近期在幫企業客戶導入清洗服務時在協助調整站台SSL憑證上,遇到該企業在官方網站上特別要求憑證需要OV等級以上,只知道憑證有差異卻無法說明清楚,於是寫下此篇文章將憑證等級資訊做個總整理。
SSL憑證的好處
當瀏覽 HTTP 的網站所有傳輸的資料在網路的任何節點都是明碼傳輸,中間節點上任一人都可進行攔截並看到USER發出的帳號密碼或資訊。
當瀏覽 HTTPS 的網站所有傳輸的資料在網路的任何節點都是加密傳輸,中間節點上任一人都無法解析傳輸的任何資料。
憑證等級
DV (Domain validated) 網域層級驗證 | OV (Organization validated) 組織層級驗證 | EV (Extended validation) 延伸驗證 | |
說明 | 最低等級的SSL憑證,僅有網域所有權認證。 | 公司組織等級認證,除網域認證外,還有公司資訊驗證(電話驗證)。 | 最高等級認證,需通過網域、組織(電話)、五大會計事務所驗證,審核方式嚴謹。 |
價格 | 免費/低 | 中 | 高 |
消費者保障 | 消費者無法辨識網站是否為真實企業經營 | 消費者僅能知道營運網站的企業名稱,但無法確認是否為真實企業 | 消費者能知道營運網站的企業名稱,且也能確認是否為合法立案的真實企業 |
供應商 | GoDaddy 、或 Let’s encrypt、cPanel,等 免費憑證也屬於DV等級。 | 中華電信、GoDaddy、TWCA、DigiCert等 | 如:GoDaddy、DigiCert |
如何辨識憑證
DV 網域層級驗證
在紅框內寫著憑證有效,主旨的欄位值會有 CN 發給哪個網域。
OV 組織層級驗證
在紅框內寫著憑證有效,主旨的欄位值會有 CN 發給哪個網域和企業名稱及資訊。
EV 延伸驗證
在紅框內寫著憑證有效並且有核發對象的字,主旨的欄位值會有 CN 發給哪個網域、企業名稱資訊、最後憑證在簽發時企業的驗證資訊。
如果以台灣的銀行來說,玉山銀行的官網就是使用EV的憑證,就可以看到 jurisdictionCountryName 顯示 TW 台灣。
CN = www.esunbank.com.tw
O = E.SUN Commercial Bank, Ltd
L = Songshan District
ST = Taipei City
C = TW
serialNumber = 86517510
businessCategory = Private Organization
jurisdictionCountryName = TW
結論
對於一般網頁要提供 https 加密的服務DV、OV、EV 的憑證都沒差,但對於需要提高網站可信度來說會從 EV > OV > DV,像是銀行和重要交易(Paypal)相關網站,小編都會特別注意提供的憑證類型,有點類似金絲雀的概念。
企業如果使用免費憑證較無法標示企業來自哪裡,不過企業使用雲端服務 Cloudflare、Imperva、Google 來進行清洗或託管,套用其他憑證就有不同的管理考量。
但回歸到一般使用者端只有 http 與 https 的差異,也是 Google、Firefox 等瀏覽器拿掉了 EV 等級在網址列上的憑證標示,來進行簡化整個使用介面的複雜度。