加速，還可結合 DDoS 防護、Web Application Firewall(WAF)網站應用程式防火牆 等安全機制，配合 HTTPS 加密傳輸與防護措施雙管齊下，提升網站整體安全性。

騰雲運算的 Multi-CDN，是企業部署 CDN 的首選！智能調度網路流量，抵禦網路攻擊，保障您的線上業務穩定運作。立即聯繫騰雲運算，體驗 Multi-CDN 的強大效能！

立即諮詢

總結

　HTTPS 不僅是現代網站的安全標準，更是保障使用者資料與提升網站信任度的重要工具，透過 SSL/TLS 加密協議，HTTPS 能在瀏覽器與伺服器之間建立安全通道，有效防止資料被竊聽、篡改或冒充。同時，憑證驗證可確認網站身份，避免使用者連到假冒網站，並搭配雜湊演算法確保資料完整性。

　部署 HTTPS 不僅提升網站安全，也能改善使用者體驗與搜尋排名；若能結合 CDN 內容傳遞網路服務，則還能加速網站內容傳輸、分散伺服器負載，並簡化憑證管理，使安全與效能兼顧。

　總之，HTTPS 結合正確部署、憑證管理與效能優化，是現代網站達到「安全、可靠且高效」的最佳實踐。對任何希望保護使用者資料、提升品牌信任及網站效能的網站而言，HTTPS 都是不可或缺的核心基礎。