Google 在 2023 年 5 月 2 日發佈要將 Google Chrome 瀏覽器網址列上的鎖頭圖示做更新的說明,根據 Google 的說法是,會有此更新想法的主要的原因是因為,有太多人無法正確理解網址列上鎖頭代表的正確意義。
Google 在 2021 年時曾做過一份調查,此調查目的是想了解用戶對網址列上鎖頭圖示的看法與是否夠了解,而 Google 在這份研究調查中發現,所有參與研究的用戶中,只有 11% 的用戶是正確的理解了鎖頭圖示的正確含義為「表示這個網站有裝 SSL,在這個網站上輸入的資訊是會被加密傳送的」,而高達 89% 的用戶不僅無法正確理解鎖頭的含義,甚至誤解有鎖頭圖示就表示這個網站就安全可信的,這樣的情況對用戶來說是不安全的,因為用戶可能有誤信釣魚網站的風險。
資訊來源:An Update on the Lock Icon https://blog.chromium.org/2023/05/an-update-on-lock-icon.html、“It builds trust with the customers” – Exploring User Perceptions of the Padlock Icon in Browser UI https://research.google/pubs/pub51481/
SSL 數位憑證主要功能用於保護網路傳輸資料的安全,SSL 數位憑證是一種以數位形式存在的證書,讓網路連線採 SSL (Secure Sockets Layer) 協定進行加密,如此一來,當您的網站上輸入資料,按下送出按鍵後,資料從您這裡傳送到網站伺服器資料庫的這個過程中,就會被加密,這就是大家常說的「將傳輸資料加密」。當您傳輸的資料有被加密的話,若不幸傳輸的資料遭第三方有心人士竊取時,會因為資料已經被加密了,竊取的人所竊取到的資料就會是一堆無意義的亂碼,且因為 SSL 的加解密需要靠公私鑰的配合,沒有公私鑰的話是極度難被解密出來的,因此已加密的資料被竊取後,正確資訊無法被解析出來,就不會有資料外洩的問題產生,這樣的方式可以保障網路資料傳輸的安全。
於此,我們先提出幾個重點:
若您是網站使用者,您要注意 –
- 網站有安裝 SSL 代表的是這個網站的資料傳輸有做加密,可以避免資料被竊取外洩風險
- 網站有 SSL 不代表這個網站就一定是可信頼的,要記得確認該網站的真實性與網站使用的 SSL 是否可信頼
使用者該如何確認網站及 SSL 安全可信賴?
判斷網站安全可以從網站的網址、copyright、網站內的聯絡資訊真偽及資訊露出的多寡來看,而網站是否有安裝掃描軟體或認證 (HackerScan) 及網站網址列 SSL 鎖頭點開後所提供的內容,也都有能用來判斷的依據。
如何判斷網站及 SSL 安全是否可信頼,請看「5個確認網站及 SSL 安全可信頼的方法,一起有效提升網站安全意識」一文。
若您是網站主、業者,您要注意 –
- 網站 SSL 不是有安裝就好,您需要對使用您的網站的用戶、對您客戶的網路使用安全負責,應慎選 SSL 憑證服務的品牌與憑證的級別方案
或許您會想,為什麼會有誤信釣魚網站的情況?SSL 不是都要經過驗證才會核發嗎?沒錯,SSL 申請是需要做驗證的,但是,不同的 SSL 服務品牌與級別方案,各自驗證的流程都有嚴謹度上的差異。
“驗證嚴謹度差異,主要在申請過程對於申請人的身份核實驗證的細節、以及憑證揭露的資訊詳細程度,越容易被取得的 SSL 方案相對驗證的嚴謹度就會較低”
免費或便宜的 SSL 驗證流程 –
這類 SSL 在申請上是最容易被取得的,申請者只要以下 2 個步驟就能申請到 SSL 了:
- 輸入申請資料
- 做個簡單的域名驗證
在這樣的情況下,假設真實的網站 A 申請了一張免費的 SSL 憑證,也掛上網站使用了,代表資料傳輸也有妥善被加密了,但是!一旦網站 A 被有心人盯上,拷貝做了個相似的釣魚網站 B,並且也以相似的網域輕易申請到一樣的免費 SSL 憑證,那用戶就很容易受騙上當。
相比價高的 SSL 驗證流程 –
常見企業網站會採用的 OVSSL 與電商網站會採用的 EVSSL,在申請時除了會驗證基本的域名外,還會:
- 嚴謹的對「網站擁有者」與「企業真實性」做真人核實驗證(例如:從政府機構或公開網站驗證業者資料、撥打業者公開資訊之電話代表號與真人核實身份)
- 在核發的 SSL 憑證上(鎖頭點開的資訊卡)做到「通過驗證之業者企業資訊揭露」
當用戶在瀏覽網站時,就能查看 SSL 所揭露的資訊,以此來確認網站真實性及是否可信。若有心人想拷貝做個相似的釣魚網站,在 SSL 申請的這個關卡就會卡關,這也就是用戶能用來判斷真偽的關鍵了。
那麼免費 SSL 或低價 SSL 就不能用也不可信嗎?其實應該將其用在適合的地方,免費 SSL 或低價 SSL 就比較適合用在內部系統,或尚未正式營運的網站及測試網站上,因為是內部、非正式、非公開在外、沒有牽涉到交易的網站;而網路使用者本身也要在進行個資輸入或交易的網路行為上,多留心注意保護自身安全。
網站加上 SSL 是為了將網站打造的更安全,讓用戶使用的更安心,因此在選擇安全性服務時,要記得這點。Cloudmax 匯智一直以來都持續在分享有關 SSL 數位憑證的說明,包含 SSL 是什麼、SSL 有什麼功能、為什麼網站要裝 SSL、SSL 怎麼選、SSL 為什麼那麼重要…等,在 Blog 或匯智 SSL 數位憑證服務頁面中都有說明,本文我們重點式的快速再次分享,希望能再次讓大家對 SSL 有更清楚的了解,若是您對於 SSL 還有更多的疑問,非常歡迎在文章下方留言、發信至 service@cloudmax.com.tw 、電話 (02) 2718-7200 #1 詢問唷!
延伸閱讀:
歡迎轉載!請見:轉載原則。