Google 在 2023 年 5 月 2 日發佈要將 Google Chrome 瀏覽器網址列上的鎖頭圖示做更新的說明，根據 Google 的說法是，會有此更新想法的主要的原因是因為，有太多人無法正確理解網址列上鎖頭代表的正確意義。

Google 在 2021 年時曾做過一份調查，此調查目的是想了解用戶對網址列上鎖頭圖示的看法與是否夠了解，而 Google 在這份研究調查中發現，所有參與研究的用戶中，只有 11% 的用戶是正確的理解了鎖頭圖示的正確含義為「表示這個網站有裝 SSL，在這個網站上輸入的資訊是會被加密傳送的」，而高達 89% 的用戶不僅無法正確理解鎖頭的含義，甚至誤解有鎖頭圖示就表示這個網站就安全可信的，這樣的情況對用戶來說是不安全的，因為用戶可能有誤信釣魚網站的風險。

資訊來源：An Update on the Lock Icon https://blog.chromium.org/2023/05/an-update-on-lock-icon.html、“It builds trust with the customers” – Exploring User Perceptions of the Padlock Icon in Browser UI https://research.google/pubs/pub51481/

SSL 數位憑證主要功能用於保護網路傳輸資料的安全，SSL 數位憑證是一種以數位形式存在的證書，讓網路連線採 SSL (Secure Sockets Layer) 協定進行加密，如此一來，當您的網站上輸入資料，按下送出按鍵後，資料從您這裡傳送到網站伺服器資料庫的這個過程中，就會被加密，這就是大家常說的「將傳輸資料加密」。當您傳輸的資料有被加密的話，若不幸傳輸的資料遭第三方有心人士竊取時，會因為資料已經被加密了，竊取的人所竊取到的資料就會是一堆無意義的亂碼，且因為 SSL 的加解密需要靠公私鑰的配合，沒有公私鑰的話是極度難被解密出來的，因此已加密的資料被竊取後，正確資訊無法被解析出來，就不會有資料外洩的問題產生，這樣的方式可以保障網路資料傳輸的安全。

於此，我們先提出幾個重點：

若您是網站使用者，您要注意 –

• 網站有安裝 SSL 代表的是這個網站的資料傳輸有做加密，可以避免資料被竊取外洩風險
• 網站有 SSL 不代表這個網站就一定是可信頼的，要記得確認該網站的真實性與網站使用的 SSL 是否可信頼

使用者該如何確認網站及 SSL 安全可信賴？
判斷網站安全可以從網站的網址、copyright、網站內的聯絡資訊真偽及資訊露出的多寡來看，而網站是否有安裝掃描軟體或認證 (HackerScan) 及網站網址列 SSL 鎖頭點開後所提供的內容，也都有能用來判斷的依據。
如何判斷網站及 SSL 安全是否可信頼，請看「5個確認網站及 SSL 安全可信頼的方法，一起有效提升網站安全意識」一文。

若您是網站主、業者，您要注意 –

• 網站 SSL 不是有安裝就好，您需要對使用您的網站的用戶、對您客戶的網路使用安全負責，應慎選 SSL 憑證服務的品牌與憑證的級別方案

或許您會想，為什麼會有誤信釣魚網站的情況？SSL 不是都要經過驗證才會核發嗎？沒錯，SSL 申請是需要做驗證的，但是，不同的 SSL 服務品牌與級別方案，各自驗證的流程都有嚴謹度上的差異。

“驗證嚴謹度差異，主要在申請過程對於申請人的身份核實驗證的細節、以及憑證揭露的資訊詳細程度，越容易被取得的 SSL 方案相對驗證的嚴謹度就會較低”

免費或便宜的 SSL 驗證流程 –

這類 SSL 在申請上是最容易被取得的，申請者只要以下 2 個步驟就能申請到 SSL 了：

1. 輸入申請資料
2. 做個簡單的域名驗證

在這樣的情況下，假設真實的網站 A 申請了一張免費的 SSL 憑證，也掛上網站使用了，代表資料傳輸也有妥善被加密了，但是！一旦網站 A 被有心人盯上，拷貝做了個相似的釣魚網站 B，並且也以相似的網域輕易申請到一樣的免費 SSL 憑證，那用戶就很容易受騙上當。

相比價高的 SSL 驗證流程 –

常見企業網站會採用的 OVSSL 與電商網站會採用的 EVSSL，在申請時除了會驗證基本的域名外，還會：

1. 嚴謹的對「網站擁有者」與「企業真實性」做真人核實驗證（例如：從政府機構或公開網站驗證業者資料、撥打業者公開資訊之電話代表號與真人核實身份）
2. 在核發的 SSL 憑證上（鎖頭點開的資訊卡）做到「通過驗證之業者企業資訊揭露」

當用戶在瀏覽網站時，就能查看 SSL 所揭露的資訊，以此來確認網站真實性及是否可信。若有心人想拷貝做個相似的釣魚網站，在 SSL 申請的這個關卡就會卡關，這也就是用戶能用來判斷真偽的關鍵了。

那麼免費 SSL 或低價 SSL 就不能用也不可信嗎？其實應該將其用在適合的地方，免費 SSL 或低價 SSL 就比較適合用在內部系統，或尚未正式營運的網站及測試網站上，因為是內部、非正式、非公開在外、沒有牽涉到交易的網站；而網路使用者本身也要在進行個資輸入或交易的網路行為上，多留心注意保護自身安全。

網站加上 SSL 是為了將網站打造的更安全，讓用戶使用的更安心，因此在選擇安全性服務時，要記得這點。Cloudmax 匯智一直以來都持續在分享有關 SSL 數位憑證的說明，包含 SSL 是什麼、SSL 有什麼功能、為什麼網站要裝 SSL、SSL 怎麼選、SSL 為什麼那麼重要…等，在 Blog 或匯智 SSL 數位憑證服務頁面中都有說明，本文我們重點式的快速再次分享，希望能再次讓大家對 SSL 有更清楚的了解，若是您對於 SSL 還有更多的疑問，非常歡迎在文章下方留言、發信至 service@cloudmax.com.tw 、電話 (02) 2718-7200 #1 詢問唷！

延伸閱讀：

• 5個確認網站及 SSL 安全可信頼的方法，一起有效提升網站安全意識
• SSL 數位憑證，到底該使用免費還付費的？
• 您可能聽過 SSL 數位憑證 ，但您知道 憑證透明化 的重要性嗎?

歡迎轉載！請見：轉載原則。