近幾年來架設惡意網站或釣魚網站來竊取個資的案例越來越多了,尤其是現在使用手機瀏覽的頻率大幅提升,那該怎麼預防呢?今天來談一個跟大家息息相關的『網路安全』問題
相信大家不管是在操作電腦或是手機時,很常會跳出一個 “你與這個網站的連線不安全“、“這個網站無法提供安全連線“、“ mail.XXXX.com 不符合安全性標準”看到的時候是否心理驚嚇了一下,網路世代人的通病,怕又要被什麼網頁病毒綁架了,今天,我們就來談談這個網頁安全性。
SSL安全憑證是什麼?
以往常常看到個資外流事件層出不窮,隨著現在網站越來越多樣化,購物詢價、會員機制、紅利集點等,凡等只要需輸入個人資料等相關資訊,就需要有SSL保障
SSL是什麼?
SSL完整的英文是 Secure Sockets Layer,在國家教育研究學院-學術名詞中所查詢的結果,翻譯為通訊安全協定、安全性通訊層、安全資料傳輸層等名稱,而在金管會的定義則為【安全保密付款機制】,是一種網站保護使用者個人資料、聯絡方式、付款資訊等不被第三方所攔截的技術方法。
那到底誰需要加裝SSL呢?
若是你網站會有許多機密資訊或用戶個資的話,建議使用付費的 SSL 憑證,這可以確保網站往後風險控管。
簡單來說,SSL是一種用於保持網際網路連線安全以及防止在兩個系統之間發送的所有敏感資料被罪犯讀取及修改任何傳輸的資訊的一種技術,包括個人詳細資料。
那要怎麼知道網站是否有加裝SSL?
教大家一個很簡單的分辨方式,SSL 憑證安裝於伺服器上,如果有加裝 SSL,使用者看到的網址會是以 https:// 開頭,而不是 http// (多出的一個 s 代表「安全」)。按照企業所獲得的驗證或憑證等級,瀏覽器的右下角或是網址列會有一個安全連結鎖型圖示,這就表示資料傳輸已受到了TLS 高安全加密程序的保護了。
與企業相關的SSL?
自 2014 年,Google 正在倡導在網路上全面使用 HTTPS 或 SSL。搜尋引擎一直透過更高的網站排名來獎勵安全的網站,成為網站安裝 SSL 另一個重要理由。與行銷當中的SEO搜尋引擎優化有著息息相關連, 傳輸層安全性 (TLS) 是 SSL 的後繼協議。TLS 是 SSL 的改良版本,其運作方式與 SSL 大致相同,使用加密來保護資料和資訊的傳輸。
SSL憑證:網路安全的第一關
裝了SSL就萬無一失了嗎
簡單來說,透過SSL加密技術來確保【網路連線過程的資料不被竊取與修改】,另外一項則是【網站確定非假冒的釣魚網站】, 網站安全不僅僅是對企業的信任度息息相關、即使一般微型小企業、商店、品牌網站等,都有密切的關係,一但發生個資外流事件可能會引發的後果跟不信任效應是很難想樣與衡量的。
有些憑證代理商,收費後只負責轉發國外原廠授權的憑證,而不進行客戶資料的確認,也不提供技術支援與承擔風險等等,對於客戶來說很容易造成許多安全問題與糾紛。
1. 可信賴的憑證供應商:所有憑證的頒發都需進行身份驗證審核流程,採用國際知名及合法可信賴的憑證供應商提供之 SSL 數位憑證,方得確保您購買的憑證是安全有效用的。
2. 憑證時效性:因應 CAB Forum 的限制,憑證有效期限需低於 39 個月,由於憑證代表的是企業網站的真實性及可信任度,過長的憑證時效將會無法成功安裝
免費 SSL VS. 付費 SSL ?
SSL 憑證代理商多、價差大,有一年上萬也有完全免費的憑證,無論使用哪個憑證,都可以獲得 HTTPS 加密協定,因此不少人會疑惑,為什麼需要花錢買 SSL 數位憑證?
免費的 SSL 數位憑證,效期只有90天,每三個月需要重新申請一次,通常只採系統信件方式進行驗證,並不會進一步審核申請者身份的真實性,而付費型 SSL 因為驗證機制完整且嚴謹,故通常具備多年方案,用戶可以一次下單多年,省去每年續約或是重新安裝等的繁瑣流程
SSL分類有哪些?
1.「DVSSL 域名型數位憑證」
簡稱標準版SSL-單一網域適用,網路上最普遍核發的憑證,便宜快速。支援常見的瀏覽器,如IE、Chrome、Firefox、Safari等。目前核發的SSL憑證全面提升為更安全的256bit加密,國際將憑證金鑰提升至2048位元。
2.「OVSSL 企業型數位憑證」
企業型 SSL 憑證-進行嚴格的網站所有權的真實身份驗證,憑證標示企業組織機構詳情,強化信任度。
3.「EVSSL 增強型數位憑證」
簡稱超豪版 SSL-電子商務適用增強型 SSL 憑證-除了進行嚴格的網站所有權的真實身份驗證之外,還加入第三方驗證,憑證標示增強組織機構詳情,強化信任度。
4.「Wildcard通用型數位憑證」
購買一個 SSL 憑證可支援一台伺服器上多個子網域。
四種類型,其中以「EVSSL 增強型數位憑證」在驗證的審核流程上最為嚴謹,EVSSL 屬於高強度的安全認證等級,除了針對企業身份及網域所有權進行審查外,亦會加入第三方驗證進行審查。此外,採用 EVSSL 的網站,網址除了會變更為 https:// 外,在網址列前方亦會呈現出企業名稱,以揭露最完整的企業真實身份,提升客戶對網站的信任度。
介紹了這幾種,那到底哪種適合我呢?
| (DV)SSL 域名型數位憑證 |
(OV)SSL 企業型數位憑證 |
(EV)SSL 增強型數位憑證 |
Wildcard通用型數位憑證 | |
|---|---|---|---|---|
| 適用對象 | 微型小企業、電子商務 | 微型小企業、電子商務 | 大企業、電子商務 | 適合有多個部門公司,有多個子網域 |
| 外觀 | 灰色網址、鎖頭 | 灰色網址、鎖頭 | 綠色網址、鎖頭 | 灰色網址、鎖頭 |
| 安全級別 | ★★☆☆ | ★★☆☆ | ★★★★ | ★★☆☆ |
| 認證標章 |  |
|
|
|
| 加密強度 | 256-bit | 256-bit | 256-bit | 256-bit |
| 特色 | 幾分鐘內即可快速核發、便宜經濟大眾使用 | 完善的企業識別,安全可信 | 第三方嚴格身份審核、最高級別 SSL 數位憑證,強化的加密效果 | 可同時保護一個域名下所有的子域名網站 |
網站真的需要安裝嗎?
SSL有兩年的期限,如果出現「你的連線不是私人連線」,代表您的網站沒有安裝SSL或者是SSL過期了
網站安裝SSL憑證已經變成常態,再加上Google倡導在網路上全面使用 HTTPS 或 SSL以提升更高的網站排名,當然市面上現在也有免費的SSL,是否要裝設就看您可以承擔的風險,一般來說裝設標準版一般型SSL即可,畢竟在這個人人生活都離不開的網路世界,多一層保護是很重要的,建議交給專業公司幫忙處理,保護個資也維護公司商譽。
