HTTPS 常見問題

Google 的 HTTPS 實行狀況

什麼是加密機制?

加密機制是一種新型保護措施,可像過去保險櫃和密碼鎖保護紙本資訊一樣,捍衛電子資訊的安全。這項程序採用密碼演算技術,能夠將資訊轉換為無法解讀的編碼形式;只有透過金鑰才能將其轉譯成可讀的解碼形式。以裝置加密為例,這種型態的密碼會根據程式或裝置的明確指示,透過一組可重組資訊的 PIN 碼或複雜的演算法來進行拆解。加密機制會有效運用數學演算來將資訊編碼及解碼。

什麼是 HTTPS?

HTTP (超文本傳輸通訊協定) 這種技術可讓瀏覽器連線至網站;HTTPS 則是經過加密的 HTTP 連線方式,所以具有更高的安全性。如果您在網址中看到 HTTPS (而非 HTTP),代表您是透過安全連線瀏覽網站。此外,大部分的瀏覽器也會使用圖示標示安全連線,例如 Chrome 會顯示綠色鎖頭圖示。

為何要使用 HTTPS?

我們建議使用 HTTPS 確保網站的安全性,即使您的網站不含敏感內容亦然。HTTPS 可確保網站的健全性,還能捍衛使用者的隱私和安全。此外,唯有採行 HTTPS 通訊協定的網站,才能使用各種強大的新型網路平台功能。

Google 的 HTTPS 目標為何?

我們深信嚴實的加密機制是保護所有網路使用者的基本安全要件。因此,我們致力在所有 Google 產品和服務中提供加密技術支援。這個「Google 的 HTTPS 實行狀況」頁面即時反映著我們的部署進度,歡迎參考。

加密機制的重要性為何?

訊息必須通過複雜的網路系統,才能從 A 點傳輸到 B 點。在整個傳輸過程中,這些訊息可能會遭到有能力操弄網路系統的有心人士攔截。此外,攜帶型裝置也不再只是撥打電話的工具。這類裝置中會有我們的相片、通訊記錄及電子郵件,更何況,通常為方便使用而習慣保持登入的應用程式當中還包含我們的私人資料。因此,如果裝置遺失或遭竊,有心人士就有可能取得我們的私人資訊,進而盜用我們的身分、詐騙金錢,對使用者造成傷害。

加密機制能針對上述情形提供保護。只要將訊息加密,即使有人在傳輸過程中攔截訊息,也無法解讀當中的內容。這類訊息稱為「密文」,而未加密的訊息則稱為「明文」。此外,在加密裝置上,只要沒有解密所需的 PIN 碼或代碼,不肖人士就無法竊取手機上的內容,只能完全清空裝置上的資料。失去資料固然令人痛心,但總比身分遭人冒用來得好。

加密機制有哪些類型?

在傳輸過程中加密:在使用者傳送資料至第三方伺服器的過程中提供保護。舉例來說,當您在購物網站輸入信用卡憑證資料時,安全連線能保護您的資訊不受第三方中途攔截。只有您和您所連線的伺服器能解密這項資訊。

端對端加密:只有傳送者和接收者能夠加密或解密訊息。即便是用於傳輸資料的系統所屬服務供應商,也無法存取訊息的實際內容。

靜態資料加密:在傳輸過程以外的期間保護資訊。舉例來說,電腦中的硬碟可採用靜止時加密措施,確保他人無法存取失竊電腦中的檔案。

這些圖表中包含哪些通訊協定?

這些圖表顯示的是透過 HTTP、HTTP/2、HTTPS、SPDY 和 QUIC 提出的要求。

Google 將哪些通訊協定歸類為加密連線?

HTTPS、SPDYQUIC 皆預設採用傳輸層安全標準 (TLS),因此 Google 會將透過這些連線提出的要求歸類為加密內容。此外,由於 Google 不支援未加密的 HTTP/2 連線,因此 HTTP/2 一定也屬於加密連線。

哪裡可以找到其他通訊協定的相關資料?

我們目前發布的是 Gmail 郵件通訊協定中的傳輸層安全標準 (TLS) 使用情形資料。其他通訊協定 (前面未提及的通訊協定) 現階段並不在這份報告的說明範圍內。

為什麼產品圖表中並未納入 Google 搜尋的資料?

Google 搜尋服務和其他的一些 Google 產品採用了相同的服務基礎架構;因此,如果將 Google 搜尋視為獨立類別,我們將無法保證其資料的準確度。

有 2013 年 12 月以前的精確資料嗎?

很抱歉,我們不提供這些資料。2013 年 12 月以前的資料來源不夠精確,因此無法用於評估 HTTPS 的採用情形。

Google 如何採計 HTTPS 使用資料?

這項資料是由同意分享使用統計資料的 Chrome 使用者提供,我們是根據使用者瀏覽器連結的 IP 位址來劃分其所在國家/地區。

為何會選擇這 10 個國家/地區的 HTTPS 使用統計資料?

為瞭解世界各地的 HTTPS 使用情形,我們在不同的地理區域選出這 10 個 Chrome 使用人數龐大的國家/地區,以便進行比較分析。

 

各大熱門網站的 HTTPS 實行狀況 [已封存]

「採用 HTTPS 的網站」是什麼意思?

如果 Googlebot 能順利抵達 https://<網域名稱>,而且系統沒有透過 HTTP 位置將其重新導向,我們就會認定該網站採用 HTTPS。

「新式傳輸層安全標準 (TLS) 設定」是什麼意思?

截至 2016 年 2 月為止,如果網站提供傳輸層安全標準 (TLS) 1.2 版並隨附採用 AEAD 作業模式的加密套件,我們就會判定該網站提供新式 HTTPS:

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

「預設 HTTPS」是什麼意思?

「預設 HTTPS」的意思是網站會將 HTTP 要求重新導向至 HTTPS 網址。請注意,即便如此,網站還是有可能拒絕連線至該網域的 HTTPS 要求 (例如 http://<網域名稱> 重新導向至 https://<子網域名稱>.<網域名稱>,但 https://<網域名稱> 拒絕這項連線要求)。
此外,要注意的是,即使網站已標示為具有「預設 HTTPS」,也不保證該網站上所有網頁的資料傳輸都會經過 HTTPS 處理Chrome 會在您造訪的每個網頁上顯示 HTTPS 狀態。如果您使用其他瀏覽器,請務必熟悉各種 HTTPS 狀態在您瀏覽器中的顯示方式。

Google 的資料來源為何?

我們同時使用了公開資料 (例如 Alexa 熱門網站) 和 Google 資料。這些資料是在 2016 年頭幾個月的期間收集而來,並構成這份清單的基礎。

這份清單是按照熱門程度排序嗎?

不是。這份清單是按字母順序列出 Google 以外的前 100 名網站,並根據 HTTPS 的採用情形進一步分為三種類別。

我是網站擁有者,而且我的網站在這份清單中。如果我想改採 HTTPS 通訊協定,Google 會提供協助嗎?

我們會提供一定程度的支援,協助這份清單上的網站轉移至 HTTPS。請查看您的 security@<網域名稱> 電子郵件信箱來瞭解詳情,或是透過 security@google.com 與我們聯絡。

 

憑證透明化

什麼是憑證授權單位?

憑證授權單位 (CA) 是核發數位憑證給網站營運者的機構。作業系統 (例如 Mac OS X 和 Windows) 和網路瀏覽器 (例如 Chrome、Firefox、Safari) 會預載一組信任的根授權。新式作業系統通常會隨附超過 200 個信任的 CA,其中有一部分是由政府管理。網路瀏覽器對所有 CA 的信賴程度都相同。此外,許多 CA 會將核發憑證的權限委派給中繼憑證授權單位。

什麼是憑證?

當您透過安全連線 (HTTPS) 造訪網站時,網站會向瀏覽器提供數位憑證。這項憑證可用來識別網站的主機名稱,且由於該憑證已獲憑證授權單位簽署,因此還可驗證網站擁有者的身分。只要使用者信任憑證授權單位,就可以信任憑證所代表的身分。

憑證透明化的重要性為何?

在現行運作模式下,所有使用者都必須相信這數百個 CA 機構均會正確核發憑證給任何網站。不過有些時候,授權單位可能會因人為疏失或假冒行為而誤發憑證。「憑證透明化」(CT) 改變了憑證核發程序,要求 CA 必須將憑證寫入可公開驗證、無法竄改且僅供附加資料的記錄中,這樣使用者的瀏覽器才會承認其效力。只要將憑證寫入這類公開 CT 記錄,即可讓任何有興趣的單位查看由特定授權單位核發的所有憑證。這樣做能促使授權機構在核發憑證時更加負責,進而提升整個系統的可靠度。未來造訪 HTTPS 網站時,除非該網站的憑證已寫入 CT 記錄中,否則瀏覽器可能不會顯示安全連線掛鎖圖示。

請注意,只有特定網域的負責機構知道核發的憑證是否經過授權。如果憑證未經授權,網域使用者必須與核發該憑證的 CA 確認目前狀況,以決定適當的處理步驟。

什麼是憑證透明化記錄?

憑證透明化記錄是實行 RFC 6962 的伺服器,可允許任何單位提交由公開的信任 CA 所核發的憑證。一旦記錄接受某項憑證,該記錄的密碼資源就能確保該項目絕不會遭移除或修改。

這裡顯示的憑證來源為何?

資訊公開報告中的憑證擷取自有效憑證透明化記錄集。這類記錄中的許多憑證是在核發程序中由 CA 所提交。此外,我們也會納入 Google 建立網路索引時所觸及的憑證。網站擁有者可以在這個網站上搜尋他們管理的域名,以確保其網域沒有相關的誤發憑證情形。

為什麼我的憑證沒有顯示在這裡?

憑證寫入至少一個憑證透明化記錄後,就會顯示在這裡。您可以將自己的憑證提交給特定記錄。如果無法進行這項作業,建議您與 CA 聯絡。熟悉相關技術的使用者可以使用適當的工具 (例如 https://certificate-transparency.org 提供的開放原始碼工具) 自行將憑證提交給記錄。

為什麼某些網站有多個憑證核發單位?

許多大型機構會使用多個 CA 來因應不同的需求,包括契約義務、實行考量和實行成本等。

為什麼某些憑證列有多個 DNS 名稱?

許多機構會選擇核發可跨網站使用的單一憑證。舉例來說,大型網站經常會為旗下資源採用多個子網域 (例如 www.google.com、mail.google.com、accounts.google.com),但會以單一憑證指定所有子網域。

 

Google 應用程式
主選單
搜尋說明中心
false