有在經營網站的站長們應該都知道,網站安裝SSL除了可以提升搜尋的排名之外,瀏覽器的網址列前面多了一個「鎖頭」符號(而非「不安全」)還能讓訪客更信任這個網站。但是依然有許多網站還在使用未加密的http協定,或安裝三個月就得更新一次的免費憑證,阿正老師今天帶你完整認識SSL憑證,並介紹本站目前使用的主機商「遠振資訊」所提供的平價SSL數位憑證方案,每年不到一千元就能讓你可以免除時常更新憑證的困擾,甚至還提供了超划算的校園方案!快來看看阿正老師以下的介紹吧!
一、SSL是什麼?
相信大家都應該注意到,瀏覽器上方的網址列最前面會出現一個鎖頭標誌,代表這個網站為SSL加密的網站,意思就是從你的電腦到網站主機之間的傳輸,都已經經過了數位加密,確保資料的完整性,並能確認網站的真實性,讓使用者能夠信任該網站。這對於有線上交易的網站來說相當重要。使用了SSL的網站的網址列前面會出現鎖頭,網址也會變成https://而非http://,是最容易區別有無SSL的方式。
▲使用https加密的網站前方會出現鎖頭符號
▲使用http未加密的網址前方會出現「不安全」字樣
後來Google為了推廣SSL,除了在2017年宣布將有無安裝SSL憑證列為搜尋排名的評分要素之外,Chrome瀏覽器還會將沒有使用SSL的網站標記為「不安全」,影響使用者繼續瀏覽該網站的意願。因此大大小小的網站都開始為了提升網站的搜尋排名,紛紛開始安裝SSL憑證,而且教育部也開始要求各級學校的網站導入SSL並預設為安全傳輸協定(HTTPS),不過因為政府的GCASSL僅提供給國立學校申請,所以一般的縣市立學校得自己想辦法申請SSL,目前比較普及的還是使用免費的SSL(如Let’s Encrypt)。
技術補充: SSL(Secure Sockets Layer,安全通訊協定)是一種網路的安全協定,主要是為了加密網路傳輸的資料,早在1994年就已推出。後來經過IETF標準化之後,推出了TLS(Transport Layer Security,傳輸層安全性協定),目前最新的版本是TLS 1.3(2008年公布),舊的協定包括SSL 2.0、SSL 3.0、TLS 1.0及TLS 1.1都已經在今年棄用,因此目前的SSL網站至少都需要TLS 1.2版以上。 SSL必須透過授權機構簽發正式憑證,當訪客連上網站時,瀏覽器會檢查並核對SSL的加密憑證是否有效,且由信賴的授權機構發行並且被用在正確的網站上,只要其中一個環節出錯,就會出現錯誤的訊息提醒SSL是不安全的。 |
二、SSL數位憑證有幾種?
SSL的憑證種類其實有分很多種,從一般的基本加密需求,到專供金融機構或電商所使用的憑證,價格差異也相當大,這邊簡單介紹一下:
1.單一網域驗證(DV):為SSL最基本的安全憑證,一般人皆可申請,只要驗證DNS、Email或網站所有權之後就能完成申請,將申請的憑證安裝在網頁主機上即可生效。適合一般的個人網站、小型網站、部落格….使用。
2.組織驗證(OV):提供給公司或機關團體使用的企業型SSL憑證,安全性高、申請時間較長,適合用在機關、組織,或是經營電子商務之中小型企業。
3.加強驗證(EV):是最高等級的SSL加密憑證,有最高的安全性及消費者保障。適合用在金融機構、大型購物網站、電商網站…。
另外如果你的網站有多個子網域(例如a.foo.com跟b.foo.com),則可以考慮購買萬用(wildcard)憑證(變成*.foo.com全部有效),就可以讓該網域下數量不限的子網域通通擁有自己的SSL憑證喔!
三、免費SSL憑證是什麼?
目前市面上有一些提供免費憑證,例如Let’s Encrypt、SSL for Free或是虛擬主機管理後台cPanel內建的Sectigo…等憑證,都是屬於單一網域驗證(DV)憑證,只有提供傳輸的加密,並沒有其他的附加保障,也無法確認該公司的真實性,因此建議用在一般的小型或個人網站。
免費SSL的另一個缺點,就是每三個月就得更新一次,甚至有可能會更新失敗造成網站無法正常開啟,而且也沒有信任度,且不能用在多個子網域名稱(如a.foo.com跟b.foo.com就得申請兩個憑證),所以除非是不太重要的網站,否則真的不建議使用免費SSL憑證啊!
四、誰可以簽發數位憑證?
數位憑證必須由數位憑證認證機構(Certificate Authority,CA)來簽發,它是負責發放和管理數位憑證的權威機構,例如國內的「臺灣網路認證」(TWCA)、中華電信、匯智、寰宇及HiNet,或國外的DigiCert、GeoTrust、COMODO、GoDaddy、Certum、Symantec、RapidSSL、GlobalSign、thawte、Let’s Encrypt…,品牌相當眾多,根據公司大小的不同,所簽發憑證的價格、信任度跟保障也有所不同,一年從數百元到上萬元都有,可以依照網站的需求來選擇。
五、SSL購買及申請全攻略
阿正老師從2017年將「㊣軟體玩家」部落格搬到「遠振資訊」這間國內的優質主機商,已經使用超過四年了(請參考本站文章:《虛擬主機怎麼挑?主機商不會告訴你的事!阿正老師的網站搬家經驗談》及《想幫網站找個新家? 來試試國內老牌的遠振虛擬主機吧!》),主機的品質非常穩定可靠,速度也相當理想,用到現在還幾乎挑不出什麼缺點。該公司除了提供主機相關的服務(台灣/美國虛擬主機、實體主機、VPS主機、雲端主機及主機代管),還有網域註冊、企業信箱及資安服務,其中SSL數位憑證就是該公司旗下的重要服務。
目前遠振代理了包括DV網域驗證(單一/萬用網域)、OV組織驗證(單一/萬用網域)及EV加強驗證…等多種產品,品牌包括了TWCA、GeoTrust、RapidSSL、Certum SSL、Sectigo…等,下面就以遠振代理的產品線來介紹如何申請付費的SSL數位憑證。
▲遠振資訊目前提供的SSL憑證方案
遠振為了推廣SSL,為學校提供了校園SSL方案(Certum Commercial),價格非常優惠,校園SSL方案為上圖有*號者,需要申請的各級學校可以直接與遠振聯絡(mkt@host.com.tw)。
(一)SSL申請與購買
1.先從遠振資訊(https://www.host.com.tw)的官網,點擊右上角的「資安服務」,找到想要的憑證方案(DV/OV/EV)。
2.以一般的個人網站或部落格來說,如果沒有牽涉到電子商務(如線上購物),可以使用最便宜的DV驗證(單一網域),像是Certum 跟 RapidSSL,一年期的憑證價格約在1000元以下,而且核發很快,只要按下〔立即申請〕按鈕就能進入購買畫面。
3.接著再輸入相關註冊資訊或登入帳號,按下〔結帳〕按鈕即可進行結帳。
4.當訂單確認之後,會產生帳單並發送Email通知你付款,跟虛擬主機不同的是,虛擬主機可以免費試用,但是SSL憑證就無法試用了。
5.完成付款之後,在網站的後台就可以看到「管理產品」裡面出現了Certum SSL憑證的項目,點擊下方的連結(下圖紅色箭頭處)即可開始設定憑證。
6.下一個步驟「設定SSL證書」算是最難的部分,你會需要一個叫做CSR(憑證簽署要求)的檔案或是文字,才能跟憑證中心申請憑證。
你可以把CSR檔想成是一份申請書,申請書需要蓋章,用來蓋的印章就是只有你擁有的「私密金鑰」檔(Private Key),這個檔案可以在網頁伺服器中產生,也可以利用軟體或線上產生器來產生。
用這組金鑰加上一些文字資訊,例如簽署名稱(Common Name)代表你要保護的網域名稱、相關的地理資訊、組織名稱及Email,就可以產生出一個CSR檔,把CSR檔提交給前面介紹過的「數位憑證認證機構」來簽署,才會得到簽署完成的SSL數位憑證檔,將這個憑證跟私密金鑰放到網頁伺服器中,就能將網站變成HTTPS了!簡單來說,整個過程可以這樣比喻:
印章(私密金鑰) → 填寫並將申請書用印(產生CSR檔) → 給憑證中心簽署 →
頒發SSL憑證→安裝憑證
CSR檔跟私密金鑰要怎麼產生呢? 不用擔心,下面阿正老師就來教你如何快速產生這兩個檔案。
>>請翻到下一頁:快速產生CSR檔及私密金鑰檔、完成SSL憑證的申請、憑證的檢查