Google 的 HTTPS 實行狀況
什麼是加密機制?
加密機制是一種新型保護措施,可防護電子資訊的安全,像過去保險櫃和密碼鎖保護紙本資訊一樣。這項程序採用密碼演算技術,能夠將資訊轉換為無法解讀的編碼形式;只有透過金鑰才能將其轉譯成可讀的解碼形式。以裝置加密為例,這種型態的密碼會根據程式或裝置的明確指示,透過一組可重組資訊的 PIN 碼或複雜的演算法來進行拆解。加密機制會有效運用數學演算來將資訊編碼及解碼。
什麼是 HTTPS?
HTTP (超文本傳輸通訊協定) 技術可讓瀏覽器連線至網站;HTTPS 則是經過加密的 HTTP 連線方式,所以具有更高的安全性。如果你在網址中看到 HTTPS (而非 HTTP),代表你是透過安全連線瀏覽網站。此外,大部分的瀏覽器也會使用圖示標示安全連線,例如 Chrome 會顯示綠色鎖頭圖示。
為何要使用 HTTPS?
即使你的網站不含敏感內容,仍應使用 HTTPS 確保網站的安全性。HTTPS 可確保網站的健全性,還能保護使用者的隱私和安全。此外,唯有採行 HTTPS 通訊協定的網站,才能使用各種強大的新型網路平台功能。
Google 的 HTTPS 目標為何?
我們深信嚴實的加密機制是保護所有網路使用者的基本安全要件。因此,我們致力在所有 Google 產品和服務中提供加密技術支援。這個「Google 的 HTTPS 實行狀況」頁面即時反映著我們的部署進度,歡迎參考。
加密機制的重要性為何?
訊息必須通過複雜的網路系統,才能從 A 點傳輸到 B 點。在整個傳輸過程中,這些訊息可能會遭到有能力操弄網路系統的有心人士攔截。此外,攜帶型裝置也不再只是撥打電話的工具。這類裝置含有我們的相片、通訊記錄和電子郵件,還有經常使用而保持登入的應用程式中的私人資料。一旦裝置失竊或遺失,極有可能因洩漏私人資訊,而面臨身分遭盜用或金錢詐騙等個人危害。
加密機制能針對上述情形提供保護。只要將訊息加密,即使有人在傳輸過程中攔截訊息,也無法解讀當中的內容。這類訊息稱為「密文」,而未加密的訊息則稱為「明文」。此外,在加密裝置上,只要沒有解密所需的 PIN 碼或代碼,不肖人士就無法竊取手機上的內容,只能完全清空裝置上的資料。失去資料固然令人痛心,但身分遭冒用的損失更嚴重。
加密機制有哪些類型?
在傳輸過程中加密:在使用者傳送資料至第三方伺服器的過程中提供保護。舉例來說,在購物網站輸入信用卡憑證資料時,安全連線能保護你的資訊不受第三方中途攔截。只有你和你所連線的伺服器能解密這項資訊。
端對端加密:只有傳送者和接收者能夠加密或解密訊息。即便是用於傳輸資料的系統所屬服務供應商,也無法存取訊息的實際內容。
靜態資料加密:在傳輸過程以外的期間保護資訊。舉例來說,電腦硬碟如採用靜態資料加密,即使不慎失竊,他人也無法存取其中的檔案。
這些圖表中包含哪些通訊協定?
這些圖表顯示的是透過 HTTP、HTTP/2、HTTPS、SPDY 和 QUIC 提出的要求。
Google 將哪些通訊協定歸類為加密連線?
HTTPS、SPDY 和 QUIC 皆預設採用傳輸層安全標準 (TLS),因此 Google 會將透過這些連線提出的要求歸類為加密內容。此外,由於 Google 不支援未加密的 HTTP/2 連線,因此 HTTP/2 一定也屬於加密連線。
哪裡可以找到其他通訊協定的相關資料?
我們目前發布的是 Gmail 郵件通訊協定中的傳輸層安全標準 (TLS) 使用情形資料。前面未提及的其他通訊協定現階段並不在這份報告的說明範圍內。
有 2013 年 12 月以前的精確資料嗎?
很抱歉,我們不提供這些資料。2013 年 12 月以前的資料來源不夠精確,因此無法用於評估 HTTPS 的採用情形。
Google 如何採計 HTTPS 使用資料?
這項資料是由同意分享使用統計資料的 Chrome 使用者提供,我們是根據使用者瀏覽器連結的 IP 位址來劃分其所在國家/地區。
為何會選擇這 10 個國家/地區的 HTTPS 使用統計資料?
為瞭解世界各地的 HTTPS 使用情形,我們在不同的地理區域選出這 10 個 Chrome 使用人數龐大的國家/地區,以便進行比較分析。
各大熱門網站的 HTTPS 實行狀況 [已封存]
「採用 HTTPS 的網站」是什麼意思?
如果 Googlebot 能順利抵達 https://<網域名稱>,而且系統沒有透過 HTTP 位置將其重新導向,我們就會認定該網站採用 HTTPS。
「新式傳輸層安全標準 (TLS) 設定」是什麼意思?
截至 2016 年 2 月為止,如果網站提供傳輸層安全標準 (TLS) 1.2 版並隨附採用 AEAD 作業模式的加密套件,我們就會判定該網站提供新式 HTTPS:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
「預設 HTTPS」是什麼意思?
「預設 HTTPS」的意思是網站會將 HTTP 要求重新導向至 HTTPS 網址。請注意,即便如此,網站還是有可能拒絕連線至該網域的 HTTPS 要求 (例如 http://<網域名稱> 重新導向至 https://<子網域名稱>.<網域名稱>,但 https://<網域名稱> 拒絕這項連線要求)。
此外,要注意的是,即使網站已標示為具有「預設 HTTPS」,也不保證該網站上所有網頁的資料傳輸都會經過 HTTPS 處理。Chrome 會在你造訪的每個網頁上顯示 HTTPS 狀態。如果你使用其他瀏覽器,請務必熟悉各種 HTTPS 狀態在你瀏覽器中的顯示方式。
Google 的資料來源為何?
我們同時使用了公開資料 (例如 Alexa 熱門網站) 和 Google 資料。這些資料是在 2016 年頭幾個月的期間收集而來,也是這份清單的基礎。
這份清單是按照熱門程度排序嗎?
不是。這份清單是按字母順序列出 Google 以外的前 100 名網站,並根據 HTTPS 的採用情形進一步分為三種類別。
我是網站擁有者,而且我的網站在這份清單中。如果我想改採 HTTPS 通訊協定,Google 會提供協助嗎?
我們會提供一定程度的支援,協助這份清單上的網站轉移至 HTTPS。如要瞭解詳情,請查看你的 security@<網域名稱> 電子郵件地址。你也可以透過 security@google.com 與我們聯絡。