| 2﹒申請SSL憑證前,對於網域名稱之效期有何需要注意之事項? |
依據CA/Browser Forum 第46次面對面工作會議Google Ian Foster之專題演講有關Bygone SSL憑證議題,請配合以下事項:
| A. |
當網域名稱的效期小於30天,本管理中心不核發SSL憑證。請向網域名稱受理註冊機構如HiNet域名註冊,續購網域名稱。 |
| B. |
對於已核發且有效之SSL憑證,本管理中心若查核發現其記載之網域名稱為「未註冊」,本管理中心將發送廢止通知到該憑證之技術聯絡人的電子郵件信箱。 |
| C. |
前述廢止通知發送經過72小時後,本管理中心會再次確認,如該網域名稱狀態仍為「未註冊」,將遵循CA/Browser Forum之規範,於48小時內廢止該張SSL憑證,且無法退還憑證的殘值。 |
| D. |
請留意,多網域SSL憑證因前述原因被廢止,則該張憑證註記之所有網站名稱的SSL憑證將「同時失效」。 |
| E. |
如果您在SSL憑證被廢止後完成網域名稱的續購,可依本網站【SSL憑證申請流程說明】重新遞交申請資料,經審查正確後可核發1張新的SSL憑證,效期與原憑證到期日相同,且不收取任何費用。 |
|
|
|
|
| 3﹒請問線上填寫SSL憑證申請表,完全吻合網域名稱與公司名稱填寫有誤? |
線上填寫SSL憑證購買申請書,必須填寫網域擁有者所能控制的網站名稱(完全吻合網域名稱)與公司/組織名稱,憑證註冊審驗窗口會查證憑證中註記的網站名稱(完全吻合網域名稱)與公司/組織名稱之擁有者與資料正確性,若登打錯誤,可重新上傳SSL憑證購買申請書之資料。這樣後續憑證內顯示的唯一識別名稱(Distinguished name, DN)之公司/組織資訊才能無誤,憑證主體別名所註記的網站名稱也才能吻合網友瀏覽貴公司/組織於瀏覽器位置列所輸入的網址而不會有告警訊息。若您採書面申請,提供清楚可供辨識之申請書及公司/組織佐證資料電子檔後發現申請書資料填寫錯誤,請與本中心聯繫,並e-mail caservice@cht.com.tw 授權本中心協助您更正資料。 |
|
|
|
| 4﹒請問何謂"以憑證IC卡數位簽章投單申請SSL憑證”? |
此種方式申請SSL憑證可以全程數位化,不必使用紙本申請,只要申請資料正確能夠最快取得SSL憑證。
依據ePKI憑證政策V1.1版第3.2.2組織身分鑑別之程序一節,硬體裝置或伺服器軟體憑證申請資料透過GPKI或ePKI核發之保證等級第3級組織憑證簽章時,代表人不需親臨辦理,憑證機構或註冊中心將驗證申請資料之數位簽章。
"以憑證IC卡數位簽章投單申請SSL憑證”所支援的憑證種類詳如下表:
此功能於2015年6月中上線後,除了可以促使申辦SSL憑證全程電子化,並可解決過往部分公司/組織蓋用符合公司登記事項卡、公司變更登記事項卡、組織立案證書或法人登記證書上的大小章於SSL憑證購買申請書紙本不正確,必須更正補件的問題,並增加GPKI/ePKI保證等級第3級憑證IC卡之應用領域。
因各家瀏覽器大廠均無提供標準跨廠牌之瀏覽器元件,多家瀏覽器也因安全理由,宣布逐步不支援NPAPI的共用介面,包括Google於2015年9月份發布Chrome第45版瀏覽器時,完全移除NPAPI的支援,故2015年用戶端的瀏覽器IC卡元件在設計上採IE所支援的COM元件設計。至2016年6月中旬改提供 HiPKI Local Server跨瀏覽器簽章元件可支援Windows、Mac及Linux(64)上諸如IE、Chrome、Firefox及Safari等瀏覽器上數位簽章投單申請。
請於備妥SSL憑證請求檔並於線上填寫SSL憑證購買申請書時,將電腦連接讀卡機與插入憑證IC卡,勾選 「以憑證IC卡數位簽章投單(請先安裝元件) 」,請先點選安裝之超連結,依照您所使用之作業系統下載與安裝HiPKI Local Server跨瀏覽器簽章元件,點選「加入信任網站以及進行IC卡檢測」後回到憑證申請與登打之網頁,輸入IC卡片密碼並點選「驗證憑證」按鈕,系統將檢查憑證之正確性與有效性,接下來完成申請表單頁面之登打與貼上憑證請求檔,並點選下方之確認資料與上傳,系統收到相關資料將會由本管理中心人員審驗您的憑證申請。 |
|
|
|
| 5﹒憑證到期前會收到通知嗎? |
本中心於憑證到期前33天開始,每隔11天會發Email通知原申請的技術連絡人申請SSL憑證。也就是到期前33天、22天、11天與到期前1天會通知。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 13﹒我要如何在我的網站加入SSL憑證安全認證標章? |
您收到SSL憑證串鏈檔案電子郵件時,E-mail通知信會附上安全認證標章圖檔與安裝語法,您只需要將標章於網站適合的地方加入並貼上下述語法超連結,使用者就可以查詢您的網站憑證狀態,也代表啟動SSL網路安全協定,傳輸資料時會先加密。
<a href="javascript:location.href='https://ra.publicca.hinet.net/SSLQueryCert/
SSLQueryCert.jsp?Domain_name='+document.location.hostname">
<img src="SSLSeal.gif" width="90" height="126" />
</a> |
|
|
|
| 14﹒請問我從憑證技術聯絡人之電子郵件地址轉寄之SSL安全標章語法,但安裝不成功,要如何解決? |
若以Gmail轉寄給網站伺服器管理者之SSL安全標章語法語法可能有某些HTML Tag會被增刪,請參考網站之說明或如下語法:
<a href="javascript:location.href='https://ra.publicca.hinet.net/SSLQueryCert/
SSLQueryCert.jsp?Domain_name='+document.location.hostname">
<img src="SSLSeal.gif" width="90" height="126" />
</a> |
|
|
|
|
|
|
|
| 17﹒什麼時候需要申請憑證廢止? |
如果您的SSL憑證尚未到期卻不再需要使用或是憑證記載內容已與現況不符需要變更,例如:公司名稱變更或網域名稱改變,或者懷疑、證實憑證的私密金鑰遭到破解或是您己忘記私密金鑰的密碼等情形,您可以辦理憑證廢止申請。如果SSL憑證已到期,憑證將因為效期到期,而直接失效,不需要申請憑證廢止。 |
|
|
|
|
|
|
|
| 20﹒若不更換主機,請問同一台伺服器上要如何替換新舊SSL的憑證? |
如果使用Apache Server等伺服器,可在不同目錄下產製金鑰對,產生憑證請求檔,等收到新申請核發的SSL憑證後,再安裝至新的目錄,並移除舊的私密金鑰與SSL憑證。
如果使用Microsoft IIS Server等伺服器,必須先將舊的SSL憑證與私密金鑰匯出備份(以密碼保護的PKCS #12檔案,附屬檔名為pfx),產製新的金鑰對,製作新申請的憑證請求檔後,再將剛剛備份出的舊SSL憑證與私密金鑰安裝回去,繼續提供線上服務,等收到新的SSL憑證後,再將新憑證與新私密金鑰匯入伺服器取代舊的私密金鑰與憑證。 |
|
|
|
|
|
| 22﹒請問我要如何知道SSL憑證之申請進度? |
除了來電或寫電子郵件詢問中華電信通用憑證管理中心外,可利用SSL憑證申辦進度查詢。
憑證之申辦狀態訊息如下:
| 1. |
用戶已上網登打SSL憑證購買申請書並投單,但憑證註冊審驗人員尚未收到用印之SSL憑證購買申請書與身分證明文件(紙本)。 |
| 2. |
憑證註冊審驗人員已收到SSL憑證購買申請書與身分證明文件(紙本)。 (註) |
| 3. |
請技術聯絡人至電子郵件信箱進行憑證接受。 |
| 4. |
已接受SSL憑證,待註冊審驗人員請憑證管理中心簽發憑證。 |
| 5. |
此張SSL憑證已簽發:請依照技術聯絡人所收電子郵件將憑證串鏈與SSL安全認證標章裝於您的伺服器。 |
| 6. |
此張SSL憑證已過期失效。 |
| 7. |
用戶拒絕接受此張SSL憑證之簽發。 |
| 8. |
此張SSL憑證已遭廢止。 |
| |
|
| 註 |
:若需請用戶補件,可能之訊息包括但不限於: |
| |
A. |
查無此統一編號的相關資料,請提供「統一編號編配通知書」影本。 |
| |
B. |
填寫錯誤的網站名稱格式,請手寫更正申請書,並於塗改處加蓋承辦人章。 |
| |
C. |
查詢網域所有人(Registrant)非申請之組織,請提供該網域所有人之「委託代理申請SSL憑證授權書」正本。 |
| |
D. |
查詢網域所有人(Registrant)之公司英文名稱拼法有誤,請更新此欄位資訊,同 貴公司在國際貿易局出進口廠商管理系統登記之廠商英文名稱。 |
| |
E. |
查詢網域所有人(Registrant)為註記公司英文名稱,請提供「公司登記資料的英文證明書」影本。 |
| |
F. |
比對申請書內容與上傳資料不符,請於正本申請書修改處補蓋承辦人章。 |
| |
G. |
比對申請書之用印,與貴公司設立/變更登記表首頁印鑑不符,煩請補蓋正確印鑑。 |
| |
H. |
貴公司提供之公司設立/變更登記表影本為舊版(版本資訊依照查證申請資料時,經濟部商業司網站公告的狀態為準) |
SSL憑證申請之技術聯絡人也會收到憑證註冊審驗人員之電子郵件或電話提醒補件。 |
|
|
|
| 23﹒何謂OCSP Stapling?有哪些網站伺服器有支援OCSP Stapling? |
用戶每次連線SSL網站服務,就得向憑證管理中心之線上憑證狀態查詢服務(Online Certificate Status Protocol, OCSP)伺服器確認該張SSL憑證是否有效。
為了加速高流量SSL網站的SSL憑證之驗證,以完成即時線上SSL憑證狀態之驗證作業,故有OCSP Stapling運作機制。
藉由SSL網站服務伺服器向 OCSP 伺服器索取一次有”時間限制”的 OCSP Response訊息(例如兩小時,仍比憑證廢止清冊每隔一天發佈來得短)之後,下次該SSL網站服務直接回傳此OCSP Response給予用戶 (通常為瀏覽器),以避開了前述狀況。此種機制藉由SSL網站直接提供用戶由CA OCSP伺服器數位簽章之SSL憑證有效性訊息,也避免OCSP伺服器可能得知有哪些用戶嘗試瀏覽該SSL網站的隱私疑慮。
請網站管理者參考RFC4366與伺服器之手冊設定將線上憑證狀態查詢服務(OCSP)之回應訊息於TLS Handshake時提供。OCSP回應訊息於TLS Handshake時提供也具有針對存取受限制之網路節節省另外下載檔案較大之憑證廢止清冊所需頻寬的優點,故此種OCSP訊息算是一種暫存之OCSP回應訊息(Cached based OCSP response)。
伺服器端有支援OCSP Stapling的至少有IIS 7(含)、Apache HTTP Server 2.3.3版(含)或Nginx 1.3.7版(含)、LiteSpeed Web Server 4.2.4與以後之版本、HAProxy (第1.5.0版)支援,F5 Networks BIG-IP(11.6.0版)。Nginx之OCSP Sapling設定可參考本憑證管理中心提供的”Nginx Server SSL服務啟動與執行OCSP Stapling”。
在瀏覽器端Firefox自26版有支援OCSP stapling,微軟的Internet Explorer自Windows Vista作業系統開始支援OCSP Stapling。
OpenSSL project在Mozilla之協助下自0.9.8g開始支援OCSP Stapling。
參考網頁:維基百科:OCSP Stapling。 |
|
|
|
|
|
| 25﹒請問貴憑證管理中心對於憑證透明度之支援? |
關於憑證透明度(Certificate Transparency, CT)之支援,本管理中心於2017年10月到2018年4月採用RFC 6962建議採用之OCSP裝訂(OCSP Stapling)機制進行憑證時間戳記(Signed Certificate Timestamp, SCT)傳輸,因此不嵌入SCT於憑證中。OCSP Stapling為唯一符合以下條件之SCT傳輸機制:當憑證透明度日誌(CT Log Server)被破解或者不被接受時,本管理中心可不用額外重發憑證,並且憑證主體端之網頁伺服器可不受影響;當憑證透明度日誌運作正常時,本管理中心可不用改變原本憑證簽發流程,將SCT相關資訊嵌入於OCSP 回應訊息擴充欄位。此機制有以下限制:採用OCSP Stapling客戶端網頁伺服器須啟用組態設定;由於部分伺服器不支援OCSP Stapling,因此須於前端加上支援OCSP Stapling的網路交換器或網頁伺服器,然而至今仍有少數非主流網頁伺服器不支援OCSP Stapling;當憑證簽出後一旦任何時間點客戶送出OCSP請求要確認CT支援狀態時,本管理中心須確保詢問當下所介接的憑證透明度日誌狀態仍然正常。
著眼於此,於2018年5月本管理中心採用CA/Browser forum建議採用之Embed SCT機制進行SCT傳輸,因此會先透過預簽Pre-certificate方式向複數個憑證透明度日誌分別取得SCT後,再將SCT串列嵌入目標憑證後才簽發給與用戶。根據目前最新版Google CT政策,採用Embed SCT可以達到以下好處:SSL憑證客戶可以無感的以過去申請憑證方式取得符合CT規範的SSL憑證,因此無需進行任何額外網頁伺服器組態設定;本管理中心雖然須改變以往的憑證申請流程,並且須等待SCTs回傳後才能簽發憑證,但僅須確保憑證簽發當下所介接的憑證透明度日誌狀態正常,因此可不受日後憑證透明度日誌狀態變更所影響。著眼於此,本管理中心採用當前最為普遍採用的Embed SCT機制進行SCT傳輸,簽發符合CT規範的SSL憑證。 |
|
|