SSL 數位憑證,到底該使用免費還付費的?

 

2017年起新版的 Chrome 瀏覽器 (Chrome56) 在網站沒有安裝 SSL 數位憑證下,會強制在網址列顯示帶有警示意味的驚嘆號以及不安全標記(相關內容可參考此篇文章: 發現了嗎?Chrome 已在主動告訴瀏覽者這個網站是否安全了),因此,不少網站經營者開始著手導入 HTTPS。但目前市面上憑證種類眾多,即使都是 SSL 數位憑證價差也非常大,對於申請者來說,免費與付費型的 SSL 數位憑證究竟差在哪,該如何選擇呢?

相信這是多數人都會遇上的困擾,但請記得不用錢的未必適合您。首先,我們當然不能全盤否定免費 SSL 數位憑證的好處,畢竟因為免費憑證供應商的貢獻與推廣,讓在還沒有 Chrome 的強制規定下,有更多網站願意嘗試導入 HTTPS,提升網站安全性。其次,不用錢這點還是讓很多資金不足的微型企業或是小型個人架站者,享受到憑證帶來的好處。但是,雖然不用錢,免費憑證卻存在很多隱形的潛在風險!以下針對免費與付費的差異重點一一列點說明,希望用最淺顯易懂的文字,讓大家明白兩者差異!

1. 憑證公信力

先問一個簡單問題,今天您想要存錢,會選擇名字都沒聽過的銀行?還是找間信任、可確保財富可安心託管的銀行呢?同理可證,憑證的購買也是相同道理!建議大家在選擇憑證時,須考量憑證核發機構是否受到全球認可以及經過 webtrust 認證。在此可以舉 2015 年上線的「外國帳戶稅收遵從法 FATCA」為例,在此政策中的稅務資料傳輸,都只限採用符合國際公信力的憑證廠商進行加密,其餘一概不受理。(詳情可見 「外國帳戶稅收遵從法」上線,規定金融業者須採用指定廠牌 SSL 數位憑證保護客戶機敏資料)可見憑證核發機構的專業與信任度,對於 SSL 數位憑證的選購來說,是項非常重要的要素。

2. 資料驗證方式

免費的 SSL 數位憑證,通常只採系統信件方式進行驗證,並且不會去審核申請者的身份真實性,舉例來說一個惡意人士可以申請一個類似知名網域的網域,並利用免費憑證中心寬鬆的驗證,申請憑證用作於釣魚網站。而付費憑證則依據等級不同,有不同的驗證方式,以最高級的 EVSSL 增強型數位憑證為例,除了會用文件和信件、甚至電話方式審查企業身份真實性與網域所有權外,也會加入第三方(如鄧白氏)驗證,避免有憑證誤頒狀況發生。也就是免費的 SSL 數位憑證雖然可以達到加密傳輸的目的,卻無法作為提升使用者信心的存在。

既然提到了憑證誤頒的情況,就稍微點一下可能產生的後果。若誤發的狀況發生,瀏覽器就會開始檢視憑證核發商的專業度與可信任度,一旦評估具有高風險後,將移除憑證簽發廠商的根憑證,導致同一簽發廠商的憑證全面失效,顯示為不受信任。若有興趣者可以回顧此篇文章「網站只要有 HTTPS 就好了嗎?選對憑證廠商更重要!」。

3. 資安的防護

這邊要說明的不是單指 SSL 數位憑證,因為現在無論您買的是哪家憑證,大多使用 2048 加密位元,此處要談的是憑證核發商對於資安的維護,以及您採買的憑證支援,是否包含獨立 IP。若原廠對於資安不夠重視,自身防護等級不夠完備,原廠的根憑證是有可能遭到有心人士破解的,連帶影響底下用戶的加密傳輸資料有遭到破解還原的風險。而獨立 IP 的使用也是為了防止採用共享 IP 可能造成的駭客入侵,黑名單問題,確保企業擁有乾淨 IP,不受他人影響而連累企業經營。

4. 損害賠償責任

根據電子簽章法「憑證機構對因其經營或提供認證服務之相關作業程序,致當事人受有損害,或致善意第三人因信賴該憑證而受有損害者,應負賠償責任」,因此無論是國內憑證業者,或是國際品牌業者,均有制定損害賠償金額。以 GlobalSign 所提供的 EVSSL 數位憑證來說,若網站在有安裝此憑證下資料仍不幸遭竊,將可以理賠最高 1,500,000 USD 的損失賠償金。

5. 憑證安裝協助

付費型的 SSL 數位憑證,多數會提供本地客服支援,當用戶有憑證導入問題或是安裝需求時,也會提供技術支援協助,反觀免費 SSL,通常須用戶自行安裝,且安裝程序繁瑣,只能請教谷哥大神,一一爬文全靠自己才能安裝成功。

6. 憑證使用限制與有效期限

免費的 SSL 數位憑證因為驗證方式寬鬆所以有限期限通常為 90 天到 1 年不等,無法頒發較長時間的數位憑證,而付費型因為驗證機制完善,通常多備有多年方案,讓用戶可以一次下單,且一次購買多年還可享優惠,不僅省去了每年續約、安裝或是重新找廠商的繁瑣步驟,還可以享有更划算的專業憑證價格。另外需要特別提出來的是,免費型的 SSL 數位憑證只能安裝於單一網站,無法升級為多子網域共用同一憑證,對於企業經營來說較為不便利。

7. 企業名稱揭示

不知道大家是否曾點擊過憑證鎖頭的安全連線詳細資料呢?相信有點過的人會發現,有些憑證的介紹包含了企業資訊露出,有些則沒有,僅單純顯示憑證核發商的資料,這些差異大多源自於你選擇的憑證的等級。一般來說,免費型的憑證大多無法顯示申請者的企業識別,但付費型就可以申請包含企業資料完整揭示的數位憑證,並且提供讓使用者安心信賴的憑證安全標章,讓網站瀏覽者可以輕鬆辨識網站真實性,強化信賴度。

最後,建議大家選擇憑證時,還是選擇安心可信任的廠商,畢竟一分錢一分貨,企業網站的永續經營、與品牌形象的提升,才是網站經營者最須要正視與關注的議題。

 

文章來源:INSIDE