今日學習目標是了解 HTTPS 與憑證的作用，避免敏感醫療資料在傳輸過程中被竊聽或竄改再來是認識自簽憑證與 CA 簽發憑證的差異，理解為何正式醫療系統需要受信任的憑證，並能透過 Python 驗證加密傳輸是否確實發生，以確保系統的資料傳輸安全。比起昨日的實作，今日的主題偏向理論+驗證。

一、理論重點

1. HTTP vs HTTPS

• HTTP：明文傳輸，容易被攔截
• HTTPS：透過 TLS/SSL 加密，確保傳輸安全性與完整性

2. HTTPS 的三大保護

• 加密 (Encryption)：內容不被竊聽
• 驗證 (Authentication)：確認伺服器身份可信
• 完整性 (Integrity)：資料不被中途竄改

3. 憑證種類

• 自簽憑證 (Self-signed)：適合測試，本地會跳隱私警告
• 受信任 CA 憑證：正式醫療平台必須使用，才能避免安全警告

4. 醫療情境應用

• 病患上傳血壓、心電圖數據 → 必須透過 HTTPS
• 醫師端查詢病歷 → 傳輸過程要確保「加密 + 不可竄改」

二、案例分享
2019 年美國有一家醫療機構因為網站只用 HTTP 傳輸病人資料，導致駭客能透過公共 Wi-Fi 攔截病患姓名、病歷編號與檢驗結果。事件曝光後，不僅違反了 HIPAA 法規，還被罰款超過 百萬美元，並且嚴重損害了醫院的信譽。這就是為什麼正式醫療系統必須使用 CA 簽發的憑證來啟用 HTTPS，確保敏感資料不會在傳輸過程中被竊聽或竄改。

三、簡單程式範例

import requests

url = "https://127.0.0.1:8443/records"
headers = {"Authorization": "doctor123"}

# 測試不驗證憑證（測試環境允許）
response = requests.get(url, headers=headers, verify=False)

print("Status Code:", response.status_code)
print("Response Data:", response.json())

執行的結果如下

這樣代表醫療資料已透過 HTTPS 成功加密傳輸。