HTTP與HTTPS的差異，哪一種對對網站比較好呢?

製作網站的朋友，常會詢問什麼是HTTP?什麼是HTTPS?我的網站到底是HTTP或是HTTPS呢?HTTP與HTTPS又有什麼樣的差別?哪一個對我的網站比較好呢?今天就讓我們從下面幾個部分來搞懂它們的差異吧！

1. 什麼是HTTP?與HTTP運作的方式
2. HTTP會產生的問題?
3. 什麼是HTTPS?
4. 使用HTTPS的好處

什麼是HTTP?與HTTP運作的方式

HTTP是英文Hyper Text Transfer Protocol的縮寫，也是全球資訊網路通信的基礎，這個應用層的通訊協定，最早被設計用來「傳送」及「接收」HTML的頁面及內容。HTTP在用戶端(使用者)與伺服器端(網站)之間透過TCP協定來傳遞「請求」與「應答」的要求。

當使用者透過瀏覽器(Safari、Chrome、Edge等)發起一個開啟網頁的請求時，該請求會被送至伺服器網站端，而網站通過預設的連接埠80接收，並將網頁HTML的內容(包含文字與圖片)應答傳送回使用者端，這就是資訊透過HTTP傳遞的過程。

我們可以用個例子來說明：

牛郎織女分隔兩地，無法天天相見，只能以書信往來，表達對彼此的想念；牛郎有一天寫了封情書給織女，想要約定下次相見的時間看是否可以提早到1月1日，不要等到每年7月7日才相見，並拜託喜鵲來替他送信；由於織女家的郵箱有好幾個，只有80號的那個郵箱織女才會打開來看，喜鵲成功將情書送達了80號的郵箱，織女也順利的收到從牛郎那邊送過來的情書，開心的回信約定明年1月1日相見，也交代了喜鵲再將她的回信送到牛郎手中。

HTTP的運作方式。

以上的情景就是HTTP回應使用者端請求，與伺服器端回應的描述。

通常，當使用者端以HTTP發起一個請求後，會建立起一個使用者端至伺服器指定連接埠80端的一個TCP連線，而伺服器在收到使用者端的請求後，則會向使用者端返回一個狀態碼，例如"HTTP/1.1 200 OK”，而這個狀態碼也會在各個追蹤工具中時常看到，我們這邊列出常見的狀態碼與其狀態描述如下：

1. 資訊回應 (Informational responses, 100–199)：請求已被伺服器接收，繼續處理。
2. 成功回應 (Successful responses, 200–299)：請求已成功被伺服器接收、理解、並接受。
3. 重定向 (Redirects, 300–399)：需要後續操作才能完成這一請求。
4. 用戶端錯誤 (Client errors, 400–499)：請求含有詞法錯誤或者無法被執行。
5. 伺服器端錯誤 (Server errors, 500–599)：伺服器在處理某個正確請求時發生錯誤。

HTTP會產生的問題

由於HTTP是以明文的方式傳遞訊息，也就是說訊息傳輸的過程中並沒有任何的保護措施，因此只要有心人對於傳遞的訊息進行攔截，我們的資料就會被竊取，如果傳輸的資料是個人基本資料、銀行帳號、密碼等重要的個人資料，一但被竊取了，發生銀行帳號的錢被掏空的事件，就一點也不奇怪了!

延續上面牛郎與織女的例子：

當牛郎請喜鵲將他想要跟織女改約相見日期的信送去給織女的路途中，不幸被王母娘娘攔截，王母娘娘把信件內容又改回每年7月7日相見，假裝成是由織女手中發出的信件，再請喜鵲送回到牛郎手中，於是牛郎跟織女也只能每年7月7日相見，無法提早見面了。

HTTP以明文的方式傳遞資料，有被竄改資料的風險。

在HTTP明文的傳遞方式下，訊息不但會被攔截，也會如王母娘娘般的被竄改內容，因此使用者端就很容易暴露在網路的高風險環境下，這樣的問題該怎麼解決呢?這時候就有了HTTPS的產生。

需要在網站上安裝SSL以保護網站，或操作過程需要協助的朋友，也可以點擊以下連結與我們聯繫唷!

什麼是HTTPS?

HTTPS比HTTP多了一個S，那個S就是Secure的S，因此HTTPS比HTTP多加了安全上的考量，另外HTTPS的預設連接埠也從埠80改成了埠443。至於安全考量部分我們可以從「加密」、「身份驗證」和「完整性」三方面來瞭解：

1. 加密：上面的文章有提到，HTTP是以明文的方式在傳遞資訊，因此較容易被第三方竊取資料及進行攻擊。為了不讓明文傳遞的資訊被竊取，把訊息加密後再傳送是比較安全的做法；加密的方式有很多，原來傳輸時使用的是「共用金鑰加密」、「對稱式加密」，但仍有金鑰被竊取解碼的問題，因此SSL/TLS現在是使用「非對稱式加密」的方式來進行資訊加密的動作，在資料的安全上也比較有保障。
2. 驗證：透過公開加密金鑰的方式(也稱作非對稱式的加密)，讓每個通訊者同時擁有「公鑰」及「私鑰」來解決加密上不安全的問題，不過「公鑰」與「私鑰」擁有者如何證明加密的密文就是正確的，而非被竊取後竄改的呢?此時就須要有公正的第三方機構來頒發數位憑證，以證明配對的「公鑰」與「私鑰」雙方是正確的。
3. 完整性：SSL/TLS以X.509憑證將身分資訊（比如網路主機名，組織的名稱或個體名稱等）和簽章資訊等內容以數字形式的文件格式做成加密的「公鑰」與「私鑰」密鑰對。任何擁有公鑰的人都可以使用它發送只有私鑰擁有者才能解密的訊息，及確認這個傳遞的訊息是該公鑰對應的私鑰所進行簽章。也因為資料在伺服器端與使用者端傳輸時，兩端的金鑰可以以該組數位簽章確認彼此的身分與內容的完整性，所以我們才能確保在網路上彼此傳輸的資料是安全的。

HTTPS有金鑰的保護與數位簽章的驗證資料更安全。

使用HTTPS的好處

1. 資料的隱私：使用者在網路上的行為越來越多是有關交易、個人基本資料的傳遞等等，試想如果你在交易時的信用卡卡號、銀行帳號、或是個人信箱的帳號密碼都暴露在網路上，是件多可怕的事，也許一覺醒來戶頭的錢全被提領一空、自己的帳號被當作是駭客跳板去做其他網站的攻擊，都不是我們願意見到的，只有HTTPS加密過的網站才能保護我們資料與交易的安全。
2. 使用者體驗：當使用者訪問到未使用HTTPS的網址時，現有各瀏覽器品牌皆會將該網站標示為不安全網站，並詢問使用者是否要在資料傳輸不安全的狀況下，繼續進行網站的訪問，如果您是該使用者，請問您會放心的繼續瀏覽該網站嗎？答案顯而易見，因此加強網站的保護將是提高使用者對您網站信任度刻不容緩的措施。
3. 瀏覽器的相容性：不管是Google Chrome或是Mozilla Firefox與Microsoft Edge相繼支援HTTPS-Only模式，當使用者開啟HPPTS-Only模式後，它將強制瀏覽器以HTTPS的方式連結網站，若網站未使用HTTPS，它將會跳出警告提示，使用者必須手動同意以HTTP模式才能建立連線並繼續造訪網站，可見網站資料的安全對各大瀏覽器來說越來越重視，說不定不久將成為瀏覽器的標準規範也不無可能。
4. SEO的排名：網站的安全已經成了各大搜尋引擎評估網站是否安全的標準，若沒有HTTPS保護的網站，搜尋引擎將會給予較低的網站評分，這也是導致網站在搜尋引擎的結果頁，排名落後的重要因素，因此提高使用者用戶體驗，安裝SSL/TLS是操作網站搜尋引擎優化SEO的必要工作。

透過本篇文章的說明，希望大家對於HTTP與HTTPS能有更多的認識，若在網頁設計或網站SEO方面有任何問題，歡迎大家都可以來信詢問，我們 旭展顧問-網頁設計團隊 很樂意為大家提供服務，並協助解決各位的問題唷！