SSL數位憑證

SSL 數位憑證,到底該使用免費還付費的?

(本文寫於 2017 年 1 月 13 日,並於 2018 年 10 月 15 日更新)

自今年 Chrome 68 升級,對於未採用 HTTPS 的網站一律視為不安全後,SSL 數位憑證的選擇又再度成為各企業間討論的話題,我們也接獲不少客戶詢問免費與付費 SSL 的差異,因此本月份特別更新本篇文章,並加入 Google 政策說明,讓大家更認識不同類型的 SSL 數位憑證。

Google 對 SSL 數位憑證各階段政策

去年本篇文章提到的,Chrome 56 在網站未採用 HTTPS 加密時會主動顯示不安全標記,但此不安全的顯示僅限於需要輸入帳號、密碼等隱私資料的網站,其餘網站僅會有宣告提醒的驚嘆號(延伸閱讀:發現了嗎?Chrome 已在主動告訴瀏覽者這個網站是否安全了),不過就在今年!Google 對於 SSL 數位憑證的推廣決心更徹底,無論網站是否需要輸入機敏資料,只要是非 SSL 加密的網站,網址列只單純顯示 HTTP 將會直接被標示「不安全」。在今年 10 月份 Chrome 70 更新後,更會直接呈現紅色的不安全警告。(延伸閱讀,關於更多 Google 對於 SSL 推廣各階段政策,可以參考此篇文章:沒裝 SSL 會被標示為「不安全 」,別讓您的網站不被信任。)

免費 SSL VS. 付費 SSL 差異

這是目前多數企業在選擇時會遇上的最大困擾,因為 SSL 憑證市場廠牌多、價差大,有高則一年上萬的憑證,也有完全免費的憑證,無論使用哪個憑證,都可以獲得 HTTPS 加密協定,因此不少人會疑惑,為什麼我需要花錢買 SSL 數位憑證?

在回應這問題前,我們可以先回頭思考,為什麼 Google 要不斷強調 SSL 數位憑證的重要性,這當然不是為了賺錢,而是為了提升整體網路使用安全,還給大家一個乾淨且使用無虞的網路瀏覽環境。因此,今天每個網站安裝 SSL 的目的,都不該抱著交作業應付各大瀏覽器的心態,而是該思考如何藉由資安工具提高網站安全性。因此在選擇上,最大重點應當是要選擇真正能「安心且放心」的憑證品牌。而免費與付費 SSL 差異,我們可以從以下幾點著手比較,這些項目也是我們常分享給用戶的憑證挑選技巧,每間企業應當依據網站使用目的與需求,選擇最適當的憑證品牌與方案。

1. 憑證公信力

先問一個簡單問題,今天您想要存錢,會選擇名字都沒聽過的銀行?還是找間信任、可確保財富並安心託管的銀行呢?憑證購買也是相同邏輯!理想的 SSL 數位憑證供應商其所提供的 SSL 需經過 Webtrust 與各大瀏覽器認可,具備國際公信力。以匯智所提供的 SSL 數位憑證來說,服務包含 GlobalSign 與 GeoTrust 兩品牌,而這兩個品牌均有符合上述條件。

為什麼憑證公信力如此重要,以 2015 年上線的「外國帳戶稅收遵從法 FATCA」來說,此法令規定稅務資料的傳輸,均需要透過符合認可的憑證廠商 SSL 進行加密,使用非認可的 SSL 均一概不受理。(相關文章請參考:「外國帳戶稅收遵從法」上線,規定金融業者須採用指定廠牌 SSL 數位憑證保護客戶機敏資料)除此之外,若憑證商對於 SSL 的身分驗證不夠確實,將會導致釣魚網站也能冒名安裝其他業者的憑證,形成資安漏洞,且被 Google 或是其他瀏覽器發現的話,更將會全面否定此間憑證公信力,撤回採用相同 SSL 的其他網站的安全認可。此類新聞時有所聞,因此匯智都會建議客戶,寧可在憑證導入初期就先謹慎篩選廠商,避免後續出現安全疑慮,並確保網站能一直擁有最安全的 HTTPS 顯示。

2. 網站身分的驗證方式

免費的 SSL 數位憑證,通常只採系統信件方式進行驗證,並不會進一步審核申請者身份的真實性,舉例來說,釣魚網站可以利用此方式,冒名申請一個與知名網域類似的網域,並利用免費憑證中心寬鬆的驗證方式,申請 SSL 讓網站顯示 HTTPS 降低用戶警戒心,如同前一點所述,當免費憑證商頒發過多信用存疑的憑證後,將會影響其品牌公信力,並使瀏覽器開始審核此憑證核發商的專業與可信度,一旦瀏覽器認定此憑證商存在高度資安風險時,就會移除其所擁有的根憑證,導致使用其憑證的業者,SSL 均會信用失效並使網站出現不安全警告。相關文章可以參考:網站只要有 HTTPS 就好了嗎?選對憑證廠商更重要!

不同於免費憑證,付費憑證的驗證方式嚴謹,且會依據方案類型而有不同。以最高級的增強型數位憑證 EVSSL 為例,除了會用文件和信件、甚至電話方式審查企業身份真實性與網域所有權外,也會加入第三方(如鄧白氏)驗證,避免有憑證誤頒狀況發生。

3. 憑證有效期限

免費 SSL 數位憑證因驗證方式較為寬鬆,因此有限期限通常為 90 天到 1 年不等,無法頒發多年期 SSL。而付費型 SSL 因為驗證機制完整且嚴謹,故通常具備多年方案,用戶可以一次下單多年,省去每年續約或是重新安裝等的繁瑣流程,且以匯智來說,當用戶購買多年型憑證,還可獲得獨享折扣,不但省事又更省錢。

4. 企業名稱揭示

多數免費 SSL 於瀏覽器上僅會顯示憑證核發商的資料,無法顯示企業的完整資訊,而付費 SSL 則會完整顯示企業資訊,下圖分享匯智主網的憑證顯示畫面。我們主網採用的是最高等級的增強型數位憑證 EVSSL,因此您在網址列上會直接看到公司英文名稱 Cloudmax Inc,點擊網址列鎖頭,您還能看到圖一中的安全宣告。若網站瀏覽者想要更一步確認網站詳細資訊,可以點擊「憑證(有效)」就會看到包含憑證的核發商,頒發的網域、到期日等註冊資訊,如圖二。正因為付費 SSL 具備完整的身分驗證,因此才能揭露最完整的企業資訊,並藉此增強品牌安全公信力。

(圖一)

SSL

(圖二)

SSL

5. 損害賠償責任

這項可說是免費憑證與付費憑證最顯著的差異。根據電子簽章法規定,「憑證機構對因其經營或提供認證服務之相關作業程序,致當事人受有損害,或致善意第三人因信賴該憑證而受有損害者,應負賠償責任」,因此無論是國內憑證業者,或是國際品牌業者,均有制定損害賠償金額。以 GlobalSign 所提供的 EVSSL 數位憑證來說,若網站在有安裝此憑證下資料仍不幸遭竊,最高可以理賠美金 $1,500,000。

6. 憑證安裝協助

免費的 SSL 憑證需要自行安裝,原廠多數不提供售後服務或是客服支援,一切都要靠自己,此時很多人會在某些安裝流程上卡關,舉例來說,我們就曾遇過不少客戶詢問,為何網站已經安裝好 SSL 數位憑證,卻無法讓網址列顯示 HTTPS。不同於免費 SSL,以匯智來說,購買我們的 SSL 就能獲得全年無休的 24 小時本地客服與技術支援,全程協助 SSL 安裝導入直到您的網站順利顯示 HTTPS,大幅減輕 IT 於憑證導入時的工作負擔,遇到憑證相關問題時,隨時也可以聯繫我們獲得最即時的協助。

7. 多網域使用限制

免費 SSL 只能安裝於單一網站,若企業為多網站經營模式,則需要分別設定,對於企業整體性管理較不便利,且存在安全風險。相反的,付費 SSL 則可依據企業需求,升級子網域與跨網域方案,利於企業經營。

8. 憑證的安全標章

免費 SSL 通常不提供安全標章,而付費 SSL 會提供安全標章供用戶置入於網站,讓瀏覽者更直覺了解網站正受到 SSL 數位憑證保護,提高網站信任感。根據 Gartner 研究報告指出,具備 SSL 的網站可以提高 64% 下單量,並減少 70% 訂單流失,因此憑證的安裝不僅可以強化企業資安,亦有助於銷售。

 GlobalSign 標章 GeoTrust 標章
GlobalSign SSL 標章 GeoTrust SSL 標章

9. 憑證供應商對於資安的重視與防護

這邊要說明的不是指 SSL 數位憑證,因為現在無論您買的是哪家 SSL,均使用 2048 加密位元,此處要談的是憑證核發商對於資安的維護,以及您採買的憑證支援,是否包含獨立 IP。若原廠對於資安不夠重視,自身防護等級不夠完備,原廠的根憑證仍然是有機會遭到有心人士破解,連帶影響旗下用戶的加密傳輸資料遭到破解。而獨立 IP 的使用也是為了防止採用共享 IP 可能造成的駭客入侵,並避免黑名單問題,確保企業擁有乾淨 IP不受他人影響。

最後,整理下方表格讓大家更一目瞭然分辨免費 SSL 與付費 SSL 差異。

付費 SSL 數位憑證 免費 SSL 數位憑證
憑證公信力 具備 Webtrust 與各大瀏覽器認可 不一定經過正規國際規範認可
網站身分驗證 嚴謹,驗證方式包含企業文件、信件、電話或是第三方(例如鄧白氏)驗證 寬鬆,通常僅有系統信驗證
使用期限 具備多年約,通常為 1-2 年 較短,90天-1年不等
企業名稱揭示 顯示詳細的企業資訊,提升網站信任度 通常只會顯示憑證供應商名稱
損害賠償責任 1 萬-150 萬美金不等 無賠償
安裝協助 7x24x365 客服與技術支援(此處以匯智為例,每間廠商均不同)
多網域使用限制 保護範圍可涵蓋子網域與跨網域 只能使用於單一網域
安全標章 具備安全標章
憑證商的資安防護 具備完整資安防護機制 不一定具備進階資安防護

目前不少人會選擇免費 SSL 數位憑證以符合 Google Chrome 瀏覽器的規範,但免費憑證仍然存在不少資安隱憂,若不謹慎選擇將可能影響企業的網站營運與品牌聲譽,因此在導入 SSL 數位憑證前,建議企業可先評估網站屬性與經營方式,選擇合適的廠商與方案。而我們提供具了備國際高度公信力的 GlobalSign 與 Geotrust SSL 數位憑證,方案包含域名型、企業型與增強型等多種類型,無論您的企業類型為何,我們均可以提供最適合 SSL 解決方案。關於產品介紹可以參考主網 SSL 數位憑證,或是直接撥打服務專線 (02)2718-7200,由專人為您介紹與規劃!

我要購買 SSL 數位憑證:https://www.cloudmax.com.tw/product/ssl-certificate

 

圖片來源:geralt/pixabay.com

發表迴響