登入  MY DIGITIMES  6 中文简体版   English 星期日, 1月 22日, 2017 (台北)   
服務說明關於DIGITIMES
404訂報優惠
 DIGITIMES企業IT商情科技商情

表單: 公司代碼:

EV SSL網站認證安全機制簡介
2010/11/03-賴品如  

網路安全早已是社會大眾耳熟能詳的名詞,在眾多安全機制中,資料傳輸加密一直是最基礎、也是最廣為採用的安全機制,只要在網站上安裝一張SSL憑證,用戶上網時便可啟用「https」加密傳輸通道,機密資料或個人隱私即可獲得保障,因此,SSL伺服器憑證早已成為各大網站的基礎安全設施。

網站身分識別是網路安全的重要因素,網友上網時若能確認網站的身分,網路釣魚的技倆將無所遁形,遭駭客植入木馬程式的機率也隨之降低,消費者權益將因此獲得大幅改善; 事實上,現在一般的SSL伺服器憑證早已具備這項功能,如果網友懂得檢視憑證內容並確實核對網址,是可以達到上述網站身分識別之功能,不幸的是,一般民眾並不具備檢視憑證的資安知識,也難以確認網頁是否遭到駭客攻擊,上述網站身分識別功能似乎是曲高和寡,甚至可以說是聊備一格;此外,因缺乏標準認證程序,再加上市場競爭,致使部分憑證機構(Certification Authority;CA)浮濫簽發SSL憑證,更讓駭客有機可乘,有鑑於此,國際上許多知名的憑證機構及瀏覽器供應商遂成立CA/Browser Forum,共同研議防弊機制,將其制定為EV(Extended Validation) SSL規範,嘗試規範憑證機構與瀏覽器軟體供應商,提供消費者辨識正確網站的環境,藉以遏止網路釣魚的詐騙行為,建立使用者對網際網路的信心。

瀏覽器檢驗SSL憑證的流程及顯示效果

   
IE對EV SSL伺服器憑證的顯示效果

CA/Browser Forum於2007年6月頒布了第一版Extended Validation (EV) SSL Guidelines,並於2008年4月及2009年10月更新版本,其中規定如下:

1. 憑證機構辨識憑證申請者之程序
2. 憑證機構簽發與管理憑證的規定
3. 針對EV SSL特有憑證內容的規定
4. 瀏覽器辨識EV SSL憑證的處理事項

目前CA/Browser Forum的成員計有39家憑證機構以及7家瀏覽器軟體廠商(Apple/ Google/ KDE /Microsoft/Mozilla/ Opera/RIM),台灣地區的會員為臺灣網路認證公司(TWCA)。

如果憑證機構依規範進行各項憑證作業(包括身分查核、簽發憑證、管理憑證等),並通過WebTrust for EV稽核認證後,即可向各瀏覽器製造商申請,將其特有之識別碼(EV OID)及所屬Root憑證之識別資料置入瀏覽器,此後,當瀏覽器驗證EV SSL伺服器憑證時,即可依瀏覽器內建之資料來認定該憑證是否為合法的EV SSL伺服器憑證。

當網友以「https:// 」的方式連上網站時(假設該網站安裝SSL伺服器憑證),瀏覽器將以下列項目確認是否應信賴該憑證:

1. 檢查憑證的有效期限。
2. 找到簽發該憑證之CA憑證,以數位簽章技術來確認憑證未遭竄改。
3. 確認憑證未遭廢止。
4. 以上述1~3項檢查各層CA憑證,直到最後一層CA為止,如A簽發B、B簽發C、C簽發D,檢查次序為D、C、B、A(稱為憑證鏈),憑證A通常稱為Root 憑證,憑證D即為網站安裝之SSL伺服器憑證。
5. 若瀏覽器已內建該Root憑證(即上例中的憑證A),則憑證D將被瀏覽器視為可信賴憑證,若憑證D的EV OID及憑證A之識別資料與瀏覽器內建資料相符,憑證D即被視為可信賴的EV SSL伺服器憑證。
6. 當網站安裝的SSL伺服器憑證被視為可信賴的憑證,瀏覽器即可與網站間協調出1把加密金鑰,並以該把金鑰對傳輸資料進行加密,也就是說,一般SSL伺服器憑證及EV SSL伺服器憑證均具有資料加密功能。。
7. 若該憑證亦被認定為可信賴的EV SSL伺服器憑證,瀏覽器將以醒目方式告知使用者,通常以綠色底色代表正常、紅色底色代表異常、白色底色表示正常但網站安裝的是一般SSL伺服器憑證。

EV SSL伺服器憑證主要目的是提供消費者辨識正確網站的環境,欲達此目的,就必須以簡單、明瞭、醒目的方式供使用者辨識,以IE為例,網址列右方有一個欄位,其資料來自於安裝於網站上的EV SSL伺服器憑證,由於憑證機構已認證該網站的身分並將其註明於EV SSL伺服器憑證內,網友可藉此得知目前所連的是eBay網站,當憑證過期或被廢止,或網站名稱與憑證所載不符時,網址列將以紅色底色的方式呈現,若網站安裝的憑證是EV SSL伺服器憑證,網址列將以綠色底色的方式呈現,若為一般 SSL伺服器憑證,網址列即以白色底色的方式呈現。

EV SSL憑證機制可以讓網友以簡單而直覺的方式辨識他所造訪的網站,並利用顏色(綠色及紅色)表達網站的安全性(安全或不安全),整體而言,似乎達到了原先的目標:以簡單、明瞭、醒目的方式供使用者辨識正確的網站,但事實就只有這樣嗎?沒有其他負面因素嗎?

在下結論前,請再參考下列問題,或許會有不同的想法:

1. 上網時,有多少人知道應注意網址列旁的綠色(或紅色)欄位,如果知道的人很少,這個機制能發揮多大功用?
2. 自IE7開始,EV SSL機制已可正常運作,到了現在IE8的時代,為何社會大眾還是不了解?未來能了解嗎?何時才能了解?
3. 限於公司經營壓力,過去有些憑證機構在認證程序上做的不夠嚴謹,目前CA Browser Forum的規定是否能持續落實?
4. 手機上或其他非電腦設備的瀏覽器何時才能支援EV SSL機制?手機的螢幕小,是否能提供社會大眾一致的確認介面?
5. 由於EV SSL伺服器憑證成本較高,售價自然較一般SSL伺服器憑證高,許多網站經營者似乎不願在市場普及前率先採用,那促成網站經營者採用的動機何時才會出現?
6. ”綠色”僅代表EV SSL伺服器憑證可以信任,並不代表網站經營者的誠信,也不代表其所銷售產品的品質,申請EV SSL伺服器憑證對網站經營者有多大幫助?

雖然仍有許多問題待克服,但EV SSL憑證機制確已為網站辨識的功能跨出重要的一步,其成敗關鍵在於整體環境的完備性(社會大眾的認知、瀏覽器程式的全面支援、憑證市場的正常發展),未來是否能普及?何時才能普及? 請拭目以待。(文 / 臺灣網路認證技術副總經理陳俊秀)

訂閱免費DIGITIMES商情電子報,掌握即時科技產業動態與最新技術方案

關鍵字 
臺灣網路認證SSL
 加入已選取到「關鍵字追蹤」 什麼是「關鍵字追蹤」


最多人點閱的報導