Top 5、6、14、19、20

HTTPS憑證串鏈需設定正確且在有效期限內

HTTPS 憑證用於確保網站與使用者之間的安全通訊，確保數據如帳號、密碼、個資等在傳輸的過程中無法被攔截和閱讀。Google Chrome於110年8月更新Chrome(93版)，將正式提供HTTPS-Only模式，會在使用者造訪不支援HTTPS網站時跳出示警訊息。因此建議網站安裝SSL憑證可提升網站的安全性、用戶信任度和搜索引擎排名，同時保護敏感訊息免受攻擊和竊取。

使用HTTPS憑證的主要原因是為了解決數據在傳輸的過程中可防止被中間人攔截並利用。並且在許多行業和法規也相繼要求網站得使用憑證來保護用戶數據的安全，如金融機構、電子商務網站和個人隱私相關的網站皆需要遵從相關法規和標準，而使用HTTPS憑證則是符合基本要求之一。

HTTPS 憑證的主要目的是保護數據的機密性、確保網站的真實性和身份驗證，提升用戶對網站的信任度，並改善網站的搜索引擎排名。這對於保障網路通訊的安全性和使用者體驗至關重要。

驗證HTTPS是否安全有效

(圖片引用：ADS Interactive)

SSL協定、TLS協定、SSL憑證、TLS憑證是什麼？

SSL協定(Secure Socket Layer)是一種資訊傳輸的加密技術，能夠加密兩個網站之間互相傳輸的資料，讓他人無法取得您的網站與客戶之間的隱私訊息。
TLS協定(Transport Layer Security) 可視為SSL協定的延伸，更加安全、更加嚴謹。
SSL憑證(安全通訊端階層)是數位證書，用來驗證網站的身分並使用 SSL技術將資料加密，然後傳送到伺服器。加密是將雜亂無章的資料編寫為無法解譯之格式的一種程序，加密的資料可以透過適當的解密金鑰回傳為可以讀取的格式。
目前所說的SSL憑證所使用的就是TLS協定，只是為了方便稱呼而叫SSL憑證。

👉網站沒安裝SSL會怎樣？

有安裝SSL憑證之網站示意圖

🆕相關新聞

⚠️你的SSL憑證安全嗎？⚠️

2011年9月Google發現自家網站使用者遭受到中間人攻擊(man-in-the-middle)，查證後發現是因為荷蘭的網路認證發放機構DigiNotar遭受駭客入侵，流放出假的SSL憑證，導致瀏覽器無從察覺加密連線有問題，而後因為Google Chrome瀏覽器內建固定憑證機制，清查出問題來自於假憑證，才使得事件爆發開來。

網站若未安裝有效的 SSL 憑證或是安裝了不被信任的憑證機構 (CA) 簽發的憑證，將可能會面臨資訊竊取、身分偽造、中間人攻擊、聲譽受損、流量遭惡意操控等風險，因此確保安裝有效且由信任的憑證機構簽發的 SSL 憑證，是維護資訊安全和用戶信任的重要步驟。

舉例相關漏洞

👉Untrusted TLS/SSL server X.509 certificate

描述：The server's TLS/SSL certificate is signed by a Certification Authority (CA) that is not well-known or trusted. This could happen if: the chain/intermediate certificate is missing, expired or has been revoked; the server hostname does not match that configured in the certificate; the time/date is incorrect; or a self-signed certificate is being used. The use of a self-signed certificate is not recommended since it could indicate that a TLS/SSL man-in-the-middle attack is taking place

⚠️此類漏洞可能被攻擊者利用不安全的SSL憑證攻擊⚠️

漏洞解決方案：

安裝有效且由信任的憑證機構簽發的 SSL 憑證

參考資料：
SSL憑證是什麼？有哪些種類？：https://www.net-chinese.com.tw/nc/index.php/MenuLink/Index/SSLCertificates
SSL憑證是什麼？和TLS憑證差在哪？對網頁有什麼重要性：https://twfirst.com.tw/digital-marketing/secure-sockets-layer/

Page updated

Report abuse