HTTPS | 捕夢網 Blog

免費VS付費，SSL憑證怎麼選？八大點助你選擇沒障礙

pumoadmin55 — Fri, 29 Apr 2022 07:13:31 +0000

看這一篇，一次讓你全方位了解SSL的重要性

近年來，Google Chrome和各大瀏覽器非常強調網站安全性，要求網站必須安裝SSL憑證取得HTTPS加密傳輸。市面上SSL憑證品牌眾多，價格區間差異又大，還有免費SSL憑證可以選擇。既然安裝憑證的目的是為了HTTPS加密傳輸，乾脆裝免費SSL憑證就好了。何必要花錢買SSL憑證呢？

關於免費與付費SSL差異，可以從以下幾點進行比較，作為公正公平的比較基準。

1. 國際公信力

有通過國際認證的服務，我們通常會比較相信其服務品質及安全性。SSL憑證也是同樣道理。而SSL憑證是用在網站的，網站是要用瀏覽器來看的。所以SSL憑證核發公司提供的SSL憑證取得Webtrust與各大瀏覽器認可，才會具備國際公信力。

捕夢網提供的SSL憑證TWCA、GeoTrust、PositiveSSL、RapidSSL，皆有取得上述國際認證，極具國際公信力。

WebTrust是什麼？
WebTrust 是由全球兩大著名註冊會計師協會 AICPA（美國註冊會計師協會）和 CICA（加拿大註冊會計師協會）共同制定的安全審計標準，也是電子認證服務行業中唯一的國際性認證標準，主要對網際網路服務商的系統及業務運作邏輯安全性、保密性等共計七項內容進行近乎嚴苛的審查和鑑證。

WebTrust 認證是各大主流的瀏覽器、微軟等大廠商支援的標準，是規範 CA 機構運營服務的國際標準。在瀏覽器廠商根證書植入專案中，只有通過 WebTrust 國際安全審計認證，根證書才能預裝到主流的瀏覽器而成為一個全球可信的CA認證機構，從而實現瀏覽器與憑證的無縫嵌入。

2. 網站身分驗證方式

免費的SSL憑證，以Let’s Encrypt為例，是採用系統信件的方式驗證網域，不會特別去審核申請者的真實性。換句話說，有心人士可以故意申請一個相似難辨真偽的網域，抄襲網頁內容，變成所謂釣魚網站。有裝了免費SSL憑證，在網路就是「有加密」的網站。

付費的SSL憑證，對於申請者都會進行身分驗證，驗證方式會依據SSL憑證類型有所不同，用來申請者(企業)真實性及網域所有權。以捕夢網代理的國外GeoTrust、PositiveSSL、RapidSSL會進行線上的網域驗證及企業驗證。台灣TWCA要求申請者(企業)提出書面文件驗證，驗證方式最嚴謹。

3. 憑證有效期限

免費SSL憑證因為驗證方式寬鬆，核發的期限多為90天。期限一到，網站會立即變成不安全，網站管理員需手動自行更新憑證。一年內須多次注意憑證期限，企業管理不易。

付費SSL憑證可以的核發期限為一年期。以捕夢網為例，憑證到期前的一個月就會主動通知用戶進行續約。續約後，由捕夢網為用戶更新憑證。對於企業網站安全性管理非常輕鬆。

※根據CA/Browser Forum規範，自2020年9月1起，SSL憑證僅能核發一年的效期。

4. 企業名稱顯示

點擊瀏覽器網址列的鎖頭標示，可以顯示SSL憑證的資料，包含憑證是否有效、核發對象(企業名稱)、發給(網址)、簽發者(憑證公司)、有效期。

安裝免費SSL憑證的網站(參考圖一)，僅顯示憑證有效，沒有顯示核發對象。這表示這張憑證就是核發給這個網址，無法確認申請者的身分真實性。進一步點擊憑證有效(參考圖二)，可以發現該憑證效期只有3個月。(為保護網站資料，因此隱藏部分網址)

圖一

圖二

安裝付費SSL憑證的網站(參考圖三)，以捕夢網為例，不僅顯示憑證有效，有顯示核發對象(捕夢網)，我們捕夢網的身分真實性是經過驗證的。進一步點擊憑證有效(參考圖四)，發現該憑證效期為1年。

圖三

圖四

5. 損害賠償責任與訴訟

網站安裝憑證就是為了保障網站安全性。根據電子簽章法規定，「憑證機構對因其經營或提供認證服務之相關作業程序，致當事人受有損害，或致善意第三人因信賴該憑證而受有損害者，應負賠償責任」。國內外憑證核發公司，都有根據SSL憑證類型不同，均有不同額度損害賠償金額。

如果網站已安裝SSL憑證，資料仍不幸遭竊。受害網站則可以對憑證核發公司提起訴訟。這就會牽扯到在哪裡訴訟的問題。因為要提起訴訟，你要去憑證核發公司所在地的法院提起訴訟，法院依據的是所在地的法律規定。要嘛精通當地法律及語言，要嘛就要請在地律師幫忙。

捕夢網代理的國外品牌，其公司所在地都在美國，如要提起訴訟非常不方便。正因如此，捕夢網通常都建議企業購買台灣在地的TWCA。

6. 憑證技術支援

免費SSL憑證是自行安裝，如果安裝失敗就無法提供加密，不論是核發原廠或是捕夢網，皆不提供技術支援及客戶服務，一切自行管理。即使是付費的SSL憑證安裝也非容易的事情，自行安裝的用戶有時會遇到安裝失敗，或是網址沒轉成HTTPS，或是網址沒有出現鎖頭標示。

因此，對於向捕夢網購買SSL憑證的用戶，提供24小時客服及技術支援。協助SSL憑證的安裝過程直到網站順利顯示HTTPS。遇到相關憑證問題時，隨時可以取得即時協助。

7. 不同的憑證類型

免費SSL憑證很單純，就是單一網域，只能安裝於一個網站。

如果你的網站類型是以下情況，像是主網站有多組子網域，或是一個企業同時經營多個獨立網站，或者經營電子商務要裝EV等級的憑證。就只有付費的SSL憑證才有提供對應所需的憑證類型。

網站類型	憑證類型
主網站有多組子網域	Wildcard SSL憑證
同時擁有多個獨立網站	多網域SSL憑證
電子商務網站	EV SSL憑證

8. 憑證的安全標章

市面上有許多認證標章，像是醫療保健器材、電子器材甚至農產品等都有認證標章。取得標章的產品表示品質有保障。SSL憑證也是一樣。免費SSL沒有提供安全標章。付費的SSL憑證會提供安全標章給用戶放在網站上。訪客可以一眼就了解到網站受到SSL憑證的保護，提高網站信任感。

9.綜合比較

	付費SSL數位憑證	免費SSL數位憑證
憑證公信力	取得Webtrust與各大瀏覽器認可	不一定通過國際規範
網站身分驗證安全性	高	低
網站身分驗證方式	網域驗證組機驗證書面驗證	網域驗證
憑證期限	1年期	約3個月
企業名稱揭示	顯示詳細企業資訊，提升網站信任度	通常只顯示憑證核發公司名稱
損害賠償責任	依據購買憑證類不同 1萬-50萬美金不等	無賠償
安裝協助	7x24x365客服與技術支援	自行管理
網域使用限制	單一網域 Wildcard SSL憑證多網域SSL憑證 EV SSL憑證	只能使用於單一網域
安全標章	具備安全標章	無
賠償機制	可向總公司所在地(美國或台灣)法院提出賠償訴訟	沒有賠償規範機制公司資訊如遭竊取只能認賠

想更了解什麼是SSL，可以看這一篇文章喔

#SSL #SSL憑證#免費SSL憑證#免費憑證#GoogleChrome#網站安全性#HTTPS#加密傳輸

#Webtrust#TWCA #GeoTrust #PositiveSSL #RapidSSL #CA認證#釣魚網站#網域驗證#組機驗證#書面驗證

#憑證期限# WildcardSSL憑證#多網域SSL憑證# EVSSL憑證

The post 免費VS付費，SSL憑證怎麼選？八大點助你選擇沒障礙 first appeared on 捕夢網 Blog.

Google加強打擊非加密網站力道！HTTP網站明年起將被Chrome標示為「不安全」

pumoadmin55 — Fri, 04 Nov 2016 03:27:21 +0000

1.2016年可能是HTTP的最後一年？除了Google，蘋果、Facebook也紛紛轉向HTTPS。 2.還在用HTTP的網站當心了，因為明年起，這些網站將被Google貼上「不安全」的標籤。

Google今日宣布，自2017年1月起，當Chrome使用者瀏覽到低安全性的HTTP網站時，網址列將出現「不安全」的警告標示，提醒用戶資料可能因此遭竊。

各家科技大廠紛轉向HTTPS

相較於HTTP，HTTPS是較安全的網路通訊協定，可保護傳輸內容，防止資料遭竊或竄改。

在此之前，Google於2014年提高HTTPS網頁的搜尋排名，並於2015年12月將HTTPS預設為優先索引。除了Google，蘋果也從今年開始要求iOS app開發者應於2016年底前全面採用HTTPS協定，Facebook的新聞推播（Instant Article）也是透過HTTPS傳送。

目前，Chrome的網頁流量已有超過一半來自HTTPS，隨著各家科技大廠紛紛優先使用HTTPS，也意味著HTTP終將消失。

Google明年開始逐步加強網站採用HTTPS

自明年1月起，當Chrome發現該網站用HTTP協定傳送密碼或信用卡資料，會在網址列跳出「不安全」的警告標示。未來，Google預計在所有HTTP網站套用此警示功能，首先將先針對可能更重視隱私的「無痕模式」使用者。

文章來源: http://www.bnext.com.tw/article/40891/Chrome-HTTPS

圖片來源: https://pixabay.com/

想從HTTP變成HTTPS，就是需要安裝SSL憑證!!

裝了SSL憑證，等於幫傳輸的資料建立安全通道，保護使用者傳輸的個人資料(信用卡號、帳號、密碼等)，而也會加密資料，讓駭客很難破解！

捕夢網提供TWCA (台灣憑證權威) 的SSL憑證安全有保障

用國外廠商的SSL憑證，如果客戶真需要求償，就必須跨海求償到廠商所在國家求償喔

來看看哪一種憑證適合你囉~

https://www.pumo.com.tw/www/security/ssl-solution.jsp

The post Google加強打擊非加密網站力道！HTTP網站明年起將被Chrome標示為「不安全」 first appeared on 捕夢網 Blog.

Linux爆核心漏洞，讓駭客能攔截未加密流量

pumoadmin55 — Wed, 07 Sep 2016 06:24:20 +0000

示意圖，與新聞事件無關。

來自加州大學河濱分校（University of California, Riverside）與美國陸軍研究實驗室（US Army Research Laboratory）的6名研究人員在本周舉行的Usenix安全研討會上揭露了一個攸關RFC 5961的安全漏洞，RFC 5961是一項用來改善TCP傳輸安全的標準，卻帶來了新漏洞，允許駭客攔截未加密的流量，波及自v3.6至v4.7的所有Linux核心版本。

TCP為所有網路通訊的基礎協定，主要用來建立兩個主機之間的連線，繼之互傳資訊，不論是HTTP、FTP或DNS等協定都奠基於TCP。而RFC 5961則是一項用來改善TCP傳輸安全的標準，可避免於TCP協定下受到盲窗攻擊（Blind In-Window Attack）。

研究人員指出，漏洞形成的原因來自於ACK封包的回應及特定TCP控制封包的全球限速，這是RFC 5961的功能，已實現在2012年Linux核心3.6以後的版本。該漏洞允許駭客釋出虛假封包爭奪共享資源，並探測計數器的變化。

他們把相關攻擊稱為偏離路徑攻擊（off path attack），可快速測試兩個主機是否正以TCP進行通訊，並推斷TCP排序號碼以強制終止主機間的連結或注入惡意的有效載荷。駭客完全不需要在主機或客戶端執行惡意程式，可能大規模影響網路上的安全及隱私。

此一編號為CVE-2016-5696的漏洞可攔截未加密的傳輸流量，也可破壞諸如HTTPS或Tor的加密通訊。例如當兩名使用者正透過電子郵件通訊時，TCP會把這些訊息拆成大量的封包並進行編號，另一端再加以組合，駭客則可透過該漏洞推斷封包的排序。

研究人員打造了概念性驗證程式以展開測試，發現只需要10秒鐘就能判斷主機是否正在通訊，也只要數十秒就能推斷主機間用以連結的序列號碼。平均40到60秒就能完成攻擊，成功率介於88%到97%之間。

除了Linux之外，其他採用RFC 5961的作業系統也可能受到影響，嚴重性則視作業系統對RFC 5961的整合程度而定。

文章來源:http://www.ithome.com.tw/news/107739

The post Linux爆核心漏洞，讓駭客能攔截未加密流量 first appeared on 捕夢網 Blog.