保持交易與客戶資料隱密性
有關一些憑證常問的問題,我們整理後放在此處!以簡介(觀念)的方式進行介紹, 您如果有疑問! 可以先來此處參考! 然後再配合知識消息的文章資料以及討論區的討論,相信可以解決您大部分的問題!
6.甚麼是瀏覽器兼容性(browser compatibility)?
12.憑證串鍊(Chain Certificate)是甚麼?
14.單網域憑證(Single Domain),多網域憑證(UC/SAN),萬用網域憑證(wildcard)的差異?
17.加密強度是甚麼(金鑰與金鑰演算法與雜湊函數與雜湊演算法)?
18.ECC(elliptic curve cryptosystem)橢圓曲線演算法:
19.PKI(Public Key Infarstruct)是甚麼?
21.廠商的網站中都有提到Guarantee(Refund),這是甚麼?
23.CPS(Certification Practice Statement)是甚麼,CP(Certificate Policy)又是甚麼?
24.我有一個網域,但是有多台伺服器在運作,可否只買一張憑證?
32.甚麼是公開金鑰(Public Key)與私密金鑰(Private Key)?
46.甚麼是支付卡行業表準(PCI Compliance)?
47.甚麼是SET(Secure Electronic Transactions)?
48.打開網頁,雖然看到https開頭,但是出現警告訊息為甚麼?
49.SSL支援中文網域嗎,如:https://www.憑證購買者.com?
53.SSL Renigociation Attack(SSL再溝通攻擊)?
62.IN HOUSE PKI(Management PKI)?
甚麼是SSL?
什麼是SSL? SSL的縮寫為安全套接字層(Secure Sockets Layer),是由Netscape創建的加密技術。SSL可讓你的web服務器和你的訪客的網頁瀏覽器之間,提供加密的連線,讓您的私人信息不被竊聽,數據篡改或偽造,要在您的網站中達成此功能,就必須取得SSL憑證,並且安裝在您的網站中。在瀏覽器中的URL將會出現https://的顯示,目前已經有數以百萬計的網站有安裝SSL憑證,以保護客戶的寶貴資料與提升企業的安全形象!
要如何取得合法的SSL憑證?
一般SSL憑證是要購買的,需要由CA(Certificate Authorities)廠商提供,也就是證書的頒發機構,而CA的組織必須定期通過相關的資訊安全審核,如ISO27001,Webtrust for CA...等等的資安認證,確認是否依照該組織訂定的CPS(Certification Practice Statement)認證業務規則進行CA的運作,確保運作是合法且安全的,而一個CA廠商可以提供多種且不同的SSL憑證產品,依據驗證等級進行不同價格的訂定,您可以參考本網站的評比選擇自己適合的產品
我想自己做SSL憑證(自簽憑證),可行嗎?
有些人問,一定要買SSL憑證?我自己可不可以自己來做SSL憑證,這樣就可以省錢阿!答案是肯定的,您可以自行製作SSL憑證,這叫做自簽憑證(Self Sign Certificate),您可以利用免費的OPENSSL工具(或其他工具)進行自簽憑的產製,想做多少就做多少,但是自簽憑證與合法憑證最大的差別就是,自簽憑證沒有經過驗證機構進行驗證,在瀏覽器上您打開安裝自簽憑證的網站,會跳出警示訊息,警告您這憑證不是合法機構簽發,這時候一般使用者會繼續使用網頁?還是離開?個人覺得很可能會讓您的客戶不信任您的網站而離開,這是信心問題,不得不注意!我們還是建議不要使用自簽憑證在您的正式網站上,測試用到是可以!如果上線用建議用合法購買的憑證,比較安心!另外本網站也提供自簽憑證(憑證產生器)的工具給您試用,有需求可到憑證工具中使用!
我需要SSL憑證嗎?
如果您要在網路上傳送敏感的資料,如信用卡交易時的帳號密碼,註冊網站會員時的身分證字號,這時候您就需要用SSL對這些資料進行加密的保護,因為沒有加密過的訊息是很容易被取得,試想如果您的信用卡資料被取得後,別人就可以盜刷,造成您的損失,因此建議如果是要處理敏感資訊的話
一般使用者:須注意在網站URL是否有為https://開頭,這才是有SSL憑證加密的網站,同時確認在打開始網頁時瀏覽器是否會跳出告警!更進一步也可以看一下憑證內容!
網站站長:須考慮在您的網頁伺服器上安裝SSL憑證,保護您客戶的資料安全!
其實google,yahoo...等等一些知名企業,已經將SSL應用於大部分的網站當中!
為何SSL憑證價差這麼多?
透過本站的憑證產品評比,您會發現,有些廠商的憑證要幾百塊美金,有些則10塊不到,價差很大,很奇怪吧! 其實!在技術上憑證產品的安全性是一致的,主要差異在於資格審驗,售後服務與產品的品牌,資格審驗:主要是發證商要去確認購買者的資格,確認越多項目,越耗費人力成本,售後服務:因為安裝憑證在主機上,需要一些專業知識,會有客服成本,最後是產品品牌:大廠牌的通常會比小廠牌的來的貴!所以在以上的因素下,產品價差自然就會形成.
甚麼是瀏覽器兼容性(browser compatibility)?
有時候您在查詢憑證相關的資料時,會發現幾乎憑證的網站都會提到他們憑證的browser compatibility達99%,這是甚麼意思呢?其實這是指,憑證發證商將其根憑證內建(植入)在瀏覽器中的比例,一般CA廠商在推出憑證產品前,會跟各家瀏覽器廠商申請將該根憑證內建在瀏覽器中,申請通過後,瀏覽器中就會包含該CA的根憑證資料,好處是,客戶如果登入您的網站,就不會跳出要客戶安裝根憑證的訊息(安全性警訊),製造客戶的困擾,幾乎目前大部分的瀏覽器中,都已經內建各家CA廠商的根憑證,除非是非常舊的瀏覽器,就有可能沒有內建,因為有些舊的瀏覽器比CA廠商還早出現,這也就是說沒人敢說100%的原因!有關根憑證的查詢,舉IE為例: 打開瀏覽器,找到工具->網際網路選項->內容->憑證->受信任的根憑證授權單位,您就可以看到您目前IE瀏覽器中已經內建的根憑證有哪些!
甚麼是瀏覽器加密強度?
我們常在憑證的產品規格中發現,有一樣是瀏覽器支全的加密強度,這個是指加密訊息時所使用的金鑰的長度,一般來說從有40/56/128/256等四種長度,瀏覽器版本越舊,預設的加密金鑰長度舊越低,越低就越容易被破解,新版的瀏覽器大都可支援到128bit以上,您可以下載High Encryption Pack把IE5的加密強度修改為128bit,如果您電腦上的瀏覽器設定的加密強度過低,當您去連上有https的網站的時候,有時候會出現告警的訊息(像支付寶的網頁就會要求要128bit),為何說是有時候,原因是有些廠商在安裝憑證的時候,會限制使用者端的瀏覽器要設定128bit以上的加密強度才能連結,如果廠商沒有在安裝憑證的主機上限制的話(一般會依據client端瀏覽器自動調整),那即使您電腦的瀏覽器加密強度很低,也是可以連到主機端,但這樣傳遞資料時被破解的風險就會比較大,所以也才有強制型(SGC)的憑證商品出現.總之,不要用版本舊的瀏覽器上網,並確認您的瀏覽器加密等級!
憑證保護的網域種類有哪些?
一般我們的網域種類可以歸類為
1.單網域,如www.sslbuyer.com
2.多網域,如www.sslbuyer1.com,www.sslbuyer2.com
3.子網域(萬用網域)如:*.sslbuyer.com
以上的網域憑證都可以保護,有些CA廠商還會提供憑證產品,來保護只有IP沒有網域的網站,甚至有專門保護EXCHANGE SERVER 的UC憑證,所以您可以視您的需求,利用本網站的分析工具,找尋適合的憑證來購買.另外一提的是,如果我的網域是a.b.com.tw,憑證保護嗎,如果您的網域是這種三級域名(在頂級域名之上建立主域名與兩個子域名),購買憑證時請務必詢問CA廠商是否支援,大部分都是有支援的,但是有少數的例外!
憑證的效期是甚麼?
我們在購買憑證的時候,會看到1-5年不等的時間,這就是憑證的效期,也就是說,憑證是以時間來做為販賣的基準,時間越長費用越貴,折扣越高,EV憑證最多2年,非EV憑證最多5年,如果您有看到10年的產品,就需要多注意一下,因為購買憑證的時候,需要驗證您的資格,如果一次買10年,那代表有可能10年內都不會再驗證您的資格,這就比較有風險,也許10年間企業的業務異動,或者公司換經營者,這就比較不能驗證當初的資格與後來是否一致(雖然DV驗證比較寬鬆),憑證的效期的算法,有些廠商是從您發證下來的時間開始算起,有些廠商則是購買的時間算起,要注意的是,起始時間與結束時間的基準點,如2014-10-30 00:00:00 到 2015-10-29 24:00:00,這樣算一年,還是2014-10-30 00:00:00到2015-10-30 00:00:00,兩者就差了一天,這要問一下廠商的時間計算方式.
請問甚麼是DV,OV,EV,BV?
憑證產品依據審驗的方式(您申請時會要求需要符合哪些規定,發證商會進行審查,不符合將不予發證),可以區分以下幾種種類
DV(Domain Valid): 域名的驗證,發證商會驗證您申請的域名是否是您擁有,通常會利用您申請域名留下的email進行驗證(大部分都到公共的數據庫如:whois上查),這種驗證方式只需要在線上進行,因此核發憑證的速度最快,有時候幾分鐘內就核發好了,也就因為如此,這樣的驗證比較簡單,相對鬆散,因此都被稱為安全性較低的憑證產品.
OV(Organization Valid)組織驗證: 再申請此種憑證的時候,申請者資格的驗證就會比DV多了人工介入的部分,除了審查DV憑證的確認項目外,另外會加上確認公司的合法登記與運作,如公司合法登記證,變更登記與,對於域名有控制權,在加上該憑證商要求的其他資格證明資料,足以證明在憑證上登記的資料屬實,因為會涉及人工審驗的部分,因此費用會比DV貴,且核發的時間會比較長.
EV(Extended Valid)擴展驗證: 此項憑證產品是在2007年6月推出,是目前憑證產品中驗證最繁瑣嚴格的,除了先前提到的DV與OV驗證外,瀏覽器的加密等級須在128位元以上,同時在瀏覽器上會出現綠色的網址列,點選憑證須出現公司登記相關詳細資料,有些發證商甚至會訪查申請者的公司運作狀態,是否為合法的廠商,此憑證的申請資格人工介入的部分最多,因此是目前價格上最貴且核發時間最長的憑證,單相對的安全等級就是最高了!
BV(Business Valid)商業驗證:其實這跟OV驗證類似,只是名稱不同!
不論哪一種資格的審驗,都是要確認申請商在憑證中註記的資料正確性,以確保廠商的申請如同所述的是一致的!
請問甚麼是信任標章trust seal?
在購買憑證產品的時候,有些產品會提供信任標章讓您放在您的網站上,主要是要讓您的客戶在進入您的網站同時,看到此標章,很輕易的辨識此網站是有加密的安全機制的,就是一種安全信任感的存在,標章又分為滑鼠點擊呈現與滑動呈現,點擊呈現:當您點選標章的時候,會出現此憑證的相關資料,而滑動呈現:則是滑鼠滑過就會呈現憑證的相關資料,在販售上有些標章會要額外收費,有些則隨SSL產品附贈,而除了SSL產品會提供標章外,還有其他如網站弱點掃描,防毒軟體...等等資安產品也會提供類似標章的證明,標章的安裝通常會提供html的代碼,讓您直接貼在您的網頁程式碼中,標章就是來證明網站在資安上的努力,取得消費者的信賴!
憑證串鍊(Chain Certificate)是甚麼?
一般來講,憑證大都是指一張憑證,可是有時會會聽到或購買時廠商提供好幾張憑證,這些憑證還有關係哩,所謂的串鍊憑證(或者憑證串鍊)指的是,從根憑證,中繼憑證到伺服器憑證一連串的憑證所組成,因為憑證的發放,是有階層式的架構,一層層往下發出,根憑證是最上層,中繼憑證在第二層,伺服器憑證(也就是你買的那張)在最下層,目前大部分網站的憑證串鍊都有三張(根-中繼-伺服器),但是有發現有些有四張(根-中繼1-中繼2-伺服器),因此要看發證機構往下簽署的層級到哪邊,最底層的憑證會繼成上層憑證可信度,其實這邊只要注意,購買憑證時廠商提供的憑證是一串還是一張,如何安裝一串憑證,以及有些憑證的串鍊會中斷,這時候要重新把串鍊的連結建立起來,這部分才是常遇到的狀況,至於憑證串鍊只要有個概念即可,我們的工具中SSL CHECKER可以將網站中的憑證串鍊找出來,可以參考使用!
一般申請憑證的步驟說明?
如果您要申請憑證的話,可參考以下幾個步驟,這是大部分CA商的申請步驟,可參考看看
1.先確認您要保護的網域種類:單網域,有很多個網域或者是很多的子網域,先確認好!
2.您可花費的成本是多少:因為憑證產品是每年計費,您得計算要買幾年期的產品,評估一下成本!
3.找尋憑證供應商:您可透過本網站的介紹,比較不同的產品,找尋適合的供應商
4.填寫CSR檔案:所有的憑證供應商,都會要您在網站上填寫CSR的頁面,然後送出給廠商,CSR是所有申請憑證的開始,很重要,CSR產生的同時會產出您的私密金鑰,這個金鑰要好好保存,至於相關CSR的說明,可參考何謂CSR檔案這篇文章!
5.準備相關資料:依據您申請的憑證所需要的準備文件,廠商都會名列在申請的清單中,您需要依照他們的要求提供文件,有些文件需要蓋公司的大小章,有些需要政府單位核發的證明,就請您依照要求去準備好後,親送或者寄給廠商,進行資格證明的審驗,期間應會與廠商的客服人員進行接洽了解,另外注意whois中您註冊網域的申請人資料,必須與公司證明文件相符,網站也要有固定IP喔,往往這段是最花時間的,因此建議提前3個月內申請比較保險.
6.核發憑證:當您審驗資格通過後,廠商就會進行核發憑證的動作,通常都會將憑證檔案寄送給您,有些廠商只提供一張伺服器憑證(PEM格式),有些則提供p7b格式的檔案,內有憑證串鍊與公鑰的資料,您就可以開始進行憑證的安裝,這時候就要多多利用客服人員來幫忙安裝了
7.憑證的安裝:這要看您的憑證要裝在哪種web server中,相關的技術您可以請教技術人員或者發證商的客服人員幫忙,大部分發證商都會有FAQ可以參考!或者您也可以參考我們的文章進行憑證的安裝.
8.憑證的遺失與換發:一般憑證裝上去後,大概就不會再變動了,只是有可能會發生要換server或者機器掛了,這時候如果憑證檔案遺失了,這就麻煩了,因此憑證檔案與私密金鑰一定要備份起來,萬一真的不幸發生遺失,這時候就只得連絡當初發證的廠商進行補發動作,有些廠商是免費補發,有些則要收取費用.甚至有可能要重新再花錢申請囉!
9.憑證退費:有時候憑證使用到一半,發現不想用了,想要退錢,這時候您必須連絡廠商進行退費,能退多少要看廠商當初的退費條款,一般會依據使用剩下的效期時間按比例退款!
10.憑證展延:憑證快到期了,想要繼續用的話,通常廠商會在到期日前1-3個月內,通知您續約,這時候您只要到該公司網站上進行續約繳費之後,就能繼續使用該憑證了!
以上的簡單說明申請步驟,大部分的申請都不脫離以上的程序!可讓您再申請憑證前心裡面有個底!
單網域憑證(Single Domain),多網域憑證(UC/SAN),萬用網域憑證(wildcard)的差異?
單網域憑證: 就是保護的網域名稱只有一個,一般網站通常有一個網域名稱,舉例如:
www.example.com
單網域憑證就是適用此種網域,一張憑證保護一個網域,很單純,這種憑證也是大多數網站會購買來使用的產品!大部分憑證都會保護www.example.com與example.com兩種,也就是所謂的FQDN
多網域憑證:多網域憑證顧名思義就是一張憑證保護多個網域,通常多網域的憑證基本上都會一次提供保護多個網域,如5個,舉例如下:
5個網域(主域名不同):
1.www.example.com
2.www.example1.com
3.www.example2.com
4.www.example3.com
5.www.example4.com
然後最多可保護99個,您可以視您的需求加購,而多網域憑證的單價,一定會比單網域來的便宜,另外多網域憑證有人也稱為UC(Unified Comunacation)憑證或SAN(Subject Alternative Name)憑證,這種憑證主要常用於Microsoft Exchange server,Office Comunacation Server..等產品,雖然名稱多種,把握一個原則,就是一次保護多個網域就對了,您如果有多個網域要保護的話,可以算一下CP值,來進行購買.
萬用網域憑證:此種憑證保護的網域種類為 *.example.com, 其中*可為任何名稱,其實也就是常說的子網域,舉例如下:
1.mail.example.com
2.tw.example.com
3.support.example.com
一張憑證可以保護無限個子網域,常用在您的主域名不變,子域名改變的網域使用情形,如郵件的就用:mail.example.com,支援網頁:support.example.com....等,因保護無限個,此產品的價格也會比較貴!如果您是買*.example.com, 那a.*.example.com是不適用的!
另外還有提供的內部使用的intranet SSL,與支援IP用的IP SSL,這都是目前市面上可看到的產品,有人問如果是www.example.com.us這樣的多網域是否也保護,這種兩個子網域的域名,廠商在販售的時候一般都會支援此類型網域(即使三個子網域也可,但通常沒看到人使用),可是建議還是要詢問廠商確認!
請問強制行(SGC)憑證是甚麼?
在我們的產品介紹中,會看到有些品支援SGC的功能,這到底跟一般沒有支援SGC的憑證差異在哪邊,這邊說明如下: 所謂的SGC(Server Gated Cryptography)憑證,主要是針對非常早期的瀏覽器(IE5.0以前),預設的加密強度只有40bit,因強度不足所設計的產品,有安裝此類型憑證的網站,客戶連上時,客戶的瀏覽器會強制開啟128bit的加密功能,因此又稱為強制型的SSL憑證,一般SGC的憑證會比較貴些,目前市面上有兩種說法,贊成購買的人士認為無法保證客戶端的瀏覽器是否為最新的,加密夠安全,因此購買SGC憑證可以保證客戶端的瀏覽器加密強度足夠,不贊成購買的人認為:因為市面上老舊的瀏覽器用的人不多(這點有待商榷),且可利用server的警告訊息促使客戶進行瀏覽器升級或開啟128bit加密功能,況且價格又比較貴,不必要特別購買有SGC功能的憑證,至於購買與否,就看您的選擇了,但就本站了解,很多高風險的機構(網站)都有用此類的憑證產品,如果要查詢網站是否有用SGC憑證,可使用我們的工具ssl checker來確認,在查詢項目中有一項支援SGC,您可以看到!另外如果要找尋有支援SGC的憑證產品,在我們的工具SSL Wizard憑證精靈中,有一個過濾項目為是否支援SCG,您可以從這邊找到.
請問強制行(SGC)憑證是甚麼?
在我們的產品介紹中,會看到有些品支援SGC的功能,這到底跟一般沒有支援SGC的憑證差異在哪邊,這邊說明如下: 所謂的SGC(Server Gated Cryptography)憑證,主要是針對非常早期的瀏覽器(IE5.0以前),預設的加密強度只有40bit,因強度不足所設計的產品,有安裝此類型憑證的網站,客戶連上時,客戶的瀏覽器會強制開啟128bit的加密功能,因此又稱為強制型的SSL憑證,一般SGC的憑證會比較貴些,目前市面上有兩種說法,贊成購買的人士認為無法保證客戶端的瀏覽器是否為最新的,加密夠安全,因此購買SGC憑證可以保證客戶端的瀏覽器加密強度足夠,不贊成購買的人認為:因為市面上老舊的瀏覽器用的人不多(這點有待商榷),且可利用server的警告訊息促使客戶進行瀏覽器升級或開啟128bit加密功能,況且價格又比較貴,不必要特別購買有SGC功能的憑證,至於購買與否,就看您的選擇了,但就本站了解,很多高風險的機構(網站)都有用此類的憑證產品,如果要查詢網站是否有用SGC憑證,可使用我們的工具ssl checker來確認,在查詢項目中有一項支援SGC,您可以看到!另外如果要找尋有支援SGC的憑證產品,在我們的工具SSL Wizard憑證精靈中,有一個過濾項目為是否支援SCG,您可以從這邊找到.
如何知道憑證已經被廢止?CRL與OCSP的差別?
一般憑證,都是有使用的期限,非EV憑證目前看到的最多是5年期,而EV憑證因為審核嚴格,只提供最多2年期的產品,超過使用期限未續用(CA商主動會廢止),憑證內註記的資料異動,或者其他原因不想用,您可以要求廢止此憑證,CA商將會將此憑證進行廢止,被廢止的憑證如果網站還是繼續使用的話,在瀏覽器上會出現錯誤訊息!而CA商本身會有兩個方式讓大家來查他所發出的憑證有哪些是被廢止的,一種是CRL,另一種是OCSP
CRL(certificate revocation list ):我們稱做憑證廢止清冊,這邊會列出所有目前已經廢止的憑證序號,用來比對目前廢止的憑證有哪些,這清冊CA會固定時間產出,比較不那麼即時,您可以利用廢止清冊讀取器(CRL READER)進行查詢
OCSP(Online Certificate Status Protocol):線上的憑證狀態通訊協定,這邊就是提供一種界接的協定,您只要按照協定提供要查詢的憑證資料,CA商的系統就會回覆您該憑證的廢止狀態,這是最即時的,馬上查馬上知道!您可以利用OCSP確認器(OCSP CHECKER)來即時對CA商提供的OCSP server進行查詢!
兩種方式都可以查詢憑證的廢止狀態,而在本網站的工具中都有提供這兩種功能提供您查詢使用!如果您的憑證已經被廢止(或者過期),除了您的憑證廠商會把您的憑證列入廢止清單外,您當初裝在主機端的憑證,您必須自行把憑證移除,以免之後有需要用到新的憑證時會發生錯誤(如選錯或者誤用)
加密強度是甚麼(金鑰與金鑰演算法與雜湊函數與雜湊演算法)?
一般憑證的安全性,就技術來來說,主要取決加密的技術,也就是說密碼要被破解的難度,而加密技術的強弱,主要取決於金鑰長度(金鑰演算法)與雜湊函數(雜湊演算法)與金鑰保護的機制,這邊先不討論金鑰的保護機制,單純就金鑰長度(金鑰演算法)與雜湊函數(雜湊演算法)
金鑰長度(演算法):一般來說金鑰長度越長,要破解的時間就越多,而目前用的金鑰演算法為RSA,最新的為ECC(Elliptic Curve Cryptography:橢圓曲線演算法),2013年底各CA已經被要求最少要用2048bit(含)以上的金鑰長度,以下的已經不能再使用,而雜湊函數演算法SHA1將在2017年淘汰,2015年已經開始進行SHA2的升級,因為技術的演進,1024bit的長度容易被破解,所以當您看到憑證的金鑰長度還是1024bit的時候,就知道是比較不安全的
雜湊函數(演算法)(Hash Algorithms):常見的有MD2,MD4,MD5,SHA,SHA1,SHA2,RIPEMD-160,MD5已經被破解,不能使用,而目前在用的為SHA1,慢慢導入的為SHA2,因此對於客戶來說,只要知道幾件事情:
1.金鑰長度為2048bit以上
2.金鑰演算法為RSA(or ECC)
3.雜湊演算法為SHA2(or SHA1(至2017年))
就代表此憑證產品就技術上來說,目前的加密強度是安全的!
ECC(elliptic curve cryptosystem)橢圓曲線演算法:
由於科技的演進,電腦的運算能力越來越強,對於密碼學的破解速度越來越快,所以憑證的金鑰長度與演算法會不斷的更新升級,但是金鑰長度會與演算速度成反比,當RSA2048在往上升級時(RSA4096),速度將會是一個很大的限制,因此一些專家會不斷的在演算法的研究上進行突破(主要在於速度),ECC橢圓曲線演算法就是被提出比RSA演算法更強大的一個演算機制,此機制是西元1985年由Koblitz與Miller提出的,我們這邊不去談論複雜的演算公式,主要是給大家一個觀念,在相同的安全強度下,ECC演算法要比RSA演算法來的快速,ECC的使用金鑰長度也比RSA短,所以ECC的演算機制,應該會逐步取代RSA,且由於小與快速,也很適合行動裝置這種運算速度與記憶體有限的裝置來使用,目前已經聽說2015年中國大陸那邊將全面導入ECC的演算法,相信這會是將來的主流(雖然有人提出破解ECC的論文),目前也有一些CA廠商提供ECC演算法的憑證,而本網站的也有工具SSL Creater可產生ECC的自簽憑證,您就可發現的確比RSA快且檔案小很多!如果您想要產生ECC的CSR檔案也可使用CSR Creater來產製
PKI(Public Key Infarstruct)是甚麼?
憑證產品的產生,是建立在PKI的基礎環境架構之上,因此,提到SSL憑證,一定要提到PKI的基礎架構,PKI(不是KPI:關鍵績效指標)中文叫做公開金鑰基礎架構:這是一種結合非對稱密碼學,應用軟體,硬體設備與網路,提供網路通訊與電子交易的安全性的一個完整的整合技術,在這樣的架構下,可以實現電子傳輸之間的資安要求!而其應用非常廣泛,SSL憑證就是其應用的一種,以憑證的申請流程來看PKI,簡單解釋如下
1.申請者:申請跟註冊中心提供身分證明並提出申請
2.註冊中心(Registration Authority):註冊中心驗證憑證申請人之身分,並授權憑證管理中心CA來簽發憑證,同時也將憑證請求(CSR)安全地傳給CA
3.憑證管理中心(Certificate Authority):憑證管理中心產生並簽署申請人的憑證
4.儲存庫(Repository):憑證管理中心安全的將憑證傳送給申請人並將它儲存於資料庫中,提供查詢憑證狀態
要完成以上的發送憑證程序,就必須要上面這些角色的擔任,這些相關的角色技術上就需要有前面提到的PKI架構來實現,因此您只要有個概念,SSL憑證產品的基礎就是建立在PKI的架構!當然PKI不只於此,詳細的解釋,請參照知識消息中的PKI的相關文章!
買了憑證用到一半期限,不想用了,想退費該怎麼辦?
實際上有時候會發生憑證用到一半期限,就不想用了,例如買了3年期的憑證,用了一年多,突然公司停止營業,不再用了,可否申請退費?答案是一般公司如果是買一年期的產品,即使你用半年,通常都不會退費給您,但是如果是買2年以上的產品,您用不到一半的話,有可能會按比例退費給您(會加上手續費),這部分您要在購買前問清楚廠商的規定,有些憑證是不會給你退費的,一定要在申請的時候問清楚狀況,以免不能退費,白白損失!
廠商的網站中都有提到Guarantee(Refund),這是甚麼?
跟一般的商品販售一樣,SSL憑證廠商都會提供免費無條件退費的服務,如30day money back Guarantee,其實指的是,在您購買憑證之後的30天內,如果您不想用,則可以申請無條件退費的服務,這是要保障客戶反悔的機會,客戶買了之後,有可能不喜歡服務態度,技術支援,或者只是想試試,都可以反悔,這是一種行銷手法!不過!本網站分析多家的憑證的退費保證機制,並非所有產品都能無條件退費,另外,還有些產品退費還要收手續費哩!因此即使有提供退費保證,還是要問清楚是否真的全退給您!通常保證時間越短,全退的機會越大!
廠商的網站中都有提到Warranty,這是甚麼?
Warranty這是憑證產品特有的服務,也是資安產品當中,少數敢保證的損害賠償的產品,一般憑證產品因為基於加密技術的可靠度,不易被破解,因此大部分廠商都會提供損害賠償的聲明,如果您可以提出足夠的證明,證明是因為安裝SSL憑證或者廠商過失,造成您或者您的客戶損失時,該產品賠償的最高金額,所以賠的越多,產品的販售價格越高,不過目前來看要破解SSL憑證本身的技術,在現階段是很不容易的,因此廠商才有把握提供此項聲明,要不然現在資安問題一堆,早就賠到倒閉了!到是您要注意的是賠償的條件是哪些?而這些賠償的聲明與條件,都會清楚記載在廠商的憑證實務作業基準(CPS(Certification Practice Statement))當中!
CPS(Certification Practice Statement)是甚麼,CP(Certificate Policy)又是甚麼?
CP與CPS這兩份文件,是CA廠商一定會製作且公布在網站的文件,也是CA商執行業務所必須遵循的規範,這文件都是必須送給主關機關審核通過才能實施,因此您可以注意,不管哪個CA商,一定(這是規定)會在網站的某處提供這兩份文件供您參考(本站的SSL CHECKER查詢項目中也可得知位置)
CP(Certificate Policy):憑證政策,這份文件主要是規範憑證業務的一個指引,訂定的內容需要依照各國的電子簽章法令與國際規範來制定,其中規定相關運作要求與符合性,做為CPS執行的依據,而CPS(Certification Practice Statement)憑證實務作業基準,則是要依據CP中的要求進行實際的執行時的規範
以法律來比喻,CP是法規,CPS則是施行細則的意思,這樣您就比較容易理解!要注意的是,這兩份文件的版本,應該要比較新,很多網站都會把過去的版本一併放在網頁上,讓您比較,但是最新的版本應該不能差太多年,因為科技日新月異,資安要求與產品推陳出新,相關的文件內容也應該要修訂才對!一般公司會在文件的名稱上加上日期來辨認版本,如果您看到的版本跟現在差很多年,那得注意一下!
我有一個網域,但是有多台伺服器在運作,可否只買一張憑證?
在實務上,常會發現,一個大型的入口網站,常常是一個網域利用附載平衡(LoadBlance)的設備,接上後面有多台的server在運作,這時候可否只買一張憑證然後給後面多台的server使用呢?原則上,大部分的憑證是認domain name(也有認IP),所以即使您有多部設備要使用憑證,只要是屬於一個網域名稱,您要裝到n部主機上都可以(有些廠商會限制server的數量),而且只算一個憑證的費用,除非您的網域名稱有不同,那就可考慮多憑證或萬用憑證的產品,另外一種實務上的裝法是,如果是裝在LoadBlance設備上,那也是只要買一個即可,這個考量上主要是為了速度,但是加密的機制只會從客戶端到loadBlance上,接到後端去的主機之間就沒有加密,這是需要考量的點,不過!後端server通常都放在企業的內部,會有防火牆的保護,安全性強度上會比較要求,因此常常有公司用這樣的方式來達到對速度的要求,因此要裝在主機或網路的設備上,就見仁見智了.
SSL的風險是甚麼?
SSL憑證其實也是有他的風險存在,在技術上的安全性,使用憑證的方式,應該是目前資安等級上最安全的產品之一,產品在技術上比較沒有太大的風險,主要的風險在於驗證的完整度,因為!只要申請廠商依照要求提出相關的佐證資料,通過審核,就可以購買到SSL憑證,安裝在設備上,但是這資格審驗僅限於法律上的合法要求,至於網站的經營者是否是有誠信的人,是否是一家正派的公司,是否穩健的在營運,恪遵資訊安全的管理,這都是無法詳細確認的,雖然有人呼籲希望可以對購買憑證的廠商進行實體的訪查,但是這費時費工費成本,一般CA商都不想另外在做這樣的審驗,在商業利益的考量下,只好犧牲這塊的審查了,所以,這樣的風險就好像,你賣一個工具,結果用工具的人是壞人,那就難保不會做壞事了!記得!SSL憑證只保證傳輸之前的加密性,至經營者的誠信導致於資料的濫用,就無法控制了!
申請SSL的時候主機要用固定IP?還是不用?
通常您在申請SSL證書的時候,常常會提醒您,您的server需要有固定的IP,以利安裝,那如果我的主機沒有固定IP(如hosting虛擬主機),那就不能使用了嗎?其實虛擬主機也是可以使用SSL憑證的,在虛擬主機上使用的SSL憑證,通常叫做Share SSL,這是虛擬主機商提供的免費服務,但是有個缺點,就是網域名稱必須使用虛擬主機商提供的,這就不符合您的網域名子,總不希望自己網站是用別人家的網域吧,所以!您申請SSL憑證的時候,建議主機也是用固定IP,這樣在設定上會比較簡單,如果您有多個網域指向一個固定IP的話,這就牽涉到您的瀏覽器是否支援SNI的技術,這又是另一個議題囉!總之!SSL憑證不一定需要固定IP,但建議使用固定IP!大部分CA廠商都會建議使用固定IP!
裝了SSL憑證後,會不會影響主機的效能?
有人問裝了SSL憑證是否會影響主機的效能,如網頁的順暢度,這邊先排除主機本身的硬體效能與網路架構的因素,單就SSL憑證來說明,憑證最大的瓶頸分成幾個部分
1.用戶端與主機端之間的交握(HandShake:白話一點就是溝通)時,會花一些時間進行加密規則溝通,密鑰的交換,交握的hash的計算與比對....等等溝通的步驟,這些項目都會花時間來進行,因此相對於沒有用SSL加密的網頁,會慢一些.
2.加密資料量:舉網頁來說,圖形,網頁框架,網頁資料量,這些都會影響速度!
3.網站伺服器的優化:安裝完成網站伺服器後,有一些要調教的參數設定,會影響網頁運行的速度!
4.網站架構的規劃:大型網站特別會在設計時就會同時考慮速度與資源的需求!
因為現在的資料量越來越大,系統架構越來越複雜,SSL的速度的優化,也是變成一個商機,因此就有人推出SSL加速卡的硬體,來改善SSL的速度,原本如果不用加速卡,SSL的交握計算會吃的主機的CPU資源,SSL加速卡就類似一張網卡,把原本吃CPU的計算效能改成利用加速卡本身的計算資源,這樣就不會影響主機本身資源的應用,這也是一種加速的方式,其實主機的效能牽涉的因素很多,要看您的系統架構的設計,來看SSL在系統中的影響程度,再來規劃SSL速度優化的方式!
甚麼是SNI,跟SSL又有何關係?
SNI(Server Name Indication)服務器名稱指示,這主要是解決多憑證(網域)共用一個IP使用問題!在客戶端與服務器端建立SSL連結的時候,剛開始客戶端並不會發送服務器的域名資料給服務器端,只會回傳最先找到的第一個設定,只能辨認這個網域,後來因為有多網站共同使用一個IP的需求出現,因此在2006年之後,SSL的協議就提供這樣的功能出現,叫做SNI,他允許客戶端再交握的時候送出所請求的域名資料,這樣服務器就知道要回哪個域名的證書了,因此來解決多域名共用IP的需求,這另一方面也解決IP不夠用的問題(雖然IPV6也可解決).另外注意的是瀏覽器與您的web server是否有支援SNI!大部份新版本的瀏覽器與webserver都有支援了.
甚麼是Code Sign(程式碼簽章)?
Code Sign:這類憑證主要的用途是數位簽章的方式,將您的程式進行簽暑,可確認程式的開發人員身分以及在被取得的過程中,沒有被竄改!因為是由開發的人簽暑,可以有助於使用的人進行確認,提高信任的程度!舉例來說:您如果在網路上下載一個執行檔(EXE),當您打開他要執行時,作業系統的畫面會跳出一個警告訊息,如果是由合法的憑證簽章的程式,這訊息會出現此程式有合法的簽章訊息,可以放心執行,如果未簽章過的話,則會跳出警示,說此程式未經過簽章,執行下去會有風險,而程式碼簽章的產品就是專門做這樣的簽署用的,目前可簽章的程式型態如:Microsoft Authenticode, office and VBA , Adobe Air, Java.....等等,各家產品都有提供code sign的服務,如果有需求可上我們的廠商介紹比較參考!本網站也提供code sign的工具可進行測試!
甚麼是密碼學與密碼系統?
密碼學:簡單說就是利用數學的方法來對資料進行加解密的科學,而利用密碼學的原理衍生的加解密演算法,金鑰,加密前的明文,加密後的密文等等組合而程的就是密碼系統,利用密碼系統來達到幾個主要的目的:
• 機密性:確保資料的機密性(Confidentiality)
• 可用性:確保資料可被驗證(Authentication)
• 完整性:確保資料不被的竄改(Inte grity)
• 不可否認性:提供資訊來源與接收端的不可否認(抵賴)之證明
密碼的強度的就是破解需要花費的資源多少,越多表示難破解,越少表示好破解,密碼強度則取決於使用的加密技術,金鑰與金鑰保護機制,而此加密技術也就是密碼學與密碼系統主要研究的方向!這邊只要有個概念就行了!
甚麼是金鑰(Key)?
金鑰,聽起來很繞口,可以把金鑰想像成一組符號數字,他用來把被未加密的明文,利用特定的密碼演算法,加密成密文一組符號數字(一連串符號數字就對了,看起來像:30 82 01 0a 02 82 01 01 00 a4 28 0c e7 aa 35.....)!一般來說,金鑰都必須有相當的長度(以bit位元),對於相同的密碼演算法,金鑰不同,加密出來的密文也不同,就密碼學而言,金鑰長度越長,加密的密文就越難破解,目前以SSL憑證來說,已經要求金鑰長度必須要在2048位元(含)以上了,目前坊間應該沒有人在賣1024位元金鑰的產品,如果有賣,那表示這產品已經不符加密強度的要求,建議別用。
甚麼是公開金鑰(Public Key)與私密金鑰(Private Key)?
公開金鑰就是表示,這把金鑰是公開放在網路上,提供任何人來存取的一把金鑰,而私密金鑰就是非公開給任何人使用,只有特定人員才能擁有的一把金鑰,通常這樣的金鑰是成對的,一把公開金鑰配一把私密金鑰進行加解密的行為.把資料用公開金鑰加密,再用私密金鑰進行解密,這一對的金鑰必須匹配且唯一(本網站的工具金鑰對檢查器(RSA KEYS CHECKER)可以讓您進行匹配測試!),缺一不可!而非對稱式的加密系統就是利用公開私鑰與私密金鑰進行加解密動作!
對稱式加密技術與非對稱式加密技術?
目前加密技術的兩大分類為:對稱式加密與非對稱式加密兩種,簡單說明如下:
對稱式加密:又稱為傳統加密,主要是加密與解密的時候,都是用同一把金鑰,也就是傳送與接收的雙方都用同一把金鑰,所以叫做對稱式!
非對稱式加密:每一個人手上都有一組金鑰對(公開金鑰與私密金鑰),資料加密時用一把金鑰加密(公開金鑰),解密時必須用另外一把金鑰解密(私密金鑰),因為加解密雙方的金鑰不是同一把,因此就稱做非對稱式加密.
兩個加密方式各有優缺點:
對稱式加密 優點: 速度快, 金鑰長度夠長不易破解! 缺點: 金鑰傳送必須要非常安全提供給對方,一旦洩漏了,就可被有心人拿去解密資料! 另外無法提供不可否認性!
非對稱式加密 優點: 公鑰可以公開發送,不用擔心被拿走,可提供機密 完整 可用 與不可否認性等安全要求 缺點: 速度慢!
因此一般業界都搭配一起使用,兼顧速度與安全,而SSL憑證是走非對稱式加密機制!
雜湊函數(Hash Function)是什麼?
雜湊函數的特性就是能將任何長度的訊息輸入後加以濃縮,轉換而成為一個長度較短且固定的輸出,此輸出訊息為雜湊值(Hash Value)或訊息摘要(Message Digest)。前面提到SHA1,SHA2...就是雜湊函數的演算法,雜湊函數的特性:
1.單向的映射函數:無法由輸出反推出輸入是啥.
2.抗碰撞性(collision resistance):因為雜湊值會隨著被加密的明文變動,因此非常難找出兩個不同文件有相同的雜湊值,因此可拿來當做數位指紋來用(唯一性)
3.擴張性(Diffusion):您的明文有任何的小變動,加密出來的密文是全部異動的,由小變動變成全部變動!
就是以上的特性讓雜湊函數變成加密時的重要因素!目前常用的雜湊函數演算法為SHA1,SHA2也開始普及!
數位(電子)簽章是什麼?
先談簽章,實際生活中,我們常常會對一些文件進行簽名蓋章的動作,以證明這份文件是經過您確認過的,例如信用卡刷卡或者發票簽名,而數位簽章就是把這樣的動作電子化了,也叫做電子簽章,各國也制定了相關的電子簽章法令,讓電子簽章有法律效力,也就是說電子簽章等同於手寫簽名與印鑑,簡單的說,一個文件的簽章,包含幾個步驟:
1.先把要簽的本文用雜湊函數轉換成一組固定長度的文數字!
2.再利用自己的私密金鑰進行加密動作,變成我們所謂的簽體.
3.然後再把本文跟簽體一起送給對方
4.對方收到文件與簽體後,先把文件用同樣的雜湊函數轉換成一組固定長度的文數字
5.再把簽體用公鑰解密開,而得到一組文數字
6.最後把步驟4與5的文數字比較,如果相同,哪就可以確認是資料未竄改以及確認發文者的身分
而要達成這樣的步驟,這就牽涉到整個加解密,金鑰,PKI...等等的整合技術,您可參考這本網站相關文章,了解詳細的運作方式!最後一提:電子簽章有些複雜,其實只要有個概念,就是傳統簽章用電子的方式達成就可以了,至於複雜的技術就交給廠商來處理!
軟體憑證與硬體憑證?
憑證檔案是一個電子檔,如果保存在系統中,可稱做軟體憑證,而保存在例如晶片中,就叫做硬體憑證,其實一般也沒有特別這樣的區分,真正區分應該以應用來說,如果您是利用晶片卡,讀卡機來進行相關的認證服務,這部分就是把憑證放入晶片卡中,但是如果用在證券下單的話,這種的憑證一般就會存在個人的終端設備中,如手機或者PC中,這就屬於軟體憑證,憑證的應用很多元,軟體憑證與硬體憑證的差異在於載具,憑證本身都是電子檔案,存放在哪邊都可以,主要是以使用方式來分辨,目前的比較夯的雲端應用,憑證也有它的角色在!
IC晶片卡與憑證的關係?
我們日常生活中,相信您手上的卡片,應該有很多都是有晶片的,可是到底晶片卡與憑證之間有何關係,這邊簡單說明一下:
以功能區分晶片卡來說,如果只是記憶用的話,其中會有邏輯電路與記憶體.做儲存使用,像電話卡,如果不只儲存使用,還兼域一些驗證運算功能,則我們稱之為智慧卡(smart card),我們這邊與憑證比較有關係的是智慧卡,此卡片主要是在塑膠卡片中崁入積體電路晶片,此晶片中包含微處理器(CPU),存取介面(I/O)與記憶體(EEPROM),提供運算,存取與儲存的功能,卡片的大小(信用卡大小)與接點定義目前是由ISO規範統一,主要規範在ISO7810,目前這種卡片的應用非常廣泛,晶片提款卡,晶片信用卡,晶片悠遊卡,健保卡,電子錢包,手機sim卡,連有些商店也有推出晶片卡的會員卡片,可見您晶片卡已經與生活結合在一起了.
晶片卡以接觸的方式來分,有接觸與非接觸是兩種,接觸式卡片,主要是利用讀卡機讀取晶片卡上接點的電子訊號,進行相關的資料處理,而非接觸式卡片,則是利用Reader通過供電射頻感應技術(RFID),讀取卡片上的資訊,卡片上有感應線圈,一旦卡片接近讀卡器,就可以進行資料的讀取,而RFID的技術又分為主動式與被動式,差異則是在主動式有裝電池,被動式則是沒有,主動式很少人再用,因為要裝電池,卡片體積會太大,攜帶不方便!而新的行動SIM卡,也開始支援RFID的功能,主要是為了行動錢包市場鋪路.
以上簡單說明了晶片卡,那卡片和憑證有何關係呢?憑證的資料主要就是放在晶片卡的記憶體中,透過安全的機制進行存取與驗證,坊間的卡片已開發技術來分:有分兩種形式native card與java card,兩者最大的差別在於開發上的通用性,native的開發比較是各家自行研究,且應用比較單純,通常一張卡片就提供一種服務,但java card因為建立在jcvm的平台上,可以動態載入多應用,因此慢慢也為市場接受,將來的多卡合一(健保卡,身分證,悠遊卡...在一張卡片上),就是會採用java card才能達成,卡片是憑證的一種載具,將憑證安全的存放在晶片中,不容易被竊取,因此也比軟體憑證安全性高些,因為晶片卡中的憑證資料存取,一般是透過應用程式進行讀取的動作,如果要修改晶片內的資料,必須取得有修改權限的金鑰,而此KEY一般都放在廠商的主機或保密器上,要取得非常困難,因此晶片中的憑證要被盜改是非常不容易,安全性就很高,以上簡單說明卡片與憑證的關係!
保密器(HSM)是甚麼?
之前我們有提到公開金鑰與私密金鑰的說明,也建議大家要妥善保存私密金鑰,萬一不見那可就得在花錢重買憑證取得新的私密金鑰,那妥善保存的方式有很多種,保密器就是其中的一種,保密器(Hardware Security Module)叫做硬體加密模組,主要功能是保護金鑰以及加速密碼運算,其硬體的設計是以高安全強度的方式設計,把金鑰存放在硬體晶片中,如果硬破壞拆開來拿晶片,會有一拆即壞的設計,所以要偷取金鑰是非常困難的,而加速密碼運算的部分,可以有效的分擔主機的CPU負擔,因此硬體保密器是目前大多數客戶採取的金鑰保存設備,尤其是國防單位,金融組織,高科技廠商....更是特別重視,保密器裡面必須提供金鑰的管理機制,如產製,使用,儲存,銷毀等等,而這些機制的設計好用與否,就是保密器廠商的主要賣點了,而保密器的產品也是必須取得國際規範的認證才能販售,這認證為FIPS(Fully Interactive Partition Splitter)聯邦資料處理標準,FIPS-140-2(分成四級),廠商會在設備規格中提到通過的level,總之,我們這邊在尋找保密器要注意的是,保密器的效能,安全設計,管理方式與認證層級,然後來找到適合自己系統的產品
有人會問,金鑰可以存在電腦裡即可,幹嘛要花錢去買硬體保密器,我們認為,電腦或server固然可以存放金鑰,但是如果一旦被駭,金鑰很可能會被偷走,而硬體保密器要使用金鑰時採取實體分持卡的方式進行,須多人使用分持卡同時開啟金鑰使用權限,這樣的方式,駭客幾乎不可能達成,因此金鑰存在保密器會比存在電腦中方式安全的多.
CABForum是甚麼?
CABForum的全名為CA and Browser Forum, 憑證機構與瀏覽器論壇,成立於2005年,為甚麼要在這邊寫這個FAQ題目呢?主要是:此論壇是目前全世界主要討論與制定相關憑證應用的機構之一,幾乎全世界各大家的CA商與瀏覽器商都是他的會員,目前(2014年)的主席是digicert公司的員工,副主席是:Symantec的員工擔任 ,每年該論壇都會舉辦世界性的會議,主要討論憑證與瀏覽器之間個規格與技術演進,未來的應用以及相關驗證要求的修訂與建議,並且定期針對特定議題進行投票表決,通過的議題會影響市場的生態!尤其近來逐步將原本在root cerrtificate program的要求,制定成為Cabforum Baseline requiment!另外論壇還通過了一套“網絡和證書系統安全要求”適用於所有的CA商與第三方組織,這是一個強制性的要求,然而並非只有CA或者瀏覽器廠商才能加入,其他的組織只要符合CABForum的入會要求,都能加入成為會員,繼續致力於改善互聯網用戶的網絡安全。目前該論壇正強力的推廣EV(Extended Validation) SSL憑證,這EV SSL的要求會比DV與OV憑證的要求更高,在瀏覽器上的顯示也更清楚,如green bar!我們建議,要知道一些SSL的新知或者規定,應該常常上此論壇了解,如果可以加入會員也是個不錯的選擇!該論壇的網指https://www.cabforum.org
Web Trust For CA是甚麼?
所有的合法的CA廠商,都一定會在他們的首頁放上Web Trust For CA提供的認證標章(一個藍色的地球轉轉圖),以表示該網站是通過Web Trust For CA的稽核(一定要通過才能販售憑證產品),那Web Trust For CA是甚麼呢?此標準是美國會計師協會(AICPA)與加拿大會計師協會(CPA)共同制定,仿效財務報表一樣的簽證,此標準是針對CA商,對於資訊安全與簽發憑證管理訂定出一套需遵守的要求,以規範CA機構在環境管理,金鑰管理,簽發憑證管理...等等安全性的準則,通過此項認證即表示此CA機構的運作與安全管控是符合要求的,該機構就會頒發認證的標章,而且就可以跟各大瀏覽器廠商申請植入憑證,未來只要下載瀏覽器,此憑證就會直接內建在瀏覽器中,那安裝此憑證的網頁在開啟時就不會跳出惱人的安全性提醒,使用此憑證code sign的程式也不會跳出警訊. 此項認證是每年都必須進行,因此各CA機構必須很謹慎的去符合相關的營運要求,才能順利通過取得認證,通常各CA機構都會依據該標準的要求,制訂CP與CPS作為經營憑證業務的依據,所以前面有提到CP與CPS是各機構的根本.Web Trust For CA的標準也會隨這時間的演進而修訂,如果您有興趣可以到該網站去了解一些細節,例如要如何通過認證與最新的要求規劃,所以如果您要確認此CA商是否合法,先看看是否有標章,通常會放在網頁的明顯處,然後點擊一下標章,就會連到web trust for ca的網站,會跳出此網站的認證資料,或者Web Trust For CA在全世界都有合作的認證機構,您也可以到該合作機構去查詢此CA商是否通過認證,就可以知道CA商的合法性.
ISO27001是甚麼?
27001是國際的資訊安全管理標準(前身為BS7799),組織必須先建立資訊安全管理系統ISMS(Information Security Management Systems),針對組織在資安管控上的Plan,Do,Check,Audit進行規範與管理,如要通過認證取得證書,必須透過第三方稽核單位稽核通過後才能頒發,每三年重新認證,期間每年複查,目前版本已經到2013版,新版除了基本的要求外,新版更重視有效性這件事情,所以由此可知,如果提供服務的公司要通過認證,其實不是很容易,相對的取得證書的公司,會有一定的資安水準,因此,如果提供您服務的公司,一方面有購買合法的憑證進行資料保護,二方面該公司又有取得ISO27001的認證,那對這家公司的資安要求就是一定比沒認證的來的好,所以您應該有個觀念,要對您選擇的公司在資安上的用心要有所了解,當然,各種行業對於資安的要求都有不一樣的認證,您應該需要有個概念,如拍賣的網站,銀行,證券業乃至其他有需要傳遞機敏資料或者電子交易的行業,都應該取得相關的認證以保護消費者的權益,然而,目前很多公司還都沒有這樣的觀念,營利至上,自然就會犧牲一些該有的要求,希望大家要能慎選廠商,讓好的廠商能夠生存!至於ISO27001條文可上網查詢,官方有在賣(一般有人提供免費版,這都是非法的)!
雙因子(Two Factor)認證是甚麼?
早期的認證機制,大都以帳號+密碼來進行,但是隨著駭客的技術越來越強大,帳號+密碼的認證機制,已經是屬於非常不安全的方式了,駭客可以用各種破解工具,只要是在網路上可以連到的主機,都有機會被破解,因此!就有人提出除了帳號密碼認證外,多加一個認證機制,如用認證硬體,或者是生物特徵(臉型,指紋...),雙因子認證之中,認證的管道可以是相同或者不同,舉例:
相同管道:現在最常用的圖形認證,輸入帳密後,再輸入圖形中的字,但是連回到認證的server都是走同一個internet網路.這屬於相同管道不同認證方式
不同管道:例如打線上遊戲常用的電話鎖,帳號密碼的認證走internet,另外再在利用來話號碼做為第二認證,他的管道就是走電話網路,這兩個網路在實體上就是不同,是屬於不同管道不同認證機制.
不論是相同或者不同的認證管道,主要都是讓駭客要同時取得兩種認證的資料,難度提升,達到保護資料的目的,而SSL憑證也是第二認證機制的一種,如IC晶片卡,把憑證植入晶片卡中,然後利用讀卡機進行另外的認證.值得注意的是,目前網路上還有非常多的網站沒有第二認證機制,這是非常不安全的,我們建議,網站註冊與登錄認證,應該要加入第二認證,最簡單的方式就是用圖形認證,這樣至少可以給用戶一個基本的安全提升.
SSL 與 SSH?
SSL與SSH指差一個英文字,有人常常搞不清楚,這邊簡單說明一下: SSL(Secure Sockets Layer):是一種建立於server與client端的安全的通訊協定,經過憑證的認證方式,達到資料的保密性的目的,要建立SSL的驗證環境,需要建立在PKI的架構上,有第三方的認證來達成公正性的目的,SSL是走443port.
SSH(Secure SHELL):是用來提供安全的連線管道,讓您在此通道的傳輸資料,不被串改與破解,以往我們要連線到主機進行遠端操作的時候,常會用如telnet,ftp,pop...等等工具,但是這些工具沒有提供保戶資料的機制,因此資料在傳的過程中很容易被取得,SSH主要就是提供安全的連線管道,常用的SSH軟體如putty(遠端操控),winscp(傳檔案).SSH的認證有兩種方式,一個是帳號密碼, 一個則是金鑰, 您可以選取您要用的安全機制連線,SSH是走22port.
這樣看來好像SSL與SSH用途很類似,兩者都是進行資料的加密,一個簡單的觀念(雖然應用不只於此),SSL一個常用的用法就是網頁https://的連線,而SSH主要是用在遠端操作或傳檔案方面的加密,兩者觀念類同,用法不同.
SSL憑證檔案格式有哪幾種?
常常在介紹SSL憑證的產品網站上看到,有提供憑證檔案格式轉換的工具(本網站也有提供),到底這些轉換工具轉換出來的格式是幹嘛用的,這邊簡單說明一下:
PEM:最常見的檔案格式為PEM,他是基於Base64編碼的ASCII code,附檔名常見的是.pem, .crt, .cer, and .key等等,您用文字編輯器打開看的話,會看到開頭包含“----- BEGIN CERTIFICATE-----”和結尾包含“----- END CERTIFICATE -----”語句,憑證,或者金鑰都可以是PEM格式的檔案.
DER:此格式為二進制編碼,附檔名常見的是.der ,.cer,如果您用文字編輯器打開,將會看到一堆亂碼,必須使用工具才能讀出,此類格式的檔案成用於JAVA平台的環境上.
JKS:JKS(Java Key Store),此格式也是主要用在JAVA平台的網頁伺服器(WEB SERVER:tomcat,weblogic),應用伺服器(AP SERVER)...等等中,如果您用文字編輯器打開,看到的也是一堆亂碼,必須使用工具才能讀出(如Java KeyTool).
P7b:這類檔案也是基於Base64編碼的ASCII code,常見的附檔名為.p7b或是p7c,您用文字編輯器打開看的話,會看到開頭包含“----- BEGIN PKCS7-----”和結尾包含“----- END PKCS7 -----”語句,這類檔案中含有,單一張的憑證或者是一串憑證(憑證串鍊),不包含私密金鑰.您購買的憑證,大部份廠商都會包成p7b的格式給您,其中包括憑證整個串鍊資料,讓您好安裝,而此檔案大都用在Microsoft Windows and Java Tomcat的平台上!
P12:此格式為二進制編碼,附檔名常為.p12或.pfx,主要是Windows平台上使用,您從IE上導出憑證的時候也可產品PFX的檔案,此憑證中可包含,一張憑證,或一串憑證與私密金鑰,私密金鑰可用密碼加密,防止被竊,您可以打開P12的檔案,找出憑證與私密金鑰,在另存新檔成為單一的檔案.
KDB:此格式為IBM的web server常用的憑證檔案格式,如IBM HTTP SERVER或者Websphere,常用的軟體如ikeyman.
PVK與SPC(Software Publishing Certificate):此格式為windows作業系統中,使用來存放私密金鑰(Private Key)與程式碼簽章(Code Sign),適合windows平台上不同的應用程式所使用,大都用在程式碼簽章的格式,您也可以用此檔案來製作憑證使用!PVK用來保存私鑰,SPC用來保存公鑰!
憑證檔案格式的轉換主要是為了不同平台以及網頁伺服器的使用,因此您只要知道哪個平台需要哪種格式,然後使用工具進行轉換,在裝到機器上測試即可!本網站有提供憑證轉碼器工具進行轉換,您可以嘗試看!
時戳(Time Stamp)是甚麼?
前面我們有提到數位簽章的概念,可確認是誰簽的文件,可是有一件事情沒提到,就是何時簽的,這個在網路世界中,時間的註記,就是時戳,打個比喻:收信的時候,在信封上會看到郵局蓋的郵搓,上面有時間.把這種方式轉換到電子文件上就叫做時戳,時戳最重要的就是時間的準確性,這時間的校準必須有一個公正的單位來提供,大家都用統一的標準,才不會各說各話,如同憑證一般,時戳服務的提供者(Time stamp Aurithy),跟CA一樣必須應用PKI的架構進行服務提供的保證,這也就是大部分的CA商也會有提供時戳服務的原因
甚麼是支付卡行業表準(PCI Compliance)?
在我們介紹憑證產品的時候,您可能會發現有些廠商由提供PCI Compliance的掃描服務,不解釋可能不太了解,這個我們簡單說明一下: 為了保護支付卡片持卡人相關資料安全,Visa、MasterCard、American Express,Discover,JCB這機家信用卡廠商,就成立了一個支付卡產業安全標準協會(Payment Card Industry Security Standards Council,以下簡稱 PCI SSC),針對信用卡業務所需要的安全標準,儲存處理與傳送資料的程序以及作業流程乃至於使用的設備以及開發的程式,制訂了一系列的要求標準,以使此信用卡業務能夠確實保障使用上的安全性。也就是說,所有的商家也必須符合相關的安全規範,以確保持卡人的權益,如果有興趣要更深入了解,可到他們的官網查詢,回來提到廠商提供的掃描服務,就是針對這樣的要求,對您提供的服務(如網站(進行弱點掃描,流程(實地查核...)進行評估與驗證,並協助提出報告,讓您在交付驗證的時候有個依據,而且由第三方進行掃描認證也比較可靠,要做此業務的廠商也是要通過PCI SSC 核可,有時候要符合PCI Compliance也不是很容易的事情,因此就有這樣的業務出現了.為何要提到這個FAQ呢,因為憑證在信用卡的交易上,也有一定的角色(SET),這之後談到SET的時候在解釋.
甚麼是SET(Secure Electronic Transactions)?
SET(Secure Electronic Transactions):我們稱做安全電子交易機制,因為在越來越多人使用電子交易的情況下,相對的交易時所需要的安全性就會要求越來越高,由兩大信用卡公司(VISA,MasterCard),IBM與其他組織(如VeriSign),便針對此議題討論並制定出一套嚴謹的安全交易規格,針對信用卡交易提出必須遵守的規範,就叫做SET,此規格式公開的,讓相關電子交易中的廠商能夠共同遵守,技術上也是類似利用以憑證,金鑰,加密等等機制組合成的整個系統,可以保護個人與交易金融資訊的安全,架構上與PKI類似,SET目前的推廣上,沒有SSL來的普及的主要原因是,銀行,商家與用戶都必須先申請憑證,才能進行此項服務,銀行與商家比較沒問題,但是個人就比較麻煩了,要您去申請憑證這件事情,這樣的使用行為目前還沒被廣為接受,但是也因為要申請,SET的安全性相對的提高很多,相信未來SET會慢慢成為主流.SET的機制簡單說明如下:
1.您先跟銀行申請此項服務(電子錢包),銀行確認您的資格OK後,會從您的存摺帳戶中扣一筆錢到您的電子錢包,此錢包就有錢了!
2.然後您到網站上購買商品,確認按下付款後,商家網站的軟體就會通知您電子錢包的軟體進行扣款,然後把電子錢付給商家軟體.
3.商家軟體收到電子錢後,會跟銀行確認這筆錢是否是合法申請的電子錢包.
4.銀行回確認OK後就會把您電子錢包中的錢轉到商家的實體帳戶(存摺),商家收到錢後就把商品寄給您,這樣就完成一筆線上交易.
您可以知道在認證的過程中,商家完全不會知道您的個人資料與銀行帳戶資訊,因此可避免商家盜用您的個人資料與信用卡資料(目前信用卡交易會有此風險),現在 用手機進行購物的方式也開始風行起來,這樣的購物模式很類似SET的機制,因此我們認為SET的架構在未來的電子交易上,有機會成為主流.
打開網頁,雖然看到https開頭,但是出現警告訊息為甚麼?
有時候我們瀏覽網站,打開網頁時雖然看到網址是https開頭,但是網頁內容會跳出警告,如chrome會出現"這個網站的安全憑證不可靠!",這時候您是要繼續瀏覽,還是退出? 這就要從原因來檢視此問題,會發生這樣的警示,可歸納幾個原因
1.這個網站使用的是自簽憑證(self sign certificate):當該網站使用自簽憑證的時候,因為是自行產製,此憑證的產製過程並沒有像CA廠商有通過認證,因此也沒有內建在各大瀏覽器中,因此當您打開的時候,會出現此憑證不被信任的警訊,這時候您要把該憑證自行匯入瀏覽器的信任的憑證清單中,這後在打開網頁時就不會出現警示,通常自簽憑證常用於內部的網站,針對企業內的資料進行SSL加密傳輸用,如果您在internet上打開網站有看的此類的警示,這就需要注意一下囉!
2.這個網站的憑證串鍊出了問題:憑證的串鍊從根憑證--中繼憑證--到您伺服器用的憑證,這幾張憑證之簽是有關聯性的,如果這關聯性沒有建立起來,當年打開該網頁時也會出現錯誤警訊,您可以點擊https,瀏覽器會跳出憑證串鍊的訊息,如果有問題,串鍊出現警告訊息,這代表此網站憑證串鍊有問題,這時候應該要通知該網站進行修復,而建議您先不要繼續瀏覽.
3.您使用的是免費分享的SSL(SHARE SSL):有些網站是放在虛擬主機的平台上,沒有固定IP,為了要使用SSL的加密機制,主機商會提供share SSL的憑證讓您可以使用,但是這share ssl因為使用的網域名稱,會與提供給您使用的網域名稱不同,因此瀏覽器會出現域名不匹配(domain name no match)的問題,如果要避免此錯誤,建議網站業者還是購買合法的SSL憑證吧.
4.遇到加密強度轉換升級時期:如2013年的1024bit升級成2048bit,2014年-2017年的SHA1生SHA2期間,各瀏覽器廠商會有不同的呈現方式.
5.其他原因:其他的原因有可能是發生在主機上的SSL安裝或者是終端瀏覽器的問題,這部分必須利用一些工具去查詢!
您一旦了解原因後,在考量一下是否繼續瀏覽.
SSL支援中文網域嗎,如:https://www.憑證購買者.com?
如果我的網域是中文網域,SSL憑證支援嗎,答案是支援的,因為目前泛中文網域,轉換punnycode之後,顯示的還是英文的網域名稱,如www.憑證購買者.com轉換出來的是www.xn--8juv19dgxh3mb3j.com,在憑證的註記上會以這個英文域名為主.至於哪家CA廠商有無支援中文網域,在買憑證之前建議問清楚.一般在憑證的規格中會提供有支援IDN(Internationalized Domain Name)的功能,就是有支援中文網域!
OPENSSL與KEYTOOL?
在認識憑證的基本知識中,常常會聽到OPENSSL或者KEYTOOL這兩個工具,這邊簡單說明一下,如果您想要製作憑證或者開發相關的應用程式,這兩個工具是一個不錯的選擇,免費且還蠻好用的
openssl主要是由Eric Young and Tim Hudson兩位仁兄開發出來的,是一個open source的軟體,實作安全套接字層(SSL V2 / V3)和傳輸層安全(TLS v1)協議所需的加密機制,您可以利用它來產製金鑰,加密文件,簽驗章....等等,我們提供的需多工具都是由openssl做為起點開發出來的.
Keytool:主要是java base的金鑰管理,儲存與應用的工具,功能與openssl類似,只是應用在java base的平台中.keytool存放憑證的倉庫叫做keystore,類似P12的格式,裡面有憑證與金鑰.keystore本身要密碼開啟,金鑰也可設定密碼.
兩個工具都提供語法來針對憑證進行操作管理,您如果有興趣可以多多了解此工具,來幫助您在憑證使用上更加便利!您可以上網查openssl與keytool關鍵字即可找到一堆說明!
OCSP Stapling(OSCP 裝訂)?
一般當使用者打開有SSL憑證的網站的時候,瀏覽器或做一些檢查,以確定此憑證的OK的,如:此憑證是否被廢止或者過期,瀏覽器會透過CRL或者OCSP的方式來確認,傳統上瀏覽器會從CA那邊得知憑證的狀態,但是因為每次打開網頁,都必須連到CA的OCSP主機那邊得到狀態的話,這將是很浪費時間的事情,尤其是您的網站如果有非常大的流量,那更是會拖累您網頁的速度,因此就有人提出改善的方式:OCSP stapling機制,主要是用cache server去存放OCSP的回應資料,client端只要去連接此server即可取得憑證的廢止狀態,這樣就可以減輕OCSP主機的負擔,而且還可以保護到客戶的隱私資料.這邊您要注意的是,您的憑證供應商是否有提供此機制,如果您的網站流量大的話,此機制就非常重要,如果要查詢網站是否提供OCSP Stapling的話,可以利用本站憑證工具(SSL安全性測試(SSL Config Test))去查詢!
SSL Stripping(中間人攻擊)?
SSL的風險:SSL Stripping,這邊簡介一下:
主要是利用目前提供SSL服務的機制,只有驗證廠商的資格,但是一般使用此廠商網站服務的消費者,就沒有進行驗證(SET機制),因此就讓駭客有機會可以從中進行攻擊,SSL Stripping主要就是利用一個中繼的網站,騙取您的帳號密碼等等機密資料,達成獲取相關利益的一種攻擊方式
您的PC(http) --- 駭客網站(http) --- 真的網站(https)
1.駭客會先做一個跟您要去的網站一模一樣的網站,連相關的回應都跟真網站一樣.
2.利用網路封包分析的工具,引導(ARP)您的電腦去連線這個假的網站.
3.此假的網站也會去連結真的網站,讓您在進行操作時,所有回應都是正確的
4.騙取您的帳號密碼後,達成目的
這樣的攻擊,常常會在網站從http轉到https的時候,攔截進行,很多的網站(甚至銀行),SSL的加密,只有在提供機密資料的網頁時才有,這時候網頁會從http轉到https,對於消費者會認為這樣的轉換是正常的,這也讓駭客可以利用轉換的時候,把封包導到駭客的網站,而消費者還以為是正常的,因此!這邊深切的呼籲,網站應該要全程都使用https(尤其是交易網站),像google已經全面導入,即使是非機密資料的網頁,也都使用https,很可惜的是,幾乎我看到的大部分https網站,很少全部都是https.
SSL Renigociation Attack(SSL再溝通攻擊)?
在2011年的時候,德國的駭客組織提出了一個攻擊的工具,可以癱瘓https的網站,駭客是利用SSL的server與client端的溝通時的規則的小缺失進行攻擊,這叫做SSL Renigociation Attack,我們舉的例子,當您上一個https的購物網站進行商品選購時,原本的SSL互相認証的機制會建立,並且保留一些交握的資料,而當您確定要購買時,網站通常會要求認證您的身分,這時候原本的SSL的連線(不是開新的連線)就必須配合認證身分而進行調整,已達到認證的目的,而SSL的重新調整就是利用SSL Renigociation的機制完成,乍看之下,這個種重新溝通的機制很正常,然而TLS與SSL3.0的協定並沒有好好處理這樣的流程,造成駭客可以利用重溝通的過程中塞入一些資料,來進行攻擊,後來IETF提出了新的RFC5746規範,來解決這樣的漏洞,所以之後新版的瀏覽器,網頁伺服器,openssl與其他開發軟體,就開始支援此規範,把automatic SSL Renegotiation功能關閉,因此您可以去了解一下您的網站是否有開啟automatic SSL Renegotiation功能,如果有請趕快關閉此功能,以免被攻擊!其實這樣的漏洞,有一些變形的攻擊,有人可以把將SSL連線轉為TCP連線,進行DDOS的攻擊,簡單說,可以利用不斷的讓server 重新進行溝通,來讓主機忙碌到無法正常服務,所以此漏洞不得不重視,本網站有工具可以去檢測網站是否有此漏洞,可以到憑證工具區的SSL安全性測試試試看!其實我們測試過一些網站,說真的還是有些網站沒有關閉!看到這篇文章,考慮關閉一下吧!
憑證應用篇:證券軟體憑證(網路下單)
有在玩股票期貨的朋友,一定有曾經用過手機或電腦來進行下單動作,可是您的知道憑證在這部分的角色嗎?這邊來說明一下:
一般來說,您要在手機或電腦上申請下單的話,券商審合您資格OK後,就會提供憑證電子檔案給您,讓您安裝在手機,平板電腦或者電腦上,一般這樣的憑證我們稱做軟體憑證,這憑證通常是免費的,因為這是券商提供的一項服務,希望您多多下單,對券商來說,憑證也是需要花費成本,因此有些券商提供的軟體憑證會有限額度,也就是說您只能裝在幾台機器上,超過的可能就要收錢,有些則沒有限額度,軟體憑證通常會比SSL憑證便宜的多,那軟體憑證如何達到資安的要求呢?
從簡單的流程來說明: 您的終端裝置先下載廠商給的憑證然後安裝好,當您下單時,會把下單資料與憑證資料送往券商主機,券商主機會去檢驗簽章,確認此單子確實是這台終端裝置發出,然後才進行下單,完成交易,所以憑證在這邊扮演的角色很重要,另外值得一提的是,除了驗證身分外,另外就是下單的速度,也是一個重點,尤其是大筆下單,可能一秒之差,有可能從賺到賠,在憑證中會影響下單速度的主要是驗簽章的部分,一般來說都要求要小於幾個微秒(ms),所以這些下單系統個開發廠商就會要求憑證的簽驗速度要快,才不會影響客戶的權益
在技術上來說,但是因為手機瀏覽器並不像電腦的瀏覽器可使用元件來進行憑證的相關應用開發,因此您會發現除了電腦可從網頁下單外,一般行動裝置都會提供APP來給您進行下單,這也是為何手機與PC在下單上的差異,不過目前開始有瀏覽器廠商要關閉PC端的網頁元件的應用,將來會不會如同APP一樣要採取上架的流程,值得注意.以上簡單說明憑證在證券下單上的應用!
憑證應用篇:自然人憑證(網路報所得稅)
相信一說到自然人憑證,大家一定會聯想到每年5月份的網路報稅,要用自然人憑證插入讀卡機後,來進行報稅資料填報與上傳等等事宜,來完成網路報稅,這個應用算是跟一般民眾最相關的了,此時憑證資料是放在自然人憑證的卡片中,如果您還記得,您當初申請的時候一定是跑到戶所去申請,早期推廣的時候是免費還送讀卡機,後來漸漸普及後,需要花錢申請了,其實自然人的憑證的應用還不止報稅,在我國電子化政府的服務中,有許許多多的應用可以透過自然人憑證來達成,您有興趣可以上政府的網站上看,因此!別把自然人憑證卡片給丟了,他其實不止報稅可以用,用途可是很多!
憑證應用篇:工商憑證(企業工商登記,報稅)
既然一般民眾有自己的憑證卡片可以進行電子化政府的應用,那企業呢?也是有的,叫做工商憑證,一般公司在申請設立的時候,經濟部的相關單位會要求提供一些基本的佐證資料,申請的同時就會給一張公司用的憑證卡片,讓公司可以利用電子化政府進行相關的工商查詢登記...等等的應用,同時也可以進行公司的網路報稅,因此目前幾乎每家公司都應該有一張工商憑證的卡片,前幾年經濟不好的時候,政府為了擴大內需,還花了一筆錢進行卡片的換發,就是希望公司可以多多利用這工商憑證進行相關的電子化政府的應用,減少文件與行政流程的浪費!
憑證應用篇:電子識別證(簽公文,開新資單)
如果您是在一家具規模的公司上班,公司發給你的員工識別證,應該是有晶片的識別證,別以為這識別證只是開開門禁,給警衛看的,這晶片卡內可存放憑證的資料,來進行一些應用,舉個例子,有些公司在電子公文的簽發上,需要長官的簽核,可是要如何確認簽核者的身分呢?這就是長官的識別證中有憑證的資訊,長官簽核的時候把卡片插入讀卡機後,進行公文的簽核,達到確認身分的目的,而且簽核上可以簽上加簽, 因為公文可能要多單位簽核才能放行,之後來查公文的簽核時就可以確知經手的人有哪些!另外就是開新資單,通常新資單在公司中是比較敏感的資訊,不可以給別人隨意拿到讀取,因此!自己在打開電子新資單的時候,也是會要你插入卡片進行身分確認後才打開,這些應用,幾乎是很多公司常在用的,這就是憑證的另一種應用實例!
憑證應用篇:醫事人員卡(看病,查病例)
醫院的醫生在查詢病人病例的時候,也是要用卡片查入讀卡機進行讀取,下次您看病的時候可以仔細觀察一下,一定有這張卡片,這跟你的健保卡不同喔,健保卡是我們看病的時候使用,裡面沒有憑證,是紀錄一些就醫的相關資料,而醫生在讀取病人的病歷時,因為病例在個資法的定義中是屬於特種個資,特別需要保護,因此更需要使用憑證的晶片卡來進行身分的認證,讓有權利的醫事人員可以讀取相關的病歷資料,所以醫院的醫事人員只要有需要讀取病例時,大都會用此卡片進行,以符合法規的要求!
憑證應用篇:網路交易(大筆轉帳,買賣)
講到這個應用,您可能會質疑說:我現在網路上交易的時候,例如是網購,也沒有用卡片,都是直接線上信用卡刷了就買啦,跟憑證應用沒啥關係!或者,如果您上某個銀行的網路銀行,有些銀行會要您插入當初的金融卡後,進行下載安裝一些元件後才能進行交易,這也跟憑證沒關係阿,其實您說的都沒錯!憑證會應用在交易上的話,主要是在企業或法人大筆金額非約定轉帳的時候用到,因為牽涉到一大筆錢,要進行轉帳,為了要確定是誰轉的,以及事後追查,是必須使用憑證來進行認證,其實這也是法規上的要求,以保護交易雙方的權益!其實因為憑證需要費用,如果銀行願意提供此等級的交易認證機制給一般民眾的小額轉帳,讓您選擇,就像之前的證券下單類似,我覺得也未嘗不是件好事!但這還有待法律與業者願不願意來達成!
CA廠商與reseller經銷商的差異?
在本網站的評鑑表上,有許多廠商列入我們的評鑑中,裡面有些廠商本身就是CA(Certificate Authority),而有些廠商是經銷商,他們的差異主要是在於CA廠商是必須通過web trust for CA的認證,從制度,技術,架構,維運...等等方面進行查核,這樣的成本還蠻花錢的,而經銷商(reseller)則是向CA廠商取得(批發)憑證,來進行販賣,利用CA廠商提供的工具(或自行開發)進行後續的安裝維護客服等等工作,由於是批發(有的是pay as to go的制度),價格上會比CA本身自己賣便宜,
這樣的銷售分工方式也有好處,就是CA廠商可減少客服的問題,reseller就專心賣產品,所以您會發現經銷商的價格有時候是很誘人的,不過就要看CA商與經銷商的技術支援能力是否可以同步,這也就會成為您選擇購買對象的考量因素之一.這邊另外要注意的是,正常來說,要成為經銷商必須經過CA商的認可(稽核),而不是誰都可以賣,這樣的認可是不是嚴謹,就會決定經銷商的品質.
行動支付與憑證的關係是?
越來越多的使用者會用行動支付的方式來進行相關的交易,那憑證跟行動支付之間又是有何關聯呢? 以往來說,手機上的交易或者說網頁上的交易很少有人提到憑證的事情,只要在填入信用卡相關資料,就可以進行網路交易,感覺跟憑證沒有太大關係,其實還是有的,最近很多銀行都提供網路儲值帳戶的付費機制,根據法規要求,如果有到20萬元的額度,就必須使用憑證的機制進行認證,以提高安全等級,所以您可以看到銀行在儲值帳戶的申請書上都有一個20萬元的限制,目前有銀行可以使用自然人憑證進行認證,他的儲值額度就到20萬,
而低於20萬以下的,就可以不用憑證來進行認證,有些看信用卡,帳戶資料,有些使用手機認證或者email,這邊要注意的是,行動交易時候認證是否安全,您應該有個觀念,交易金額越高認證要求越高才對,我們相信,隨著行動支付的成熟,憑證在此市場中的地位會越來越重要!
IN HOUSE PKI(Management PKI)?
當您在瀏覽我們所介紹的憑證廠商的時候,有時候會看到IN HOUSE PKI的產品說明,我們簡單說一下,大部分的憑證廠商,除了賣SSL憑證外,有些還提供建置PKI環境的服務,也就是說在企業內部建置一套完整的PKI環境,然後自行管理與使用憑證,同時此憑證也兼容於各大作業系統與瀏覽器,AP廠商,這跟自簽憑證不被作業系統與瀏覽器,AP廠商認可不同,那你也許會問,幹嘛那麼浪費錢去建這個系統,跟別人買就好啦!這就跟企業的規模,需求以及安全要求有關,有些公司開發內部系統的時候,需要憑證的加入,例如跟上下游廠商的資訊交換,內部文件管制....,自建一套CA中心來管理,結合公司內部系統的開發,可能會比另外採購來的便宜!這就要看公司的規劃方向與商業考量!
簡單說:就是買一套PKI產品,應用在公司內部各種需要憑證介入的流程或產品上,只要比外面買便宜,有可不呢!
簽驗章的資料與速度有沒有限制呢?
通常簽章的資料因為會經過雜湊函數的轉換,成為固定長度的資料,因此沒有大小的限制,但是簽章資料的大小,會影響簽章的速度,越大的資料簽驗章速度越慢,例如是需要講求速度的股票搓合,每秒可能有幾千筆的資料同時比對,要求的等級都在微秒,因此才有快速簽驗章的需求產生!所謂天下武功,為快不破!
憑證應用篇:電子郵件加密!
電子郵件如果想要使用憑證來進行簽章加密然後安全的寄到對方的話,這是可以的嗎?答案:是的! 您可以購買電子郵件專用的憑證進行安全傳輸,簽章的原理是一樣的,當寄送端使用憑證進行加簽,透過郵件軟體如outlook寄送給對方,對方打開郵件軟體(outlook)後來讀取讀取郵件內容,並且確認是否為對方發送,郵件軟體大都會支援簽章加解密的動作,因此您可以看到一般在賣此種憑證的時候,一定會說明適用於哪些郵件軟體!此種憑證也有等級之分,驗證越多越貴!
憑證應用篇:AP專用憑證!
我們在寫程式跟別人的程式溝通的時候,有沒有想過一個問題,就是你知道對方的程式就是你當初說好要接的程式嗎(對方傳過來的訊息真正是對方傳的嗎?)?要如何確認就是對方的程式呢?這時候憑證就派上用場了,這種程式之間溝通用的憑證就是所謂的AP憑證!同樣利用憑證的簽章加解密特性,讓程式雙方可以確認真正是彼此傳送過來的溝通訊息,尤其是在公司與公司之間的程式溝通上很重要,例如兩家銀行之間的轉帳,轉帳用的程式就必須互相經過確認,才不會被從中攔截然後造成被駭的情況!因此憑證在此扮演的角色就很重要嚕!