你的網站安裝SSL安全憑證了嗎?

義界:什麼是SSL安全憑證?

SSL安全憑證/數字證書的全稱是 Secure Socket Layer, 其用途乃是確保訪客的瀏覽器與網站所在伺服器之間的通信以加密狀態發送,避免數據在傳輸的過程中被壞叔叔竊取或竄改。

舉個例子:你在購物網站買東西,結賬時網站要求你輸入信用卡或金融卡的卡號和安全碼,但萬一購物網站因安全漏洞被黑客置入惡意代碼(Malicious Code),伺機截取買家的銀行卡信息,那麼你剛輸入的賬密就不能正常傳送到購物網站,貨款也無法轉給賣家。而另一種情況則是,你傳送的信息及數據被黑客複製,從而讓你曝露在被盜刷的風險之中。

當然,這並不僅限於銀行卡的交易。一般網站常使用的聯絡表單(Contact Form)也存在著個資外洩的危險。若是你常接到不明人士來電,或是信箱中突然湧現一堆廣告郵件,那說明你的個資很可能已被人惡意盜用。

雖然SSL不能完全杜絕上述的情況的發生,但卻能規避大部分的風險和隱患。而網站的安全其實還有賴於其他操作的配合。比如網站盡可能架設在安裝了防火的服務器上。就以WordPress網站來說,定期更新程序及外掛(Plugins)、日常備份等都是不可忽視的重要環節。

如何知道我的網站是否安裝了SSL憑證?

最簡單的方式就是把目光投向瀏覽器的網址欄。如果網址的開頭顯示 https:// 則說明網站安裝了SSL安全憑證,反之,若只見到 http:// 則表示該網站並未安裝任何SSL憑證,而且Google Chrome瀏覽器的用戶在網址左側還會見到大大的NOT SECURE字樣。

如果網站安裝了有效的SSL安全憑證,無論Chrome或是Firefox瀏覽器,網址旁都將顯示鎖頭圖樣,說明瀏覽器與網站之間的通信處於正常加密狀態。但也有一些情況是網站雖然安裝了SSL安全憑證,卻不見鎖頭圖樣:

發生這種情況大致有以下幾種可能:
1. SSL安全憑證到期。一般上憑證的有效期是一年到三年,若未及時更新則將導致憑證失效。
2. SSL安裝過程中出現錯誤。通常發生在手動安裝過程中代碼粘貼/上傳的位置錯誤或誤刪代碼。但如今大部分網域代管商或主機供應商都提供自動化安裝,大大減低人為出錯的可能。
3. 網站部分內容元素出現未加密網址。這需要網頁設計師或開發者逐個查找出錯的部分,并將所有元件的連結改為加密狀態的https.
4. 核發憑證的單位、方式並不受Google或Mozilla團隊的認可。近期比較著名的是Symactec的事件。詳情可參閱:Google 分兩階段,將不信任 Symantec 簽發 SSL 安全認證

我要如何獲取SSL安全憑證,價格高嗎?

如今獲取SSL安全憑證的方式非常簡易,只需向網域代管商(Namecheap, Godaddy)付費購買即可,一般價格在8美元到80美元不等。當然Let’s Encrypt也提供免費的SSL安全憑證,但其有效期僅90天,到期前需更新,但一般正規主機供應商都設置了自動更新程序,基本上不需擔心過期失效的問題。

SSL憑證的價格取決於它的類型,并依驗證的標準大致可分為三類:

DV SSL (Domain Validation)

這類憑證屬於初階憑證,核發單位 Cerficate Authority 驗證你爲網域的擁有者後便在短時間內簽發,適合用於個人部落格、論壇或不涉及銀行卡轉賬交易的一般性網站。

OV SSL (Organization Validation)

這類憑證在簽發前需由核發單位人工驗證某團體組織、公司行號及部門單位對網址的所有權,多數情況下也會一併核查申請者的基本情況,包括單位地址、聯繫方式,甚至是商業註冊等信息。通常在兩天內完成簽發程序,價格較高,但比一般DV SSL憑證有著更強的可信度。此外,像是Comodo在頒發OV SSL憑證時也特別附贈安全印章Secure Site Seal,這對提升網站信譽是相當有效的。OV SSL憑證特別適合網店店主、企業、NGO及政府單位申請。

EV SSL (Extended Validation)

擴展驗證證書是最高級別的SSL憑證,驗證程序極為嚴謹。依照CA/Browser Forum制定的標準,申請者需向核發單位提交由所在國政府出具的有效商業證明及公司代表(CEO, CFO, COO)之資料以驗證其合法性。(另參:Comodo EV SSL 申請資料清單)EV SSL在審査後,於7天內簽發。有別於DV和OV憑證僅顯示鎖頭圖標,EV SSL在網址旁還會還顯示申請機構的名稱。

EV SSL under Chrome and Firefox browser
EV SSL在不同Chrome和Firefox下顯示方式。Firefox瀏覽器以青色字體標識申請機構的名稱。

使用EV SSL的機構

使用EV SSL憑證有幾個好處

  • 提高企業、機構的辨識度與形象,以及向訪客展現你保障網絡數據安全性的決心。
  • 提升網站的公信力與可靠性,增強用戶的信心,減少網站跳出率Bounce rate。
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Author

Grey Koh

Published

26/01/2019

Updated

26/01/2019
Close Menu