.png)
SSL憑證是Secure Sockets Layer的縮寫,中文翻譯為通訊安全協定,金管會的定義為安全保密付款機制,協助網站保護使用者個人資料、聯絡方式、付款資訊等不被第三方所攔截。憑證就像是一本電子護照,而這本電子護照就是一種數位金鑰,允許個人或組織使用公鑰基礎結構(PKI)透過internet進行數據交換,HTTPS 透過 HTTP 進行通訊,而HTTPS其中的”S” 就是 Secure 的意思,在 HTTP 之上定義了相對安全的資料傳輸方法。SSL 憑證就像是一個保護數據的專用鎖頭,在訪客的瀏覽器與網站或應用程式之間確保安全連接,確保數據加密傳遞。此外,可以對網頁進行身份驗證,以便用戶在沒有第三方的情況下保留數據。
SSL 憑證的原理是什麼?
SSL 是建立加密連結的標準安全技術,可以在網路伺服器和瀏覽器間提供安全連結。SSL以三把金鑰打造一個對稱式會話金鑰,並用此加密技術傳輸資料。當在實施SSL驗證連線時,源站伺服器會產生一組非對稱金鑰,分別是加密金鑰(公開傳輸的公鑰)以及解密金鑰(不會傳輸的私鑰) ,網站伺服器會將加密金鑰預先傳輸給user,自己保留解密金鑰,而當user收到金鑰後,會將想要傳送到伺服器的資料透過剛剛收到的加密金鑰進行加密,再將加密過的資料回傳給伺服器,網站伺服器收到資料後使用自己剛剛保留的解密金鑰將資料解密以接收訊息。藉由複雜的運算方法,使有心人士就算竊取到資料,也只能看到亂碼無法透過解密金鑰解讀正確訊息。
SSL 憑證有哪些?
主要分為三種類型網域驗證(DV)、組織驗證(OV)和加強驗證(EV)憑證,在驗證程度和信任度上會有所不同。
- 網域驗證(Domain Validation,DV)憑證:
DV憑證是最基本的SSL憑證類型,它只驗證網站的擁有權。獲取DV憑證的過程通常是自動的,只需要驗證網站的域名所有權,而無需提供組織或公司的額外資訊。DV憑證適合個人網站、部落格、非商業性質的網站等。因為驗證過程簡單,申請程序快速,適合需要基本加密保護的場景。
- 組織驗證(Organization Validation,OV)憑證:
OV憑證在驗證過程中除了驗證網站的域名外,還需驗證申請人組織的合法性。這包括確認組織的存在、合法登記,並可能需要提供額外的文件,如公司證件等。這使得OV憑證比DV憑證具有更高的信任度。OV憑證適合中小型企業、電子商務網站、專業服務提供商等,這些網站需要在安全性和信任度之間取得平衡。使用OV憑證可以顯示組織的身份,增加用戶信任。
- 加強驗證(Extended Validation,EV)憑證:
EV憑證是最高級別的SSL憑證,提供最高程度的驗證和信任。在驗證過程中,申請人必須經過更嚴格的身份驗證,包括組織的合法性和經營記錄的驗證。EV憑證會在瀏覽器中顯示綠色地址欄,以及組織名稱,增加用戶信任。EV憑證特別適合金融機構、大型企業、電子商務平台等需要傳遞最高信任和安全性的網站。這些網站通常處理敏感的金融或個人資訊,因此需要提供額外的驗證和保護。
為什麼你需要使用SSL憑證
究竟網站為什麼需要使用SSL憑證呢?使用SSL憑證有以下幾點優勢:
-
保護您的資料 - SSL證書的核心功能就是保護客戶端與伺服器之間的資料傳輸, 安裝SSL之後每一道信息傳輸都是加密的
-
SSL確認您的身份 - 申請SSL時必須經由第三方證書頒發機構(CA)的驗證, 根據您的證書類型, CA會驗證您的組織身份,
-
提升搜尋引擎排名 - 2014年開始 google針對其演算法進行修改, 針對HTTPS網站更具優勢, 對於SEO優化是不可或缺的一環
-
SSL滿足PCI/DSS - 若您的網站需要在線付款, 必須要符合PCI, 安裝SSL是主要需求之一
-
提高客戶信任度 - 除了加密傳輸之外, 瀏覽器的標示為綠色鎖頭的”安全”以及提供客戶查看組織資訊
SSL憑證免費版與付費版差異
網路上免費的SSL憑證很多,但究竟免費板與付費版有哪些差異呢?就讓我們來看看比較圖吧!
| 付費版SSL | 免費版SSL | |
| 第三方驗證 | 各大瀏覽器都支持 | 支援程度低 |
| 簽發驗證 | 驗證方式嚴謹 | 驗證方式寬鬆 |
| 使用期限 | 1-2年 | 3個月 |
| 責任賠償 | 1萬-100萬美金 | 無 |
| 安全性 | 不須上傳私密金鑰 | 私密金鑰留存在網站上 |
| 安全標章 | 具備 | 無 |
HTTPS對SEO與網站經營的重要性
如果你的網站需要使用者填入他的個人資料,甚至是證件照與信用卡,而進行購買行為或申請服務項目,強烈建議你一定要轉變成HTTPS!他可將使用者輸入的資訊加密傳送到你的Sever端,避免被有心人士竊取使用者的資料。如果你的主要生意與金流都是靠網站,那麼你更該加裝HTTPS!相信你一定不願意發生曾在你的網站購買商品的人,之後不斷傳出資料外洩、信用卡盜刷的問題吧?尤其在資訊流通快速的時代,只要有一個負面新聞,都會大大打擊你的網站名譽,影響你的營收。
從上面的圖得知,有HTTPS的網站目前會有綠色標記,代表安全。
現在Google Chrome更重視HTTPS,也宣布了在未來新版本的Chrome瀏覽器上,針對HTTP網頁特別標註不安全的網站。當使用者看到瀏覽器跟他說這個網站不安全時,他會想到是不是會中病毒?會被竊取資料?將影響他繼續瀏覽網站的機率。
如果你有在使用Google Analytics等網站分析軟體,必定會在意你的使用者是透過哪個管道來源到達你的網站的。是搜尋引擎?Facebook?E-mai?還有一個你會在意的是參照連結(referral),是從哪個網站連到你的網站。但會因為有沒有HTTPS而搗亂了你的資料。
比如說你有跟A網站合作,A網站上有一個宣傳頁面,上面添加了你的網址。如果按照你的想法,應該是可以透過網站分析軟體,清楚知道今天有多少個造訪次數(visits),是因為A網站而來。但如果A網站是HTTPS網站,你的網站是HTTP,因為A網站的傳遞過來的資訊已被加密,你的網站無法解密,所以無法接收到這個造訪是透過什麼途徑而來,只能被歸類在none,或是其他類別,干擾了你評估與A網站合作的引導流量的效益。
以下是一個簡表,讓你快速了解參照資料是否能正確顯示:
| 外部網站 | 自己網站 | 參照連結正常顯示 |
| HTTPS | HTTP | X |
| HTTP | HTTP | O |
| HTTP | HTTPS | O |
| HTTPS | HTTPS | O |
被Chrome 視為無效的SSL憑證發行商名單
自己網站安裝了HTTPS,就不需擔心外部網站的參照連結來源資料,不會正常顯示。若你仍然使用HTTP,就只能祈禱你的參照連結來源都是HTTP,才不會搗亂了你的來源資料。
Google Chrome於2017年公布賽門鐵克(Symantec)發行的SSL視為無效化,並於2018/3/7公布Chrome 66連上賽門鐵克的SSL時呈現的警告畫面。避免影響使用者體驗與搜尋排名,請大家務必確認SSL的發行商是否為下列名單。
以下是被Chrome 視為無效的SSL憑證發行商名單:
-
Thawte
-
VeriSign
-
Equifax
-
GeoTrust
-
RapidSSL
-
Symantec
SSL憑證過期怎麼辦?
當涉及到憑證管理時,各規模大小的企業都存在一些不同的問題。儘管中小型企業可能只擁有一個或少量憑證,但企業級別的公司通常都擁有龐大的網路,無數的聯網設備,還有許多其他方面的事宜需要考慮。在企業級別,SSL憑證過期通常是監督不善的結果。
在應對這些挑戰方面,以下是一些關於避免證書過期的可操作性建議。
-
CA機構們都會在過期前90天內以固定的時間間隔向企業發送過期通知。確保企業對這些提醒進行了設置。當憑證過期的時候前,企業需確保這些通知能收到。
-
找一個認真負責的CA機構,企業業務面臨的最大的挑戰之一是可見性。認真負責的CA機構可以幫助企業在整個基礎設施中查看和管理憑證。另外,確保定期進行登錄,這樣就可以在需要續訂時做好準備。
任何人都有可能忘記續訂或替換即將過期的SSL憑證。但是有很多工具可以幫助其中降低存在的風險。正如我們所討論的,關鍵是要擁有可見性和良好的溝通渠道,這樣就可以避免證書憑證。
蓋亞資訊SSL憑證服務|亞太區最大憑證銷售
蓋亞資訊提供亞太區最大憑證銷售,建立網站的安全機制,提供伺服器身份鑑別及資料傳輸加密,讓使用者瀏覽網頁更放心。
【若有任何需求或疑問,歡迎與我們聯繫】
