超文本傳輸協定 (HTTP) 是供瀏覽器使用的一套規則,用以決定在網頁閱讀和傳輸資料的方法。如網址包含「http」,瀏覽器便會遵從此通訊協定以成功載入網頁。
HTTPS 與 HTTP 相同,不過 HTTPS 會通知瀏覽器加密與網頁交換的資料。加密會將資料偽裝,並減低資料被檢視或操縱的機會。如網站包含敏感資料,例如是您的個人資料或財務資料,這一點便非常重要。
設定 HTTPS
要配合您的網域名稱使用 HTTPS,您必須在網站上安裝 SSL 或 TLS 憑證。您的網站寄存 (網站寄存服務供應商) 可能會提供 HTTPS 保安,或您可向「憑證機構」要求 SSL/TLS 憑證並自行安裝。您可能需要定期更新 SSL/TLS 憑證。
網絡伺服器的類型各有不同,每種都有自己的安裝和 SSL/TLS 憑證更新過程。您需要找出您的網站正在使用哪種網絡伺服器,並按照指示安裝和更新憑證。
以下 Google 服務會自動發出、安裝和更新 SSL/TLS 憑證,而不額外收費:
很多第三方網站寄存亦會發出、安裝和更新 SSL/TLS 憑證。您可配合 Google Domains 使用任何網站寄存,包括 Bluehost、Shopify、Squarespace、Weebly 和 Wix。
如您的網站寄存不提供 HTTPS 保安,您可向憑證機構 (CA) 為您的網域取得 SSL/TLS 憑證。Google 擁有自己的憑證機構 Google Trust Services。對於 Google Domains 的客戶,您可以按照網域中「保安頁面」的指示,從 Google Trust Services 取得憑證。
Let’s Encrypt 是另一個以創造安全互聯網為宗旨的常用憑證機構。
在您取得憑證後,您必須與您的網站寄存合作安裝憑證。如您在自己的伺服器上寄存網站,請瞭解如何啟用 HTTPS。如果您使用自動化憑證管理環境 (ACME) 通訊協定來管理憑證,可以按照以下步驟來管理使用 ACME 和 DNS 的憑證。
如要從 Google Trust Services 取得憑證:
- 登入 Google Domains。
- 選擇要取得憑證的網域。
- 在左上方,輕按「選單」圖示 [安全]。
- 在「網域的 SSL/TLS 憑證」部分下,展開「Google Trust Services」
- 按一下 [取得 EAB 密鑰]。
- 畫面會顯示帶有「EAB 密鑰 ID」和「EAB HMAC 密鑰」兩個值的對話框。
- 輕按每個值旁邊的「複製」按鈕,複製兩個數值。
- 利用這兩個值來註冊 Google Trust Services CA 帳戶。根據您指明 EAB 的方式,每個 ACME 客戶端的執行方式都略有不同,請參考 ACME 客戶端文件以選擇您想使用的方式。
- 以下範例說明常用 Certbot ACME 客戶端的設定。
- 如要註冊帳戶:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- 在建立帳戶後,您可以執行以下指令以發出憑證:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- 如要註冊帳戶:
- 以下範例說明常用 Certbot ACME 客戶端的設定。
- 畫面會顯示帶有「EAB 密鑰 ID」和「EAB HMAC 密鑰」兩個值的對話框。
管理使用 ACME 和 DNS 的憑證
自動化憑證管理環境 (ACME) 是一種常用的通訊協定,用以自動化憑證機構 (CA) 和伺服器之間的憑證管理工作。自動化操作有助使用者減少因無法更新 HTTPS 憑證而引致服務中斷的機會。
ACME 通訊協定會採用驗證查詢來查證您是否有網域名稱的控制權。Google Domains 透過使用 API 憑證,在 DNS 伺服器中支援 DNS-01 驗證查詢類型。
如要產生 API 憑證:
- 登入 Google Domains。
- 選擇您要使用的網域。
- 在左上方,輕按「選單」圖示 [安全]。
- 在「ACME DNS API」部分下方輕按 [產生憑證]。
重要事項:這個值只會顯示一次。在關閉對話框後,您將無法再找到此 API 憑證。請把憑證保存在安全的地方,因為任何人只要取得此憑證,都可修改網域的部份 DNS 記錄。
- 畫面會顯示帶有「API 憑證」的對話框。
- 您需要以此 API 憑證來進入 ACME 客戶端。
- 輕按 API 憑證旁邊的「複製」按鈕,便可複製此值。
- 如果您在關閉對話框前未有先儲存此值,可以先刪除然後再產生新的 API 憑證。
- 每個網域同一時間可有最多 10 個 API 憑證。
- 在關閉對話框後,清單中會出現一項記錄。隨時刪除憑證,便可撤銷存取權。
- 此 API 憑證可用於支持 Google Domains ACME DNS API 的 ACME 客戶端。根據您指明此 API 憑證的方式,每個 ACME 客戶端的執行方式都略有不同,請參考 ACME 客戶端文件以選擇您想使用的方式。
- 畫面會顯示帶有「API 憑證」的對話框。
保障您的 SSL/TLS 憑證
HTTPS 有助防止「中間人」(MitM) 攻擊,但如有人可冒充您的 SSL/TLS 憑證,則您仍可能會受到這些攻擊侵擾。要防止此等情況,您必須審核為您的網站發出,而您無法識別的憑證。您亦可使用「憑證機構授權」(CAA) 資源記錄,限制可為您的網域發出憑證的機構。
查看為您的網域發出的憑證
如要查看發給網域的憑證,您可在 censys.io 搜尋。