資訊安全無疑是近幾年讓大家熱烈討論的話題,也是讓各家企業必須正視的問題。而幫自家網站安裝 SSL 的這件事,正是企業執行資訊安全規劃的第一步。
從今年開始,採用 Chrome 56 版本瀏覽器瀏覽網站,若瀏覽的網站未安裝 SSL 將會直接在網址列上呈現出灰色警示符號
,以提醒使用者這個網站的安全上可能有疑慮,不建議繼續瀏覽使用。而 Firefox 51 版本瀏覽器也跟進類似政策,當瀏覽到需要輸入帳號及密碼資訊的頁面時,若此網站未安裝 SSL ,也會呈現出灰色鎖頭加上紅色刪除線的警示資訊
,警告使用者您正要在一個不安全的網站輸入機密資訊。Google 甚至為了讓大家對資訊安全議題更為重視,提供了自家服務的 Https 實行狀況及各大熱門網站實行狀況資訊報告供大家查看。
而 SSL 安裝完成後,您可以試著使用一些安全性測試的工具,來測試看看您的 SSL 安裝是否正確、取得憑證詳細資訊、查看是否有什麼錯誤訊息等等。SSL 憑證簽發廠商 GMO GlobalSign 提供了一個 SSL Health check平台 SSL Server Test ,您可直接於平台上輸入網址,只需幾分鐘的時間就能幫檢測完畢,並提供詳細的檢測報告供您參考。
下圖是採用 www.cloudmax.com.tw 網站做的測試,您首先可以先看到針對整個網站的總體評分,接著往下可以看到更多的詳細資訊,若在安裝上有錯誤,也可以看到相關資訊,以利進行修正。
除了 SSL 的安全檢測之外,我們也另外整理了幾個 SSL 的常見問題,提供大家參考:
1. 網站明明已經安裝了 SSL ,為什麼網址列還是無法顯示為安全?
一般來說網站安裝完 SSL 後網址列就應該可以顯示為 https:// 並且有綠色鎖頭樣式,如:
,若發生無法正常顯示或是圖片看不到等情形,您可以點擊網址列上的灰色小圖示,選擇 Security -> Overview ,可直接查看錯誤訊息。
2. 我在錯誤訊息的地方看到 ” This request has been blocked ”資訊,是什麼原因呢?
這表示您的網站內有部份圖片連結非 https 開頭,這個解決辦法是除了在網站裡把圖片連結都改成 https 外,也可以在主機的 htaccess 裡設定 Header set Content-Security-Policy: upgrade-insecure-requests ,這樣即可解決。
3. 網站如何設定瀏覽 http 時自動導到 https?
在 htaccess 設定如下:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
最後,SSL 憑證雖然不是萬能的,但至少對於資料傳遞的安全能提供一定程度的防護,而若您想了解更多進階的網站安全防護資訊,及 SSL 憑證該如何選擇,您可以參考以下文章:
圖片來源:pixabay.com / geralt