超文本傳輸通訊協定 (HTTP) 是瀏覽器用來判斷如何在網路上讀取和傳輸資料的一組規則。當網址包含「http」時,瀏覽器知道要使用此通訊協定才能成功載入網頁。
HTTPS 與 HTTP 相似,不過前者會指示瀏覽器加密透過網頁交換的資料。加密程序會掩蓋資料,並降低他人查看或操控資訊的可能性。如果網站含有個人資訊或財務資訊等機密資料,這項機制就相當重要。
設定 HTTPS
如要透過網域名稱使用 HTTPS,你必須在網站中安裝安全資料傳輸層 (SSL) 或傳輸層安全標準 (TLS) 憑證。網站代管商 (網站代管服務的供應商) 可能會提供 HTTPS 加密服務,或者你也可以要求憑證授權單位提供安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證並自行安裝。安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證可能需要定期更新。
網路伺服器有多種不同類型,而且在安裝及更新安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證時,每個類型均有其適用的程序。因此,你需要確認網站使用的網路伺服器為何,然後按照相應的操作說明安裝及更新憑證。
下列 Google 服務會自動核發、安裝及更新安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證,無須額外付費:
許多第三方網站代管商也會核發、安裝及更新安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證。任何網站代管商服務皆可與 Google Domains 搭配使用,包括 Bluehost、Shopify、Squarespace、Weebly 和 Wix。
如果網站代管商未提供 HTTPS 安全防護措施,你可以向憑證授權單位 (CA) 索取網域的 SSL/TLS 憑證。Google 有自己的 CA,也就是 Google Trust Services。Google Domains 客戶可按照自家網域「安全性頁面」上的說明操作,向 Google Trust Services 索取憑證。
另一個知名的憑證授權單位 Let’s Encrypt 透過提供憑證來協助打造更安全的網際網路空間。
取得憑證後,你必須與網站代管商一同安裝憑證。如果你的網站是透過自己的伺服器代管,請參閱這篇文章,瞭解如何啟用 HTTPS。如果你是使用自動化憑證管理環境 (ACME) 通訊協定來管理憑證,可按照下列步驟透過 ACME 和 DNS 管理憑證。
向 Google Trust Services 索取憑證的方法如下:
- 登入 Google Domains。
- 選取要申請憑證的網域。
- 依序輕觸左上方的「選單」圖示
「安全性」。
- 在「你的網域專屬的安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證」專區底下,展開「Google Trust Services」。
- 按一下「取得 EAB 金鑰」。
- 畫面上會開啟包含「EAB 金鑰 ID」和「EAB HMAC 金鑰」這 2 個值的對話方塊。
- 分別輕觸這兩個值旁邊的「複製」按鈕來複製內容。
- 請使用這 2 個值,向 Google Trust Services CA 註冊帳戶。就這個 EAB 的指定方式而言,每個實作的 ACME 用戶端都略有不同。請先確認你要使用哪一個 ACME 用戶端,然後參閱對應的說明文件。
- Certbot 是相當常見的 ACME 用戶端,以下提供範例,說明如何使用這個用戶端進行設定。
- 註冊帳戶的方法如下:
certbot register --email <聯絡電子郵件地址> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB 金鑰 ID>" --eab-hmac-key "<EAB HMAC 金鑰>"
- 建立帳戶後,可執行下列指令來核發憑證:
certbot certonly -d <你的網域> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- 註冊帳戶的方法如下:
- Certbot 是相當常見的 ACME 用戶端,以下提供範例,說明如何使用這個用戶端進行設定。
- 畫面上會開啟包含「EAB 金鑰 ID」和「EAB HMAC 金鑰」這 2 個值的對話方塊。
「安全性」。透過 ACME 和 DNS 管理憑證
自動化憑證管理環境 (ACME) 是一種常見的通訊協定,能讓你將憑證授權單位 (CA) 和伺服器之間的憑證管理作業自動化。如果啟用這個自動化功能,許多使用者都能降低以下風險:因無法更新 HTTPS 憑證而發生服務中斷的問題。
ACME 通訊協定會透過「驗證」證明你擁有特定網域名稱的控制權。Google Domains 支援 DNS-01 這種類型的驗證方式,這種驗證須透過使用 API 權杖搭配 DNS 伺服器進行。
建立 API 權杖的方法如下:
- 登入 Google Domains。
- 選取要使用的網域。
- 依序輕觸左上方的「選單」圖示
- 在「ACME DNS API」專區底下,輕觸「建立權杖」。
重要事項:這個值只會顯示一次。對話方塊關閉後,就無法再找到這組 API 權杖。請將這組權杖存放在安全的地方,因為凡是取得這組權杖的人,都能修改網域的某些 DNS 記錄。
- 畫面上會開啟一個提供「API 權杖」的對話方塊。
- 你需要提供這組 API 權杖,才能進入 ACME 用戶端。
- 如要複製這個值,請輕觸 API 權杖旁的「複製」按鈕。
- 如未先儲存這個值就關閉對話方塊,也不必擔心,你可以透過簡單的方式將該權杖刪除,然後再建立新的 API 權杖。
- 每個網域只能同時有 10 組 API 權杖。
- 當對話方塊關閉時,清單中就會出現一筆記錄。如要撤銷存取權,你隨時可以刪除這組權杖。
- API 權杖可在支援 Google Domains ACME DNS API 的 ACME 用戶端中使用。就這個 API 權杖的指定方式而言,每個實作的 ACME 用戶端都略有不同。請先確認你要使用哪一個 ACME 用戶端,然後參閱對應的說明文件。
- 畫面上會開啟一個提供「API 權杖」的對話方塊。
保護自己的 SSL/TLS 憑證
HTTPS 可協助防範中間人 (MitM) 攻擊,不過如果有人可以冒用你的安全資料傳輸層 (SSL)/傳輸層安全標準 (TLS) 憑證,這類攻擊仍有可能發生。為避免發生這種情況,如果你無法識別核發給自有網站的憑證,請務必仔細調查。你也可以用憑證授權單位授權 (CAA) 資源記錄,限制能為你的網域核發憑證的憑證授權單位。
查看為你的網域核發的憑證
如要查看針對你的網域核發的憑證,請在 censys.io 中搜尋。