什麼是SSL憑證?
我們先想像一下,假如你有一個店面,這店面沒有加裝防盜鎖也沒有申請保全,有心人士只要趁半夜沒人,就可直接摸黑開門進去偷東西,連收銀機帳冊都一併摸走。
沒有加密過的網站就像是這種店面,駭客可以輕易從網站上擷得敏感資料,這時如果網站存有會員資料或交易資料那問題就大條了。未加密過的網站,網址會是http://開頭,這類沒有SSL憑證的網站,瀏覽器會直接在網址列顯示「不安全」,這會網友覺得這網站是不重視資安的過時網站。
而加密過的網站就像店面有了保全系統,客人進到店面會受到保全關注,小偷想做壞事的難度大大增加。加密過的網站一般來說網址會是https://開頭,當網友瀏覽網站時,瀏覽器會回報使用者此網站SSL憑證的狀態,告知網友使用此網站是否需要特別留意小心。
SSL憑證的核發與等級區別
SSL憑證是由憑證核發機構(CA)所核發,憑證核發機構負責的工作就是簽發憑證、認證憑證、管理已頒發憑證的機關,憑證核發機構(CA)會受到不定期的審核,確保核發的品質,表現不佳的憑證核發機構也會受到不信任甚至除名。
SSL憑證依安全等級有一般認證Domain Vertification (DV)與延伸型認證Extend Vertification,(EV)的區別,一般認證的取得較容易,主要是確認申請者的網域域名合法擁有性,絕大部份的免費金鑰,如Let's Encrypt SSL就是屬於這類;延伸型認證的申請十分的嚴謹,需要許多資料提供給憑證核發企業組織(CA),例如公司的登記資料,地址、電話...等多重認證,一旦確認後,網址列將會出現更為完整的資料,惡意網站想要申請十分困難,也大大的提昇了網站的可信度。