5 個確認網站及 SSL 安全可信頼的方法,一起有效提升網站安全意識
資訊安全, 網站經營

5 個確認網站及 SSL 安全可信頼的方法,一起有效提升網站安全意識

Google 於本月初 (2023/5/2) 宣佈要調整 Google Chrome 瀏覽器上的鎖頭圖示的消息,雖然目前尚未正式定案新圖示正式釋出的日期,但調整計劃已在進行中。會讓 Google 起心動念進行這項計劃的原因,來自於 Google 發現太多使用者對Google Chrome 瀏覽器上的鎖頭圖示(如下圖所示)所代表的意義不夠了解,甚至誤以為只要瀏覽的網站有這個鎖頭圖示,就表示這個網站是沒問題的,網站所提供的資訊與服務都是真實可信的,但是,網站有鎖頭圖示僅表示此網站有安裝 SSL 數位憑證,使用者在這個網站輸入的資訊都會被加密傳送,能避免資訊在傳輸時被竊取後解密。

本文重點:
5 個確認網站安全的方法
SSL 鎖頭資訊差異說明
2步驟,學會如何查看網站 SSL 憑證資訊
如何查看憑證商是否有做到憑證透明化

Google 釋出 Chrome 瀏覽器上鎖頭圖示將調整消息的同時,也點醒了使用者主動發現自己對網站的安全性不夠了解,也讓使用者們更注意與留心使用網站的安全性問題。而使用者該如何確認網站及 SSL 安全可信頼呢?可以從以下 5 個方法來判斷:

1. 注意網址的正確性:

務必看清楚網址,認清網址是否正確,但因為網址字小,且很多網址會比較長,多少會有看錯的可能,而且釣魚網站的手法也常常在網址上下功夫,利用類似的網址偽裝成合法網站,這就是假冒網址手法,常見的假冒網址手法:

  1. 取一個相似的網址,可能多一個字母或少一個字母,EX:google.com (O) -> gooogle.com (X)
  2. 將字母與數字替換,常見的替換像是 O 和 0 、l 和 1 ,EX:google.com (O) -> g00gle.com (X)
  3. 偽造域名,用相同名稱註冊另一個網域,EX:google.com 是大家熟知的 google 網址,但 google 同時也將各個國家的國別域名一併註冊下來(google.com.tw、google.tw、google.co.jp …等),避免遭其他人註冊使用。

另外短網址也是容易被用來包裝假冒網址的手段,假冒者可能會利用網址縮短服務(即短網址),將假冒網址縮短,以隱藏真實網址,誘導使用者訪問。

2. 網站是否有 Copyright 資訊

Copyright 的主要用意在於宣告網站的版權所有,多數正當經營的網站,對網站的內容都是非常珍惜的,且內容都是原創的,不會希望網站內容隨意被他人拷貝使用,因此也都會在網站加上 Copyright 宣告;假冒網站可能會忽略或不在意這個細節,因此也能留心網站是否有 Copyright 的宣告,做為判斷網站真偽的參考。

3. 網站內的聯絡資訊真偽及資訊露出的多寡

網站內所提供的聯絡資訊及資訊露出的多寡也是判斷網站真偽的參考之一,一般網站都會有關於我們、聯絡我們的頁面,可以留意看看網站是否有提供這些頁面,並確認資訊是否正確;也能更進一步看看網站的服務條款或隱私權條款頁面,有些假冒的網站甚至會故意在服務條款或隱私權條款中寫上不雅句子,以取笑受騙上當者。

4. 網站是否有安裝掃描軟體或認證

駭客透過入侵網站植入掛馬程式,以此達到攻擊用戶端、盗取身份資料與財務相關等資訊是很純熟的網路攻擊手法,而網站主、業者,不會希望自己的網站成為攻擊者做壞事的工具,或是被法律上定義為幫兇嫌疑,因此幫網站加上能自動偵測網站是否被掛馬入侵的應用工具,EX:HackerScan 網頁掛馬入侵偵測,就是一個網站主與業者很盛行用來保護網站安全的方式。而網站若有使用這類網頁掛馬入侵偵測掃描服務,一般這類服務也會有個專屬的認證標章可以掛在網站上,使用者也就能以此標章來做為確認網站真實性的參考。

下圖提供 HackerScan 服務的標章做範本介紹,此標章有以下幾個特色,使用者能透過以下幾個特色來了解網站是否安全可信:

  1. 日期會浮動更新,每日定時掃描後更新為最近一次掃描過的日期
  2. 服務正常運行時,眼睛處會有動態掃描呈現
  3. 標章反灰即表示偵測到異常
  4. 點擊標章的話,還會開啟標章資訊畫面,可看到此標章對應的網址資訊

HackerScna 網頁掛馬入侵偵測標章說明
HackerScna 網頁掛馬入侵偵測標章說明
HackerScan 細節資訊
HackerScan 細節資訊

5. SSL 鎖頭資訊內容解讀

點開瀏覽器網址列的 SSL 鎖頭圖示,可以看到此網站所申請安裝的 SSL 詳細資訊,內容會有「憑證核發商資訊」及憑證核發商驗證過的「網站業者企業資訊」,而這二項資訊也是用來評估網站是否可信頼的參考,分別說明如下:

  • 「憑證核發商資訊」指的是頒發這張憑證的廠商是誰,使用者能查看看頒發憑證的廠商是否有過什麼重大疏失(EX:誤發憑證),來評估廠商可信度,也可進一步看看憑證廠商是否有做到憑證資訊透明化,有關什麼是憑證透明化可參考「憑證透明化重要性與說明」一文。
  • 憑證核發商驗證過的「網站業者企業資訊」則代表了申請到這張憑證的過程是否足夠嚴謹,是否有揭露這項資訊也影響了這張憑證是否足夠值得信頼,是一個重要參考指標。

這二項資訊都包含在 SSL 鎖頭圖示中,以下分享 SSL 鎖頭資訊差異說明如何查看 SSL 憑證資訊步驟如何查看憑證透明度 方法給大家。

SSL 鎖頭資訊差異說明:

  • 免費或較便宜、低價的 SSL 憑證,在 SSL 詳細資訊中只會看到憑證核發商資料,因為這類憑證在申請時不會做申請者企業身份驗證,因此看不到申請的企業單位資訊,這也就表示這張憑證的申請是沒有經過第三方公開資料驗證過的,只要填寫申請資料及付款就能取得。
  • 企業商用與電子商務用的 SSL 憑證,在 SSL 詳細資訊中除了能看到憑證核發商資料外,也會顯示此張憑證申請企業的資料,表示這張憑證是有經過憑證商真實驗證過申請單位身份,並且審核通過後才核發下來的。

憑證廠商在做申請單位身份驗證時,是依據憑證廠商自行於第三方公開平台取得的資料來做驗證的(如:鄧白氏),而不是用申請者所提供的申請資料來驗證,這樣做的原因是為了讓驗證足以公正透明、具可信度,若是收到要用於假冒網站使用的憑證申請時,也才能在驗證過程中排除,避免憑證誤發情況發生。

因此,當網站的 SSL 憑證資訊有揭露企業組織資訊,且是正確真實的企業組織資訊,那此網站就更能證明是安全可信頼的。

2步驟,學會如何查看網站 SSL 憑證資訊:

Step 1 – 點擊 SSL 鎖頭圖示 -> 點「已建立安全連線」

Step 1 - 點擊 SSL 鎖頭圖示 -> 點「已建立安全連線」

Step 2 – 下圖畫面點「憑證有效」

Step 2 - 下圖畫面點「憑證有效」

就能看下圖,這就是網站的 SSL 憑證資訊了

就能看下圖,這就是網站的 SSL 憑證資訊了

如何查看憑證商是否有做到憑證透明化:

開啟網頁,按下鍵盤 F12 開啟下圖畫面,點安全性 (Security) 分頁後,在左側總覽列的主要來源下方有此網站的網址(若沒顯示可直接按 F5 重新載入),點選網址後就能看到右下方的憑證透明化訊息了。

查看憑證商是否有做到憑證透明化

歡迎轉載!請見:轉載原則

Photo by UX Indonesia from unsplash

    發表迴響