|
|
| 2﹒請問SSL的產品項目有那些? |
本中心目前提供單網域SSL憑證、多網域SSL憑證(又稱HiNet UC SSL憑證或HiNet SAN憑證)及萬用網域SSL憑證三種產品,憑證的效期由1到3年。 |
|
|
|
| 3﹒請問什麼是萬用網域SSL憑證? |
本中心的萬用網域SSL憑證(Wildcard SSL Certificates)提供給單一網域(Domain Name),無限個次網域(Sub-Domain)的網站使用。
例如1台伺服器,裡面有15個網站(網域名稱包含news1.Domain Name、news2.Domain Name、news3.Domain Name、www1.Domain Name、www2.Domain Name、www3.Domain Name、mail1.Domain Name、mail2.Domain Name、mail3.Domain Name、hub1.Domain Name、hub2.Domain Name、hub3.Domain Name、SSL1.Domain Name、SSL2.Domain Name、SSL3.Domain Name),您可申請一張名稱為*.Domain Name的萬用網域SSL憑證給該網站的15個次網域使用。 |
|
|
|
| 4﹒市面上所謂128/256 bits SSL Server憑證的真相? |
市面上所謂的128/256 bits SSL憑證,指的是所謂可強制達到128 bits加密技術的SGC憑證(Server Gated Cryptography (SGC) Certificate),以前市場上的行銷手法是把SGC Certificate稱為「128-bit certificate」可強制達到128 bits加密技術的憑證,不過自從AES對稱式加密演算法出現之後,由於AES可以支援256 bits的對稱式加密金鑰長度,所以現在的宣傳手法就又把256加上去變成「128/256-bit certificate」。
但是要注意,如果要使用AES 256 bits做為SSL的session key,則不僅Server端的密碼模組要支援AES,連Client端的Browser或作業系統也要支援AES,據目前了解Client端如果是Mozilla或Firefox則其新版應該可以支援AES,而Windows則要到
Vista才有支援AES,所以在Windows XP上灌IE7應該還是無法達到256 bits的SSL強度,所以申請市面上所謂128/256 bits SSL Server憑證,並不表示可以達到256 bits的SSL強度。 |
|
|
|
| 5﹒請問PublicCA所簽發的SSL伺服器應用軟體憑證是否有強制型的服務? |
市面上所謂「強制型」SSL憑證,其實是西元2000年以前的產物,當初因為美國政府在2000年以前針對加密演算法相關產品做了出口管制,所以在2000年以前販售到國外的作業系統及瀏覽器(以Microsoft的作業系統及瀏覽器而言,即Windows 2000 (含)SP3以前的版本及IE 5(含)以前的出口版本)在預設的狀態之下最多只能做到40 bit以下的加密。但其實當時的作業系統及瀏覽器都還是具備128 bit強度之加密能力,只是在預設狀態之下,128 bit之密碼模組被disable了。但美國政府考量到有某些網路上的交易其實SSL Server端在美國,而用戶端的瀏覽器在美國本土之外,例如美國的銀行提供SSL 安全連線給海外的客戶,如果這樣的狀況下也只能用40 bit以下的加密,反而會傷害到美國本土安全的,所以美國政府就和各瀏覽器廠商協商訂定了所謂Server-Gated Cryptography(簡稱SGC) SSL憑證格式,美國政府並規定美國的SSL憑證業者在客戶符合某些條件之下才能核發SGC SSL憑證,這就是目前市面上所謂「強制型」SSL憑證。
SGC SSL憑證與一般SSL憑證的差異在於憑證中多了一個欄位來標示該張憑證是一張SGC憑證,而當瀏覽器遇到安裝SGC SSL憑證之網站時,瀏覽器就會啟用其128 bit之密碼模組,而能夠與使用SGC SSL憑證之Server端建立128 bit強度的安全連線。
美國政府在2000年以後取消了加密演算法相關產品的出口管制,至此之後美國出口之作業系統及瀏覽器就都已具備了128 bit強度之加密能力,以Microsoft的IE瀏覽器為例,IE 5.0.1 SP1(含)以後的版本預設就都已經具備了128 bit強度之加密能力了。因此市面上所謂「強制型」SSL憑證,其實只針對少數舊版瀏覽器有效果,例如IE 5.0的版本。而依據市場統計,目前還在使用這些加密能力受限之舊版Browser的用戶比率可能已經遠低於1%了,而且購買市面上所謂「強制型」SSL憑證所花的費用又比一般SSL憑證貴上許多,是否值得多花費金錢去購買「強制型」SSL憑證,就端看SSL網站維運者的選擇了。
關於Server-Gated Cryptography進一步的資料,可參考維基百科的網頁http://en.wikipedia.org/wiki/Server_gated_cryptography的說明。有些市場研究團體針對市面上所謂「強制型」SSL憑證,建議消費者不必多花錢去購買這種憑證,例如http://www.sslshopper.com/article-say-no-to-sgc-ssl-certificates.html網頁上面就呼籲消費者「Say No To SGC SSL Certificates」。
本憑證管理中心並不提供所謂「強制型」SSL憑證,亦認為無提供此類憑證之必要,針對少數尚在使用加密能力受限之舊版Browser的用戶,SSL網站維運者所應該做的是把SSL Server設定為拒絕用戶端使用低於128 bit的加密演算法來進行連線,並要求這些用戶將其所使用的Browser版本進行更新。由於舊版的Browser除了加密能力受限之外,可能還有許多未修補的安全漏洞(因為原廠已經不再繼續維護這些舊版Browser了),如果繼續允許用戶使用這些舊版,則可能混為害到整個系統安全。而且Browser所使用的密碼模組往往是與作業系統及其他軟體共用的,如果該密碼模組不升級到較安全的版本,則對於資訊安全的為害可能不是只有SSL連線的安全性受到影響而已。
由於SSL Server軟體可能預設還是會允許客戶端使用較弱的加密演算法來進行連線,所以SSL網站維運者在建置網站的時候,應該要做的是把SSL Server設定為強制使用128 bit(含)以上的加密演算法,而拒絕用戶端使用低於128 bit的加密演算法來進行連線。而要設定SSL Server所使用的加密演算法並不需要購買所謂「強制型」SSL憑證,只須要改變SSL Server的Cipher Suite設定即可。關於SSL Server的Cipher Suite設定方式,請自行參考SSL Server的手冊或原廠網站上的說明,例如Microsoft IIS的Cipher Suite設定方式可參考http://support.microsoft.com/kb/245030/en-us網頁上的說明,而如果是使用Apache則可以參考http://httpd.apache.org/docs/2.2/mod/mod_ssl.html網頁中有關SSLCipherSuite的說明。 |
|
|
|
|
|
|
|
|
|
|
|
| 10﹒SSL服務的根憑證機構eCA通過WebTrust for CAs稽核並取得認證標章。請問什麼是WebTrust for CAs稽核? |
為了提升憑證機構之資訊安全管理等級及所簽發憑證之公信力,委請稽核公司根據美國會計師協會(AICPA)與加拿大會計師協會(CPA)所制訂的AICPA/CICA WebTrust for CAs標準,提供類似財務簽證的方式來對憑證機構之金鑰生命週期管理、憑證生命週期管理、環境控制等,進行嚴格的稽核。取得WebTrust for CA稽核之PKI,才能向各大作業系統與瀏覽器廠商申請內建根憑證(Root CA憑證)於憑證機構信任清單,以利瀏覽安裝某個PKI 所發之SSL憑證的網站、收發安全電子郵件或驗證經過程式碼簽章之元件不會出現警示訊息。
當根憑證機構(Root CA) CA在網站揭露其業務實務運作資訊(包含憑證政策及憑證實務作業基準)給用戶(subscribers)和倚賴方(relying parties),根據其揭露的憑證政策及憑證實務作業基準提供服務,並在憑證機構環境控制(Environmental Controls)、金鑰管理(Key Management)和憑證生命週期管理(Certificate Life Cycle Management),符合以下之要求後:
●3 principles
•Business practices disclosure
*45 required disclosures
•Service Integrity
*33 criteria與182 illustrative controls
•CA environmental controls
*28 criteria and 165 illustrative controls
●30topics (5 optional), 392 disclosures and controls
憑證管理中心之網站可懸掛通過AICPA/CICA WebTrust for CAs的認證標章。每年度通過WebTrust for CA稽核,還有WebTrust證書(Certificate)、管理聲明、會計師事務所之稽核報告等產出文件。 |
|
|
|
|
|
|
|
| 13﹒請問什麼時候我的網站才需要使用SSL憑證? |
如果你的網站是一個購物或會員網站,需要客戶提供帳號、密碼或信用卡資料等...機密信息的話,你就要考慮使用SSL憑證了。 因為SSL憑證可以保證網站的機密信息從用戶瀏覽器到服務器之間的傳輸是受到高強度加密傳輸的,而且是無法被非法竊取和非法篡改的。 如此,你的客戶才有信心在你的網站填寫他們個人的機密資料。你在申請並購買SSL憑證後就可以在你的網站上安裝你的SSL憑證。你的客戶就可以通過HTTPS協定訪問你的網站了。這時視窗的右下角會有一個金色的鎖型圖示 ,這就表示已經進入資料保密區並且客戶的資料已受到了SSL 128bit 安全加密程序的保護了。 |
|
|
|
| 14﹒我的網站安裝SSL憑證,用戶端如果是安裝Windows Vista ,是否會有安全性或不相容等問題? |
如果你的網站是安裝由未被信任的憑證機構(例如:自建CA)所簽發的SSL憑證時,用戶端的電腦瀏覽您的網站時將會顯示安全性的警告訊息,如下列:
此網站的安全性憑證有問題。此網站出示的安全性憑證並非由信任的憑證授權單位所發行。
安全性憑證問題可能表示其他人可能正在嘗試欺騙您,或是攔截您傳送到該伺服器的任何資料。
我們建議您關閉此網頁,而且不要繼續瀏覽此網站。
解決方法 1
將這種自我簽署的憑證安裝在用戶端的電腦:
| 1. |
按一下 [繼續瀏覽此網站 (不建議)]。紅色的 [網址列] 和憑證警告隨即出現。 |
| 2. |
按一下 [憑證錯誤] 按鈕,開啟資訊視窗。 |
| 3. |
按一下 [檢視憑證],再按一下 [安裝憑證]。 |
| 4. |
在出現的警告訊息上,按一下 [是],安裝憑證。 |
注意 在 Windows Vista 中,當您使用 Internet Explorer 7 時,這樣的自我簽署憑證也會發生相同的問題。由於Vista安裝憑證時,會有系統管理員權限執行的問題,如果要執行這項操作,請用滑鼠右鍵按一下 Internet Explorer 圖示,然後選取 [以系統管理員身分執行],否則您將無法使用安裝憑證的選項。
解決方法 2
將這種出現非安全性警告的網站 URL 新增至「信任的網站」安全性區域。如果要執行這項操作,請依照下列步驟執行:
| 1. |
在 Windows Internet Explorer 7 中,按一下 [工具] 功能表中的 [網際網路選項]。 |
| 2. |
按一下以選取 [安全性] 索引標籤。 |
| 3. |
按一下以選取 [信任的網站],再按一下 [網站] 按鈕。 |
| 4. |
在 [將此網站加到該區域] 方塊中輸入 URL,然後按一下 [新增]。 |
| 5. |
按一下 [關閉]。 |
| 6. |
按一下 [確定]。 |
其他相關資訊
當使用者在 Microsoft Internet Explorer 6 中嘗試連線到安全網站時,可能也會收到警告訊息,如下列:
您與這個網站交換的資訊,其他人無法檢視或變更。不過,網站的安全性憑證有問題。
這個安全性憑證是由您尚未信任的公司所發出。請查閱憑證來決定您是否信任憑證授權單位。
安全性憑證日期有效。
安全性憑證名稱和您要檢視的網頁名稱相符。
不過,Internet Explorer 6 會在跳出訊息視窗顯示警告訊息。
資料來源: |
|
|
|
| 15﹒什麼時候需要申請憑證廢止? |
如果您的SSL憑證尚未到期卻不再需要使用或是憑證記載內容已與現況不符需要變更,例如:公司名稱變更或網域名稱改變,或者懷疑、證實憑證的私密金鑰遭到破解或是你己忘記私密金鑰的密碼等情形,您可以辦理憑證廢止申請。如果SSL憑證已到期,憑證將因為效期到期,而直接失效,不需要申請憑證廢止。 |
|
|
|
|
|
|
|
| 18﹒我要如何在我的網站加入SSL憑證安全認證標章? |
您收到SSL憑證時,Email通知信會附上認證網頁連結以及安全認證標章,您只需要將標章於網站適合的地方加入並貼上下述說明連結,這樣使用者就可以查詢您的網站憑證狀態,也代表SSL網路安全協定,傳輸資料時會先加密。
<A href="認證網頁連結">
<img src="/ePKI安全認證標章圖檔" border="0" alt="中華電信通用憑證管理中心">
</A> |
|
|
|
|
|
| 20﹒什麼是SGC憑證(Server Gated Cryptography (SGC) Certificate)? |
SGC憑證,所謂可強制達到128 bits加密技術的憑證,為憑證欄位中多了Extended Key Usage擴充欄位項目。
根據微軟TechNet資料
A SGC certificate has the following entries in the Extended Key Usage extension field:
‧ 2.16.840.1.113730.4.1 (the OID for Netscape SGC)
‧ 1.3.6.1.4.1.311.10.3.3 (the OID for Microsoft SGC)
SGC是美國政府對於密碼模組出口的管制時期(2000年以前,美國出口的軟體中所含的密碼模組之加密強度不得超過40/56 bits),因應一些銀行金融交易確實需要較好的加密強度來保護,而特別開放給銀行金融機構申請的一種特殊憑證,而且只允許少部份憑證機構才可以發這種憑證。申請這種SGC憑證的用處是告訴Client端的瀏覽器其Server端是一個經過特別許可的金融機構,而讓Client端
把128 bits的加解密模式enable起來(以前出口版的IE及Netscape瀏覽器其實都含有
Strong Crypto Module,只是在一般的連線種是被Disable的)強制達到128 bits加密技術。
但是美國政府在2000
年以後已經取消了對密碼模組出口的管制,所以現在新出了瀏覽器版本都已經是可以支援到128 bits以上的對稱式加解密了,即是是舊版的IE及Windows作業系統,微軟也都有提供patch檔,讓用戶把密碼模組升級到支援128 bits加解密。
合理的推斷是可能99.9%以上的客戶之瀏覽器及作業系統都已經支援128 bits加解密了,所以如果為了申請SGC憑證而花了更多錢(SGC SSL憑證可能比非SGC SSL
憑證貴上兩倍),結果可能只有對其少於0.1%客戶有提高加密強度的效果,這樣所增加的憑證費用是否值得?其實,對於這些少於0.1%的客戶(仍然守著Windows 98或Windows
2000 with IE5的客戶),網站經營者大可以在其Web Server上設定只要客戶端無法使用
128 bit強度的加解密來建立連線時,就show出畫面告訴客戶其瀏覽器或作業系統的加密強度不足,然後引導用戶去升級其瀏覽器或作業系統,這樣其實也不一定要申請SGC憑證。因為面對超貴的SGC certificte價格時,就會好好想一想是不是值得花這個錢,而且如果他們知道用了SGC certificte之後可能反而會造成某些版本的瀏覽器無法連線的話,那可能就會覺得更不值得了。 |
|
|
|
|
|
| 22﹒若不更換主機,請問同一台伺服器上要如何替換新舊SSL的憑證? |
如果是使用Apache Server等伺服器,可在不同目錄下產製金鑰對,產生憑證請求檔,等收到新申請的SSL憑證後,再安裝至新的目錄,並移除舊的私密金鑰與SSL憑證。
如是是使用IIS Server等伺服器,必須先將舊的SSL憑證與私密金鑰匯出備份(以密碼保護的PKCS #12檔案,附屬檔名為pix),產製新的金鑰對,製作新申請的憑證請求檔後,再將剛剛備份出的舊SSL憑證與私密金鑰安裝回去,繼續提供線上服務,等收到新的SSL憑證後,再將新憑證與新私密金鑰匯入伺服器取代舊的私密金鑰與憑證。
|
|
|
|
|
|
| 24﹒請問有SSL憑證免費試用期嗎? |
您向中華電信通用憑證管理中心申請下來的SSL憑證後,擁有30天的鑑賞期,申請方式為先使用後付款。若於鑑賞期或繳費期限過後仍未付款,本中心將自動廢止您的憑證。 |
|
|
|
| 25﹒請問線上填寫SSL憑證申請表,網域名稱與公司名稱填寫有誤? |
線上申請表的網域名稱必須填寫與申請SSL憑證的網站名稱一樣,也就是產生憑證請求檔時,Domain Name填寫publicca.hinet.net,申請表的網域名稱也請填寫publicca.hinet.net,填寫錯誤的話,將無法申請憑證。線上申請表的公司名稱也必須填寫正確,這樣憑證內顯示的識別名稱(DN)才能無誤,同時公司負責人名稱也需為申請網域的所有人,否則無法申請憑證。 |
|
|
|
|
|
| 27﹒請問多網域SSL憑證之用途?預設之網域名數量?超過時需要額外之費用嗎? |
多網域SSL憑證(HiNet UC SSL 憑證)可提供諸如Exchange 2007 Server 或Office Communications Server使用,每張多網域SSL憑證預設可註記3個不同的網域名稱於憑證主體別名(Subject Alternative Name)之憑證擴充欄位)。超過3個網域名稱時,需要再額外申請單個網域名的授權使用費,依照不同的憑證效期而有優惠折扣,敬請參考SSL憑證定價網頁說明選購。 |
|
|
|
|
|
| 29﹒請問Exchange 2007 server應申請哪一種SSL憑證? |
因為Exchange 2007所用的憑證必須為 ”single certificate to support multiple domain names, host names and server applications”,歡迎向本憑證管理中心申請多網域憑證(也稱為HiNet UC SSL 憑證)。
這種多網域憑證,業界也有稱為聯合通訊憑證(UC憑證)或SAN憑證,其中,UC是Unified Communication之縮寫,SAN是憑證主體別名(Subject Alternative Name)之縮寫。每張多網域憑證可簽3個不同的網域名(Domain)服務(註記在憑證主體別名欄位),若超過則需要再額外申請單個網域名的授權使用。
以前瀏覽器都只會去比對憑證主體名稱(Subject Name)之Common Name中的Domain Name,現在大部分的瀏覽器或SSL Client端軟體都另外也會去比對記載於憑證主體別名擴充欄位中的DNS名稱 (使用dnsName子欄位),例如Outlook軟體連接到Exchange Server時,就是使用這種模式。 |
|
|
| |