SSL数位凭证,到底该使用免费还付费的?_学术访谈_申博私网包赢
主页 > 学术访谈 >SSL数位凭证,到底该使用免费还付费的? >

SSL数位凭证,到底该使用免费还付费的?

2020年06月09日 来源:http://www.sbgw77.com

SSL数位凭证,到底该使用免费还付费的?

今年起新版的 Chrome 浏览器在网站没有安装 SSL 数位凭证下,会强制在网址列显示带有警示意味的惊叹号以及不安全标记,因此,不少网站经营者开始着手导入 HTTPS。但目前市面上凭证种类众多,即使都是 SSL 数位凭证价差也非常大,对于申请者来说,免费与付费型的 SSL 数位凭证究竟差在哪,该如何选择呢?

相信这是多数人都会遇上的困扰,但请记得不用钱的未必适合您。首先,我们当然不能全盘否定免费 SSL 数位凭证的好处,毕竟因为免费凭证供应商的贡献与推广,让在还没有 Chrome 的强制规定下,有更多网站愿意尝试导入 HTTPS,提升网站安全性。其次,不用钱这点还是让很多资金不足的微型企业或是小型个人架站者,享受到凭证带来的好处。但是,虽然不用钱,免费凭证却存在很多隐形的潜在风险!以下针对免费与付费的差异重点一一列点说明,希望用最浅显易懂的文字,让大家明白两者差异!

1. 凭证公信力

先问一个简单问题,今天您想要存钱,会选择名字都没听过的银行?还是找间信任、可确保财富可安心託管的银行呢?同理可证,凭证的购买也是相同道理!建议大家在选择凭证时,须考量凭证核发机构是否受到全球认可以及经过 webtrust 认证。在此可以举 2015 年上线的「外国帐户税收遵从法 FATCA」为例,在此政策中的税务资料传输,都只限採用符合国际公信力的凭证厂商进行加密,其余一概不受理。可见凭证核发机构的专业与信任度,对于 SSL 数位凭证的选购来说,是项非常重要的要素。

2. 资料验证方式

免费的 SSL 数位凭证,通常只採系统信件方式进行验证,并且不会去审核申请者的身份真实性,举例来说一个恶意人士可以申请一个类似知名网域的网域,并利用免费凭证中心宽鬆的验证,申请凭证用作于钓鱼网站。而付费凭证则依据等级不同,有不同的验证方式,以最高级的 EVSSL 增强型数位凭证为例,除了会用文件和信件、甚至电话方式审查企业身份真实性与网域所有权外,也会加入第三方验证,避免有凭证误颁状况发生。也就是免费的 SSL 数位凭证虽然可以达到加密传输的目的,却无法作为提升使用者信心的存在。

既然提到了凭证误颁的情况,就稍微点一下可能产生的后果。若误发的状况发生,浏览器就会开始检视凭证核发商的专业度与可信任度,一旦评估具有高风险后,将移除凭证签发厂商的根凭证,导致同一签发厂商的凭证全面失效,显示为不受信任。若有兴趣者可以回顾此篇文章「网站只要有 HTTPS 就好了吗?选对凭证厂商更重要!」。

3. 资安的防护

这边要说明的不是单指 SSL 数位凭证,因为现在无论您买的是哪家凭证,大多使用 2048 加密位元,此处要谈的是凭证核发商对于资安的维护,以及您採买的凭证支援,是否包含独立 IP。若原厂对于资安不够重视,自身防护等级不够完备,原厂的根凭证是有可能遭到有心人士破解的,连带影响底下用户的加密传输资料有遭到破解还原的风险。而独立 IP 的使用也是为了防止採用共享 IP 可能造成的骇客入侵,黑名单问题,确保企业拥有乾净 IP,不受他人影响而连累企业经营。

4. 损害赔偿责任

根据电子签章法「凭证机构对因其经营或提供认证服务之相关作业程序,致当事人受有损害,或致善意第三人因信赖该凭证而受有损害者,应负赔偿责任」,因此无论是国内凭证业者,或是国际品牌业者,均有制定损害赔偿金额。以 GlobalSign 所提供的 EVSSL 数位凭证来说,若网站在有安装此凭证下资料仍不幸遭窃,将可以理赔最高 1,500,000 USD 的损失赔偿金。

5. 凭证安装协助

付费型的 SSL 数位凭证,多数会提供本地客服支援,当用户有凭证导入问题或是安装需求时,也会提供技术支援协助,反观免费 SSL,通常须用户自行安装,且安装程序繁琐,只能请教谷哥大神,一一爬文全靠自己才能安装成功。

6. 凭证使用限制与有效期限

免费的 SSL 数位凭证因为验证方式宽鬆所以有限期限通常为 90 天到 1 年不等,无法颁发较长时间的数位凭证,而付费型因为验证机制完善,通常多备有多年方案,让用户可以一次下单,且一次购买多年还可享优惠,不仅省去了每年续约、安装或是重新找厂商的繁琐步骤,还可以享有更划算的专业凭证价格。另外需要特别提出来的是,免费型的 SSL 数位凭证只能安装于单一网站,无法升级为多子网域共用同一凭证,对于企业经营来说较为不便利。

7. 企业名称揭示

不知道大家是否曾点击过凭证锁头的安全连线详细资料呢?相信有点过的人会发现,有些凭证的介绍包含了企业资讯露出,有些则没有,仅单纯显示凭证核发商的资料,这些差异大多源自于你选择的凭证的等级。一般来说,免费型的凭证大多无法显示申请者的企业识别,但付费型就可以申请包含企业资料完整揭示的数位凭证,并且提供让使用者安心信赖的凭证安全标章,让网站浏览者可以轻鬆辨识网站真实性,强化信赖度。

最后,建议大家选择凭证时,还是选择安心可信任的厂商,毕竟一分钱一分货,企业网站的永续经营、与品牌形象的提升,才是网站经营者最须要正视与关注的议题。

 
上一篇:
下一篇: