今年九月,Google發現自家網站使用者遭受到中間人攻擊(man-in-the-middle),查證後發現是因為荷蘭的網路認證發放機構DigiNotar遭受駭客入侵,流放出假的SSL憑證,導致瀏覽器無從察覺加密連線有問題,而後因為Google Chrome瀏覽器內建固定憑證機制,清查出問題來自於假憑證,才使得事件爆發開來。
事情發生之後,瀏覽器業者紛紛釋出更新修正並加強憑證安全措施。台灣網路認證(TWCA)總經理室產品經理陳柏翰表示,已收到各瀏覽器原廠寄發給國際知名網路認證發放機構的專函,業界將共同商討該如何防範類似的漏洞再發生,以及如何提高SSL憑證的嚴謹度與安全性。另外,由國際憑證發放機構與瀏覽器業者們共同組織而成的CA/Browser Forum,也同樣在商討SSL憑證的發展與未來。
SSL憑證:網路安全的第一關
SSL(Secure Sockets Layer)是網頁伺服器與瀏覽器加密連線的通訊標準,終端使用者存取網頁時以https加密傳輸通道來傳送資料,便是運用了SSL加密技術。網路認證發放機構在確認申請的網頁伺服器的身份與資訊正確之後,會發放SSL憑證,此時網頁伺服器的SSL即可通過瀏覽器檢查認可為「正牌」網站並建立SSL加密連線。
 |
| ▲許多企業只開啟網頁伺服器的SSL機制,而未申請憑證時,使用者在存取該網頁時便會看到「網站的安全性憑證不可靠」的警告畫面。 |
 |
| ▲台灣賽門鐵克資深技術顧問張士龍表示,SSL憑證的用途包括加強資料傳輸安全性以及確保網站正確性。 |
通常SSL憑證主要具有兩項用途:一是透過加密技術來確保網路連線過程的資料不被竊取與竄改,另外一項則是作為網站「驗明正身」用途。台灣賽門鐵克資深技術顧問張士龍表示:「取得SSL憑證的網站,可對終端使用者證明其為正確的網站,而非假冒的釣魚網站,除了能夠提高連線安全性之外,企業也能夠提高使用者的信心與提昇品牌形象。」
企業要申請SSL憑證的步驟很簡單,陳柏翰表示,用戶只要在網頁伺服器開啟SSL功能,伺服器會引導IT人員填寫該伺服器相關資訊,如網址、公司資料等,再導出為憑證資料提供給網路認證發放機構進行審核確認,確認完成之後,網路認證發放機構便會發放瀏覽器認識的SSL憑證給客戶,只要安裝在伺服器上即完成使用合法SSL憑證的步驟。
事實上,SSL技術發展已久,多數電子商務網站(如購物網站、網路銀行等)也都會申請SSL憑證作為網路安全的第一關,保護機密資訊或個人資料不會受到攔截竊取,而一般民眾也往往懂得透過存取網頁時是否以https來確認加密通訊機制,算是相當成熟的市場。
憑證發放機構參差不齊
如此成熟的技術與市場,為何還會發生DigiNotar遭駭而發放假憑證的事件?陳柏翰表示:「由於市場競爭激烈,SSL憑證發放機構的好壞參差不齊,有些憑證發放代理商,收費後只負責轉發國外原廠授權的憑證,而不進行客戶資料的確認,也不提供技術支援與承擔風險等等,對於客戶來說很容易造成許多安全問題與糾紛。」
 |
| ▲台灣網路認證(TWCA)總經理室產品經理陳柏翰表示,個資新法將成為SSL憑證市場新的成長動力。 |
陳柏翰指出,網路憑證發放代理商如果缺乏技術能力,有問題時必須與原廠溝通,即使是願意協助企業客戶與原廠溝通的代理商,也須配合國外原廠資訊來回的時間,缺乏即時解決問題的能力,更遑論還有只負責銷售而不負責服務的業者。「以TWCA來說,我們提供專人為企業客戶服務,從申請、安裝到安裝之後網站調整問題,都能協助客戶解決。」
他解釋,有時候SSL憑證與客戶既有的網頁語法不相容,客戶必須針對某些網站元件進行調整才能符合SSL加密標準,這些都是憑證發放機構應該要能夠協助客戶解決的問題,「另外,像是憑證發放機構的自有機房、設備、營運模式、是否符合國際標準、是否提供營運責任確保等等,也都是企業在選擇憑證發放機構時可作為評估考量的條件。」
張士龍也表示,由於申請憑證的客戶難以確認SSL憑證發放的作業過程,因此在選擇憑證發放機構時,可依照該機構的市場名聲、品牌、核心業務是否專注在SSL憑證發放以及因應SSL憑證技術的專業能力等等來選擇,「例如Symantec VeriSign驗證服務在市場上深耕已久,因應市場變化如DigiNotar所發放的假憑證事件也能快速反應與預防,取得VeriSign驗證的企業可提高網站安全性,同時提昇企業形象。」
個資法帶來新商機
觀察市場變化,過去申請SSL憑證的企業大多為電子商務類網站,如購物、拍賣網站、社群網站、金融機構的網路銀行等關係到交易資料與敏感資料的網站類型,這類型網站必須服務終端使用者,確保使用者存取的資料安全,也要讓終端使用者能夠安心使用該網站,因此有申請SSL憑證的必要性。而一般企業的情況,則有不少是IT人員自行開啟伺服器的SSL機制,未多花心力與預算申請公開SSL憑證,使用者存取網頁時仍以加密通訊,只是少了網站「驗明正身」的把關用途。
這種僅開啟SSL而沒有申請公開憑證的應用,多用在企業內部網站上,也就是說,這些網站的網址並未對外部人員公開,遭到假冒或入侵的機率比提供服務的外部網站來得少,企業也就沒有急迫的動力多花預算申請憑證了。
不過,少了一端的驗證,安全性必然大打折扣,資訊安全向來不怕一萬、只怕萬一,若是企業內部員工習慣了未經驗證的SSL連線機制所呈現的警告畫面,存取企業網站時出現安全憑證不可靠的畫面都認定為正常而點選,一旦企業內部伺服器遭駭或是安全機制遭到破解,仍可能形成資安漏洞。
此外,個資新法也是SSL憑證市場的新動力,根據新法條文,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」陳柏翰表示:「也就是說,即使是企業內部網站,只要與員工個人資料相關,即必須採取一定程度的安全措施,來舉證符合個資法規,而SSL憑證便是一種最基本的保護機制。」
雖然SSL早已是成熟的技術與市場,然而由於企業對於SSL憑證的重要性認知還有待推廣,再加上資訊安全危機越來越無孔不入,以及個資法規的驅動力,如何申請SSL憑證以及挑選供應商,將仍是IT人員必須熟悉的知識。