Logo

新人日誌

首頁關於我部落格

新人日誌

Logo

網站會不定期發佈技術筆記、職場心得相關的內容,歡迎關注本站!

網站
首頁關於我部落格
部落格
分類系列文

© 新人日誌. All rights reserved. 2020-present.

本文為「從零開始的 Web 資安」系列第 5 篇

HTTP 與 HTTPS 的差別:新手完整指南

最後更新:2026年4月9日基礎概念

你有沒有注意過,有些網站的網址開頭是 http://,有些則是 https://?

雖然看起來只差了一個「s」,但它們的安全性和運作方式卻完全不同。

這篇文章會帶你了解 HTTP 和 HTTPS 的差別,以及為什麼現在幾乎所有網站都改用 HTTPS。

什麼是 HTTP?

HTTP 的定義

HTTP(HyperText Transfer Protocol,超文本傳輸協議)是一種用於在網路上傳輸超文本的協議。

它決定了瀏覽器與伺服器之間如何溝通。

當你輸入一個網址並按下「Enter」,瀏覽器就會透過 HTTP 向伺服器請求網頁內容,伺服器再將資料傳回,顯示在你的螢幕上。

HTTP 的工作方式

HTTP 的運作屬於「請求 – 回應」模式(Request-Response Model):

使用者端(Client):你的瀏覽器向伺服器發送請求(例如訪問 www.example.com)。

伺服器端(Server):伺服器接收請求,回應對應的網頁內容(HTML、CSS、JavaScript 等)。

資料傳輸:資料會以純文字形式在瀏覽器和伺服器之間傳遞。

HTTP 的缺點

HTTP 雖然簡單高效,但它有一個很大的問題:不安全。

HTTP 傳輸的所有資料都是「明文」,代表如果有人在傳輸過程中攔截資料,就能直接讀取其中的內容,包括帳號、密碼、信用卡資訊等。

因此,HTTP 不適合用於傳輸敏感資訊。

什麼是 HTTPS?

HTTPS 的定義

HTTPS(HyperText Transfer Protocol Secure,安全超文本傳輸協議)是在 HTTP 的基礎上加了 SSL/TLS 加密技術,用來確保資料傳輸的安全性。

當你訪問一個 HTTPS 網站時,所有的請求與回應都經過加密,只有發送方和接收方才能解讀。

HTTPS 的工作方式

HTTPS 的工作原理與 HTTP 類似,但它多了一層安全機制:

SSL/TLS 加密:在瀏覽器與伺服器之間建立加密通道,確保資料無法被竊取或篡改。

數位憑證驗證:透過 SSL/TLS 憑證來驗證網站身份,防止使用者訪問假冒的惡意網站。

完整性檢查:確保資料在傳輸過程中沒有被修改。

HTTPS 的優勢

資料加密:防止資料被第三方竊取,提高安全性。

身份驗證:確保你連接的是合法網站,而不是惡意網站。

提升 SEO 排名:Google 會優先推薦 HTTPS 網站,提高搜尋引擎排名。

增強使用者信任:大多數瀏覽器會標示「不安全」的 HTTP 網站,HTTPS 能增加使用者信心。

HTTP 與 HTTPS 的比較

比較項目HTTPHTTPS
安全性資料為明文傳輸,容易被攔截資料經 SSL/TLS 加密,安全性高
資料完整性資料容易被篡改資料經過驗證,防止篡改
身份驗證無法保證訪問的是正確網站使用 SSL 憑證驗證網站身份
瀏覽器顯示部分瀏覽器會標示「不安全」顯示鎖頭圖示,使用者更安心
SEO 影響無特別影響Google 會優先排名 HTTPS 網站
HTTP資料為明文傳輸,容易被攔截
HTTPS資料經 SSL/TLS 加密,安全性高
HTTP資料容易被篡改
HTTPS資料經過驗證,防止篡改
HTTP無法保證訪問的是正確網站
HTTPS使用 SSL 憑證驗證網站身份
HTTP部分瀏覽器會標示「不安全」
HTTPS顯示鎖頭圖示,使用者更安心
HTTP無特別影響
HTTPSGoogle 會優先排名 HTTPS 網站

HTTPS 背後的加密技術:SSL/TLS

看完上面的比較,你可能會好奇:HTTPS 是怎麼做到加密的?

答案就是 SSL/TLS。

簡單來說,SSL(Secure Sockets Layer)是早期的加密協定,後來因為安全漏洞被淘汰,升級成了 TLS(Transport Layer Security)。

現在所有 HTTPS 網站實際上用的都是 TLS,但大家還是習慣說「SSL」。

SSL/TLS 透過一套叫做「交握(Handshake)」的流程,讓瀏覽器和伺服器在正式傳輸資料之前,先安全地交換加密用的鑰匙。

交握完成後,雙方就能用這把鑰匙進行加密通訊,中間人就算攔截到資料也看不懂。

想深入了解 SSL/TLS 的加密原理、非對稱加密與對稱加密的差別、以及交握流程的完整細節,可以參考這篇文章:👉 SSL/TLS 加密是什麼?搞懂網路傳輸如何保護你的資料

SSL 憑證是什麼?

SSL 憑證是由認證機構(CA, Certificate Authority)簽發的數位證書,主要用來:

驗證網站的身份:確認這個網站是真的,而不是假冒的。

提供加密金鑰:讓瀏覽器與伺服器建立安全連線。

SSL 憑證的種類

DV 憑證(Domain Validation)

只驗證網站的域名,最便宜,適合個人或小型網站。

OV 憑證(Organization Validation)

驗證網站所有者的公司資訊,適合企業網站。

EV 憑證(Extended Validation)

驗證企業的完整身份,瀏覽器會顯示綠色鎖頭,適合銀行和金融機構。

如何取得 SSL 憑證?

你可以向 CA 機構申請 SSL 憑證:

免費憑證

Let’s Encrypt(適合小型網站)。

付費憑證

DigiCert、GlobalSign、Comodo(適合企業網站)。

如何將網站從 HTTP 升級到 HTTPS?

如果你是網站管理員,應該盡快將 HTTP 升級為 HTTPS。

以下是升級步驟:

取得 SSL/TLS 憑證

向認證機構(CA)申請 SSL 憑證,例如 Let’s Encrypt(免費)、DigiCert、GlobalSign 等。

安裝 SSL 憑證

取得憑證後,將它安裝到你的網頁伺服器,例如 Apache、Nginx 或 IIS。

更新網站設定

修改網站 URL

將所有 HTTP 連結改為 HTTPS。

設定 301 轉址

確保所有 HTTP 請求自動轉向 HTTPS。

更新 CDN 及 API

確保所有外部連結支援 HTTPS。

測試網站是否正常運行

使用 SSL 檢查工具(如 SSL Labs)測試網站是否正確運行,並確保所有內容都是 HTTPS。

小結

無論是個人部落格還是企業網站,HTTPS 都能提供更高的安全性、信任度及 SEO 優勢。

Google 和各大瀏覽器已經強制要求 HTTPS,沒有 SSL/TLS 的 HTTP 網站會被標記為「不安全」。

如果你還沒開始使用 HTTPS,現在就是升級的好時機。

上一篇什麼是 Session Fixation?一次搞懂會話固定攻擊與防護方式
下一篇什麼是 CSRF 攻擊?一次搞懂跨站請求偽造與 Cookie 安全防護
目前還沒有留言,成為第一個留言的人吧!

發表留言

留言將在審核後顯示。

基礎概念

目錄

  • 什麼是 HTTP?
  • HTTP 的定義
  • HTTP 的工作方式
  • HTTP 的缺點
  • 什麼是 HTTPS?
  • HTTPS 的定義
  • HTTPS 的工作方式
  • HTTPS 的優勢
  • HTTP 與 HTTPS 的比較
  • HTTPS 背後的加密技術:SSL/TLS
  • SSL 憑證是什麼?
  • SSL 憑證的種類
  • 如何取得 SSL 憑證?
  • 如何將網站從 HTTP 升級到 HTTPS?
  • 取得 SSL/TLS 憑證
  • 安裝 SSL 憑證
  • 更新網站設定
  • 測試網站是否正常運行
  • 小結