搬來新的部落格大概已經一個多禮拜了,這禮拜又再加了一個 SSL 認證上去。

先不討論中華民國大陸淪陷區跟北韓,Google 瀏覽器在全球擁有超過 50% 的市占率,這個瀏覽器版本 56 起發佈了一個功能,就是如果網站有 https,會顯示大大的”安全”,就像我的部落格,和主域名那個用途不明的單頁這樣子:
SSL讓網站超安全

然後如果網站有讓人輸入密碼的地方,卻沒有 HTTPS,網址列就會顯示大大的「不安全。」

然後 Firefox 的網站版本 52 起也增加了類似的功能,就是在沒有 HTTPS 的網站輸入密碼時,會顯示讓人驚恐萬分的文字。
Firefox SSL

以前沒有 HTTPS 的網站,只是在不起眼的地方少了個小鎖頭,現在 Firefox 跟 Google Chrome 這樣搞,連一堆不太會用電腦的人都打來問這是怎麼回事。

又可以增加業績量,非常好。

網站多了 HTTPS (SSL 認證),除了有大大的綠色鎖頭(有人以為那個圖案是購物袋),還有哪些好處呢?
1. Google 官方在 2014 年 8 月宣布 SSL 是搜尋引擎排名指標之一。(HTTPS as a ranking signal)
2. 避免網頁內容被 ISP 或來路不明的 WiFi 等網路中間設備或有心人士加料 (中間人攻擊)
3. 如果網頁上有一些地理相關的功能,例如想要顯示與使用者最近的房地產物件、分店、銷售地點,就要調用 HTML5 Geolocation API 讓瀏覽器跟使用者要現在位置,但是在 Google 瀏覽器版本 50 以上,Geolocation API 跟一些小東西必須要有 HTTPS 才能用。
Geolocation API Removed from Unsecured Origins in Chrome 50
Deprecating Powerful Features on Insecure Origins
4. 想用 PWA 相關技術,讓網站可以一鍵加到手機主螢幕,推播通知,網頁也是要有 SSL 認證。
5. 想用一些”臉書粉絲專頁工具箱”之類的應用程式,把網站嵌在電腦版 Facebook 粉絲專頁的一個分頁裡面,也必須要有 SSL,不然會因為 mixed content 被瀏覽器擋掉,無法顯示。
6. 網頁底下會掛個動態證書,顯示網站是真的隸屬某企業,而不是釣魚網站。
至於釣魚網站做一個假證書畫面,我相信應該還是會有人上當。
7. 如果是購物網站,可以讓消費者感覺比較安心,好像不會被盜。
8. 至於等到親身碰過有 SSL 的網站還是被入侵,讓消費者接到詐騙電話,就知道網路安全絕對不是花幾四五位數的幾毛錢買個護身符掛上去那麼簡單。
9. 有些高階的 SSL 認證期限延展的作業流程要跑很久,認證中心還要打電話去企業內進行驗證,所以外包廠商可以藉機提早詢問企業是否能續約並付款。
10. 免費的 SSL 很多在舊的作業系統(如WinXP) 與舊的瀏覽器上面無法顯示,或是有問題,可以藉此過濾掉環境太低階的使用者。
11. 遠振的 SSL 認證每年最低只要 $1050 起,還沒有什麼獨立 IP 再加收幾千這件事。

如果是在台灣,想幫網站辦一個 SSL 認證,但是有以下需求的時候:
– 業主一定要看到中文的廠商資料。
– 出問題時可以拿起電話狗幹客服。
– 要拿到發票。
– 主機或程式環境比較特別,無法用廉價方案解決。
– 功能細項表格要很長,感覺花錢花得很有價值。
– 要有一些看起來更讓人放心的東西,例如網頁底下要有個證書可以點開來看,或是網址前面會顯示公司名稱

(範例如https://www.enoteca.co.jp/,不過我想還是顯示”安全”兩個字,一般使用者比較會崇拜你。)

那就得找 SSL 的合法認證機構,每年牌價大概是這樣子:
SSL認證牌價
(資料來源是 寰宇數位認證中心 – 國內各家產品比較表
這個費用通常還不包含網頁程式要微調避免 mixed content 的問題,主機設定、在伺服器上安裝 SSL 證書……的各種服務費。

如果你是像我一樣的廉價勞工,那就可以用免費的 SSL 認證 自己 DIY,去找網站的這套程式、主機環境,要用什麼方法設定。
像本文最上圖那兩個實作 SSL 的網站,
一個是裝 WP Encrypt,產生出 Let’s Encrypt 的證照之後,再改一下 wp-config.php 就好了啦。
另一個是把 DNS 指向到 CloudFlare 的 NameServer,Free Plan 就會自動有基本的 SSL 跟、DDos 保護跟有點慢的 CDN 了呦!

當然別人的網站我是不敢這樣搞啦,
這是風險問題,才不要省幾萬塊然後累死自己。

如果你真的不信,用了所謂免費的 SSL,然後接到使用者抱怨說網站連不上,通常是…他還在用 Windows XP。

至於免費的跟要錢的,拿去測試工具跑出來的畫面也不一樣。
LE.vs.globalsign SSL

文章最後再強調一下,資訊安全議題我也不是專家,但根據經驗,絕對不是「買張護身符」掛上去就沒事了。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *