網站的安全憑證為什麼這麼重要,其實像GoogleChrome這樣的瀏覽器,為了用戶的資安,都會檢查網頁的憑證安全性。一般網站也都會找有信譽的憑證公司申請安全憑證。基本上,憑證的安全標準是全球統一的,照規定走都不會有太大問題。沒想到作為台灣最具規模的憑證公司,中華電信竟然出大包。專家特別點出,沒有網站安全憑證的三大風險,也很擔心未來使用中華電信憑證的網站,會跟沒有申請憑證的詐騙網站一樣,都出現警示圖標,造成民眾對資安的警覺性越來越低。
全球資安專家串連,打擊網路犯罪,就怕資安互信網絡,有老鼠屎成為破口。點進我國資安主管機關「數發部官網」,安全憑證就是中華電信所發的;其他像是用來報稅的國稅局網站,或是勞動部、台灣自來水公司,也是用中華電信憑證,影響範圍不小。
資安專家劉彥伯說:「這個(憑證)就是一個世界的規範,以中華電信這次來說,它看起來就是在更新憑證、整個安全性的符合上面,一直是拖延著。」
安全憑證的原理其實並不複雜,用戶打開網頁瀏覽器,如Chrome造訪網站,瀏覽器為了負責用戶安全,設置許多資安關卡,很重要的一關是「第三方機構」核發的安全憑證,也就是中華電信負責的角色,當瀏覽器確定網頁的憑證是由可信任機構核發後,會告知用戶「這個網頁沒有資料被竊取風險」。反之,如果螢幕出現「你的連線不是私人連線」,可能就代表憑證過期不安全了。
資安公司執行長蔡松廷說:「瀏覽器它會去根據這個憑證,跟你連線的網站開始建立加密,驗證了之後,跟網站之間就可以開始加密的過程。」
憑證能給予的保護,包括詐騙、沒有安全憑證的網站,很可能用戶資料會被攔截,或是釣魚網站沒有示警。資安專家劉彥伯說:「我舉個例子,像過去可能詐騙集團,它要成立一個網站,它可能沒辦法得到一個,合法的憑證,上面的標頭就會出現警告,Chrome就會告訴你,這個是警告,可是現在之後的狀況,可能是你即使,拿著中華電信的憑證,你的標頭也會是警告,所以對民眾來說,他進了詐騙的網站,跟進了這個真網站,看到的都是警告標示。」
中華電信憑證,將在8月將被Chrome移除預設信任選單,雖然這不代表使用中華電信憑證的網站沒有資安防護,但Google態度很清楚,除非中華電信跟上國際資安規範,不然不敢「為你的憑證作保安全」。
而一般搜尋引擎,例如Google,也將網站安全性作為排名考量,換言之,未安裝或憑證過期,可能就被降流量。中華電信憑證出包,自己信譽丟失,更害到客戶,還會被全球資安網絡排除在外。
