HTTPS

網站只要有 HTTPS 就好了嗎?選對憑證廠商更重要!

相信有在關注科技類新聞的人都會知道,前些日子 Google 發表聲明,從 2017 年起當網站屬於交易類型或是會員登入平台(也就是需要輸入個人隱私、帳戶資訊的網站),若沒有加裝 SSL 數位憑證,Chrome 瀏覽器就會加上「Not secure」標記,運用更直覺的方式,教導網站使用者辨識網站安全性,並以此保護用戶資料安全。不過,有了 SSL 數位憑證,讓網站顯示 HTTPS,就百分之百保障安全了嗎?

選對憑證廠商,比你想的還重要!在今年八月份,國外資安論壇揭露了某中國憑證廠商在未經網域持有人驗證的狀況下,頒發了其網域的 SSL 數位憑證,簡單來說,就像是有人盜用您的名字去申請信用卡,而信用卡的頒發商也完全沒有進行任何身份驗證措施,直接將卡片頒發給盜用者,這樣的話,若卡被刷爆,誰由該付錢呢?回到網站 SSL 數位憑證議題,若憑證核發商任意將憑證頒發給盜用者,此盜用者便可以利用此假憑證,來取得瀏覽者對於其不法網站的信任,進而竊取資料。其中的損失影響範圍極大,包含企業網站擁有者、憑證頒發商、網站使用者、與同樣使用同間憑證廠商的其他網站。

為什麼使用同間憑證廠商的其他網站,也會受影響呢?讓我們回顧 2011 年的 DigiNotar 假憑證事件 ,此事件的後續發展,就是 Google 與 Firefox 取消對於 DigiNotar 的信任,移除其所頒發的所有憑證,使得向其申請 SSL 數位憑證的企業,需要重新購買並安裝,甚至需要重新累積使用者對於網站的信任,浪費時間與金錢,還不如在一開始就選擇值得信賴的憑證商。

一般而言,憑證有分幾種類型,包含一般網站用的域名型、企業適用的企業型、與安全等級最高,網址列會呈綠色顯示的增強型(完整的憑證類型可參考此連結 ,需要依據網站屬性去選擇,但無論選擇哪一種,合法且公信力的憑證供應商,都會針對憑證申請者進行驗證措施,並利用電話聯繫方式確認身分,所需資料尚包含企業登記影本與相關證明資料,以系統加人工方式進行驗證,層層把關確保發出去憑證確實具備公信力。企業在挑選憑證時,可以以此幾項為選擇指標:具備國際信任、未曾發生重大資安事件、擁有本地端的在地支援,讓 SSL 數位憑證,成功為您網站塑造安全形象!

更多 SSL 數位憑證介紹

圖片來源:TBIT / pixabay.com