相信有在关注科技类新闻的人都会知道,前些日子 Google 发表声明,从 2017 年起当网站属于交易类型或是会员登入平台(也就是需要输入个人隐私、帐户资讯的网站),若没有加装 SSL 数位凭证,Chrome 浏览器就会加上「Not secure」标记,运用更直觉的方式,教导网站使用者辨识网站安全性,并以此保护用户资料安全。不过,有了 SSL 数位凭证,让网站显示 HTTPS,就百分之百保障安全了吗?
选对凭证厂商,比你想的还重要!在今年八月份,国外资安论坛揭露了某中国凭证厂商在未经网域持有人验证的状况下,颁发了其网域的 SSL 数位凭证,简单来说,就像是有人盗用您的名字去申请信用卡,而信用卡的颁发商也完全没有进行任何身份验证措施,直接将卡片颁发给盗用者,这样的话,若卡被刷爆,谁由该付钱呢?回到网站 SSL 数位凭证议题,若凭证核发商任意将凭证颁发给盗用者,此盗用者便可以利用此假凭证,来取得浏览者对于其不法网站的信任,进而窃取资料。其中的损失影响范围极大,包含企业网站拥有者、凭证颁发商、网站使用者、与同样使用同间凭证厂商的其他网站。
为什么使用同间凭证厂商的其他网站,也会受影响呢?让我们回顾 2011 年的 DigiNotar 假凭证事件 ,此事件的后续发展,就是 Google 与 Firefox 取消对于 DigiNotar 的信任,移除其所颁发的所有凭证,使得向其申请 SSL 数位凭证的企业,需要重新购买并安装,甚至需要重新累积使用者对于网站的信任,浪费时间与金钱,还不如在一开始就选择值得信赖的凭证商。
一般而言,凭证有分几种类型,包含一般网站用的域名型、企业适用的企业型、与安全等级最高,网址列会呈绿色显示的增强型(完整的凭证类型可参考此 连结 ,需要依据网站属性去选择,但无论选择哪一种,合法且公信力的凭证供应商,都会针对凭证申请者进行验证措施,并利用电话联繫方式确认身分,所需资料尚包含企业登记影本与相关证明资料,以系统加人工方式进行验证,层层把关确保发出去凭证确实具备公信力。企业在挑选凭证时,可以以此几项为选择指标:具备国际信任、未曾发生重大资安事件、拥有本地端的在地支援,让 SSL 数位凭证,成功为您网站塑造安全形象!
