(本文寫於 2017 年 1 月 13 日，並於 2018 年 10 月 15 日更新)

自今年 Chrome 68 升級，對於未採用 HTTPS 的網站一律視為不安全後，SSL 數位憑證的選擇又再度成為各企業間討論的話題，我們也接獲不少客戶詢問免費與付費 SSL 的差異，因此本月份特別更新本篇文章，並加入 Google 政策說明，讓大家更認識不同類型的 SSL 數位憑證。

Google 對 SSL 數位憑證各階段政策

去年本篇文章提到的，Chrome 56 在網站未採用 HTTPS 加密時會主動顯示不安全標記，但此不安全的顯示僅限於需要輸入帳號、密碼等隱私資料的網站，其餘網站僅會有宣告提醒的驚嘆號（延伸閱讀：發現了嗎？Chrome 已在主動告訴瀏覽者這個網站是否安全了），不過就在今年！Google 對於 SSL 數位憑證的推廣決心更徹底，無論網站是否需要輸入機敏資料，只要是非 SSL 加密的網站，網址列只單純顯示 HTTP 將會直接被標示「不安全」。在今年 10 月份 Chrome 70 更新後，更會直接呈現紅色的不安全警告。（延伸閱讀，關於更多 Google 對於 SSL 推廣各階段政策，可以參考此篇文章：沒裝 SSL 會被標示為「不安全 」，別讓您的網站不被信任。）

免費 SSL VS. 付費 SSL 差異

這是目前多數企業在選擇時會遇上的最大困擾，因為 SSL 憑證市場廠牌多、價差大，有高則一年上萬的憑證，也有完全免費的憑證，無論使用哪個憑證，都可以獲得 HTTPS 加密協定，因此不少人會疑惑，為什麼我需要花錢買 SSL 數位憑證？

在回應這問題前，我們可以先回頭思考，為什麼 Google 要不斷強調 SSL 數位憑證的重要性，這當然不是為了賺錢，而是為了提升整體網路使用安全，還給大家一個乾淨且使用無虞的網路瀏覽環境。因此，今天每個網站安裝 SSL 的目的，都不該抱著交作業應付各大瀏覽器的心態，而是該思考如何藉由資安工具提高網站安全性。因此在選擇上，最大重點應當是要選擇真正能「安心且放心」的憑證品牌。而免費與付費 SSL 差異，我們可以從以下幾點著手比較，這些項目也是我們常分享給用戶的憑證挑選技巧，每間企業應當依據網站使用目的與需求，選擇最適當的憑證品牌與方案。

1. 憑證公信力

先問一個簡單問題，今天您想要存錢，會選擇名字都沒聽過的銀行？還是找間信任、可確保財富並安心託管的銀行呢？憑證購買也是相同邏輯！理想的 SSL 數位憑證供應商其所提供的 SSL 需經過 Webtrust 與各大瀏覽器認可，具備國際公信力。以匯智所提供的 SSL 數位憑證來說，服務包含 GlobalSign 與 GeoTrust 兩品牌，而這兩個品牌均有符合上述條件。

為什麼憑證公信力如此重要，以 2015 年上線的「外國帳戶稅收遵從法 FATCA」來說，此法令規定稅務資料的傳輸，均需要透過符合認可的憑證廠商 SSL 進行加密，使用非認可的 SSL 均一概不受理。（相關文章請參考：「外國帳戶稅收遵從法」上線，規定金融業者須採用指定廠牌 SSL 數位憑證保護客戶機敏資料）除此之外，若憑證商對於 SSL 的身分驗證不夠確實，將會導致釣魚網站也能冒名安裝其他業者的憑證，形成資安漏洞，且被 Google 或是其他瀏覽器發現的話，更將會全面否定此間憑證公信力，撤回採用相同 SSL 的其他網站的安全認可。此類新聞時有所聞，因此匯智都會建議客戶，寧可在憑證導入初期就先謹慎篩選廠商，避免後續出現安全疑慮，並確保網站能一直擁有最安全的 HTTPS 顯示。

2. 網站身分的驗證方式

免費的 SSL 數位憑證，通常只採系統信件方式進行驗證，並不會進一步審核申請者身份的真實性，舉例來說，釣魚網站可以利用此方式，冒名申請一個與知名網域類似的網域，並利用免費憑證中心寬鬆的驗證方式，申請 SSL 讓網站顯示 HTTPS 降低用戶警戒心，如同前一點所述，當免費憑證商頒發過多信用存疑的憑證後，將會影響其品牌公信力，並使瀏覽器開始審核此憑證核發商的專業與可信度，一旦瀏覽器認定此憑證商存在高度資安風險時，就會移除其所擁有的根憑證，導致使用其憑證的業者，SSL 均會信用失效並使網站出現不安全警告。相關文章可以參考：網站只要有 HTTPS 就好了嗎？選對憑證廠商更重要！

不同於免費憑證，付費憑證的驗證方式嚴謹，且會依據方案類型而有不同。以最高級的增強型數位憑證 EVSSL 為例，除了會用文件和信件、甚至電話方式審查企業身份真實性與網域所有權外，也會加入第三方（如鄧白氏）驗證，避免有憑證誤頒狀況發生。

3. 憑證有效期限

免費 SSL 數位憑證因驗證方式較為寬鬆，因此有限期限通常為 90 天到 1 年不等，無法頒發多年期 SSL。而付費型 SSL 因為驗證機制完整且嚴謹，故通常具備多年方案，用戶可以一次下單多年，省去每年續約或是重新安裝等的繁瑣流程，且以匯智來說，當用戶購買多年型憑證，還可獲得獨享折扣，不但省事又更省錢。

4. 企業名稱揭示

多數免費 SSL 於瀏覽器上僅會顯示憑證核發商的資料，無法顯示企業的完整資訊，而付費 SSL 則會完整顯示企業資訊，下圖分享匯智主網的憑證顯示畫面。我們主網採用的是最高等級的增強型數位憑證 EVSSL，因此您在網址列上會直接看到公司英文名稱 Cloudmax Inc，點擊網址列鎖頭，您還能看到圖一中的安全宣告。若網站瀏覽者想要更一步確認網站詳細資訊，可以點擊「憑證（有效）」就會看到包含憑證的核發商，頒發的網域、到期日等註冊資訊，如圖二。正因為付費 SSL 具備完整的身分驗證，因此才能揭露最完整的企業資訊，並藉此增強品牌安全公信力。

（圖一）

（圖二）

5. 損害賠償責任

這項可說是免費憑證與付費憑證最顯著的差異。根據電子簽章法規定，「憑證機構對因其經營或提供認證服務之相關作業程序，致當事人受有損害，或致善意第三人因信賴該憑證而受有損害者，應負賠償責任」，因此無論是國內憑證業者，或是國際品牌業者，均有制定損害賠償金額。以 GlobalSign 所提供的 EVSSL 數位憑證來說，若網站在有安裝此憑證下資料仍不幸遭竊，最高可以理賠美金 $1,500,000。

6. 憑證安裝協助

免費的 SSL 憑證需要自行安裝，原廠多數不提供售後服務或是客服支援，一切都要靠自己，此時很多人會在某些安裝流程上卡關，舉例來說，我們就曾遇過不少客戶詢問，為何網站已經安裝好 SSL 數位憑證，卻無法讓網址列顯示 HTTPS。不同於免費 SSL，以匯智來說，購買我們的 SSL 就能獲得全年無休的 24 小時本地客服與技術支援，全程協助 SSL 安裝導入直到您的網站順利顯示 HTTPS，大幅減輕 IT 於憑證導入時的工作負擔，遇到憑證相關問題時，隨時也可以聯繫我們獲得最即時的協助。

7. 多網域使用限制

免費 SSL 只能安裝於單一網站，若企業為多網站經營模式，則需要分別設定，對於企業整體性管理較不便利，且存在安全風險。相反的，付費 SSL 則可依據企業需求，升級子網域與跨網域方案，利於企業經營。

8. 憑證的安全標章

免費 SSL 通常不提供安全標章，而付費 SSL 會提供安全標章供用戶置入於網站，讓瀏覽者更直覺了解網站正受到 SSL 數位憑證保護，提高網站信任感。根據 Gartner 研究報告指出，具備 SSL 的網站可以提高 64% 下單量，並減少 70% 訂單流失，因此憑證的安裝不僅可以強化企業資安，亦有助於銷售。

GlobalSign 標章	GeoTrust 標章

9. 憑證供應商對於資安的重視與防護

這邊要說明的不是指 SSL 數位憑證，因為現在無論您買的是哪家 SSL，均使用 2048 加密位元，此處要談的是憑證核發商對於資安的維護，以及您採買的憑證支援，是否包含獨立 IP。若原廠對於資安不夠重視，自身防護等級不夠完備，原廠的根憑證仍然是有機會遭到有心人士破解，連帶影響旗下用戶的加密傳輸資料遭到破解。而獨立 IP 的使用也是為了防止採用共享 IP 可能造成的駭客入侵，並避免黑名單問題，確保企業擁有乾淨 IP不受他人影響。

最後，整理下方表格讓大家更一目瞭然分辨免費 SSL 與付費 SSL 差異。

目前不少人會選擇免費 SSL 數位憑證以符合 Google Chrome 瀏覽器的規範，但免費憑證仍然存在不少資安隱憂，若不謹慎選擇將可能影響企業的網站營運與品牌聲譽，因此在導入 SSL 數位憑證前，建議企業可先評估網站屬性與經營方式，選擇合適的廠商與方案。而我們提供具了備國際高度公信力的 GlobalSign 與 Geotrust SSL 數位憑證，方案包含域名型、企業型與增強型等多種類型，無論您的企業類型為何，我們均可以提供最適合 SSL 解決方案。關於產品介紹可以參考主網 SSL 數位憑證，或是直接撥打服務專線 (02)2718-7200，由專人為您介紹與規劃！

我要購買 SSL 數位憑證：https://www.cloudmax.com.tw/product/ssl-certificate。

圖片來源：geralt/pixabay.com