免費VS付費,SSL憑證怎麼選?八大點助你選擇沒障礙

看這一篇,一次讓你全方位了解SSL的重要性

近年來,Google Chrome和各大瀏覽器非常強調網站安全性,要求網站必須安裝SSL憑證取得HTTPS加密傳輸。市面上SSL憑證品牌眾多,價格區間差異又大,還有免費SSL憑證可以選擇。既然安裝憑證的目的是為了HTTPS加密傳輸,乾脆裝免費SSL憑證就好了。何必要花錢買SSL憑證呢?

關於免費與付費SSL差異,可以從以下幾點進行比較,作為公正公平的比較基準。

1. 國際公信力

有通過國際認證的服務,我們通常會比較相信其服務品質及安全性。SSL憑證也是同樣道理。而SSL憑證是用在網站的,網站是要用瀏覽器來看的。所以SSL憑證核發公司提供的SSL憑證取得Webtrust與各大瀏覽器認可,才會具備國際公信力。

捕夢網提供的SSL憑證TWCAGeoTrustPositiveSSLRapidSSL,皆有取得上述國際認證,極具國際公信力。

WebTrust是什麼?
WebTrust 是由全球兩大著名註冊會計師協會 AICPA(美國註冊會計師協會)和 CICA(加拿大註冊會計師協會)共同制定的安全審計標準,也是電子認證服務行業中唯一的國際性認證標準,主要對網際網路服務商的系統及業務運作邏輯安全性、保密性等共計七項內容進行近乎嚴苛的審查和鑑證。

WebTrust 認證是各大主流的瀏覽器、微軟等大廠商支援的標準,是規範 CA 機構運營服務的國際標準。在瀏覽器廠商根證書植入專案中,只有通過 WebTrust 國際安全審計認證,根證書才能預裝到主流的瀏覽器而成為一個全球可信的CA認證機構,從而實現瀏覽器與憑證的無縫嵌入。

2. 網站身分驗證方式

免費的SSL憑證,以Let’s Encrypt為例,是採用系統信件的方式驗證網域,不會特別去審核申請者的真實性。換句話說,有心人士可以故意申請一個相似難辨真偽的網域,抄襲網頁內容,變成所謂釣魚網站。有裝了免費SSL憑證,在網路就是「有加密」的網站。

付費的SSL憑證,對於申請者都會進行身分驗證,驗證方式會依據SSL憑證類型有所不同,用來申請者(企業)真實性及網域所有權。以捕夢網代理的國外GeoTrust、PositiveSSL、RapidSSL會進行線上的網域驗證及企業驗證。台灣TWCA要求申請者(企業)提出書面文件驗證,驗證方式最嚴謹。

3. 憑證有效期限

免費SSL憑證因為驗證方式寬鬆,核發的期限多為90天。期限一到,網站會立即變成不安全,網站管理員需手動自行更新憑證。一年內須多次注意憑證期限,企業管理不易。

付費SSL憑證可以的核發期限為一年期。以捕夢網為例,憑證到期前的一個月就會主動通知用戶進行續約。續約後,由捕夢網為用戶更新憑證。對於企業網站安全性管理非常輕鬆。

※根據CA/Browser Forum規範,自2020年9月1起,SSL憑證僅能核發一年的效期。

4. 企業名稱顯示

點擊瀏覽器網址列的鎖頭標示,可以顯示SSL憑證的資料,包含憑證是否有效、核發對象(企業名稱)、發給(網址)、簽發者(憑證公司)、有效期。

安裝免費SSL憑證的網站(參考圖一),僅顯示憑證有效,沒有顯示核發對象。這表示這張憑證就是核發給這個網址,無法確認申請者的身分真實性。進一步點擊憑證有效(參考圖二),可以發現該憑證效期只有3個月。(為保護網站資料,因此隱藏部分網址)

圖一

圖二

安裝付費SSL憑證的網站(參考圖三),以捕夢網為例,不僅顯示憑證有效,有顯示核發對象(捕夢網),我們捕夢網的身分真實性是經過驗證的。進一步點擊憑證有效(參考圖四),發現該憑證效期為1年。

圖三

圖四

5. 損害賠償責任與訴訟

網站安裝憑證就是為了保障網站安全性。根據電子簽章法規定,「憑證機構對因其經營或提供認證服務之相關作業程序,致當事人受有損害,或致善意第三人因信賴該憑證而受有損害者,應負賠償責任」。國內外憑證核發公司,都有根據SSL憑證類型不同,均有不同額度損害賠償金額。

如果網站已安裝SSL憑證,資料仍不幸遭竊。受害網站則可以對憑證核發公司提起訴訟。這就會牽扯到在哪裡訴訟的問題。因為要提起訴訟,你要去憑證核發公司所在地的法院提起訴訟,法院依據的是所在地的法律規定。要嘛精通當地法律及語言,要嘛就要請在地律師幫忙。

捕夢網代理的國外品牌,其公司所在地都在美國,如要提起訴訟非常不方便。正因如此,捕夢網通常都建議企業購買台灣在地的TWCA

6. 憑證技術支援

免費SSL憑證是自行安裝,如果安裝失敗就無法提供加密,不論是核發原廠或是捕夢網,皆不提供技術支援及客戶服務,一切自行管理。即使是付費的SSL憑證安裝也非容易的事情,自行安裝的用戶有時會遇到安裝失敗,或是網址沒轉成HTTPS,或是網址沒有出現鎖頭標示。

因此,對於向捕夢網購買SSL憑證的用戶,提供24小時客服及技術支援。協助SSL憑證的安裝過程直到網站順利顯示HTTPS。遇到相關憑證問題時,隨時可以取得即時協助。

7. 不同的憑證類型

免費SSL憑證很單純,就是單一網域,只能安裝於一個網站。

如果你的網站類型是以下情況,像是主網站有多組子網域,或是一個企業同時經營多個獨立網站,或者經營電子商務要裝EV等級的憑證。就只有付費的SSL憑證才有提供對應所需的憑證類型。

網站類型 憑證類型
主網站有多組子網域 Wildcard SSL憑證
同時擁有多個獨立網站 多網域SSL憑證
電子商務網站 EV SSL憑證

8. 憑證的安全標章

市面上有許多認證標章,像是醫療保健器材、電子器材甚至農產品等都有認證標章。取得標章的產品表示品質有保障。SSL憑證也是一樣。免費SSL沒有提供安全標章。付費的SSL憑證會提供安全標章給用戶放在網站上。訪客可以一眼就了解到網站受到SSL憑證的保護,提高網站信任感。

9.綜合比較

付費SSL數位憑證 免費SSL數位憑證
憑證公信力 取得Webtrust與各大瀏覽器認可 不一定通過國際規範
網站身分驗證安全性
網站身分驗證方式 網域驗證

組機驗證

書面驗證

網域驗證
憑證期限 1年期 約3個月
企業名稱揭示 顯示詳細企業資訊,提升網站信任度 通常只顯示憑證核發公司名稱
損害賠償責任 依據購買憑證類不同

1萬-50萬美金不等

無賠償
安裝協助 7x24x365客服與技術支援 自行管理
網域使用限制 單一網域

Wildcard SSL憑證

多網域SSL憑證

EV SSL憑證

只能使用於單一網域
安全標章 具備安全標章
賠償機制 可向總公司所在地(美國或台灣)法院提出賠償訴訟 沒有賠償規範機制

公司資訊如遭竊取只能認賠

想更了解什麼是SSL,可以看這一篇文章喔

#SSL #SSL憑證#免費SSL憑證#免費憑證#GoogleChrome#網站安全性#HTTPS#加密傳輸

#Webtrust#TWCA #GeoTrust #PositiveSSL #RapidSSL #CA認證#釣魚網站#網域驗證#組機驗證#書面驗證

#憑證期限# WildcardSSL憑證#多網域SSL憑證# EVSSL憑證

You may also like...

發佈留言