你可能不知道的憑證大小事

大家購買了SSL憑證之後呢,是不是想要檢查一下安全程度如何呢~?我在下面介紹了一些網站可以拿來分析憑證的狀態喔,本文介紹了憑證的附加資訊,包含了CT、憑證鏈(Certificate Chain)、憑證透明化(Certificate Transparency,CT)、撤銷紀錄(Revocation status)甚至是網頁認證標章。

先說一下安裝憑證要注意的地方,首先是憑證鏈,中繼憑證(Intermediate Certificate)的配置是很重要的,因為系統如果有看過的話會記錄下來,不配置也不會出現錯誤,但是如果你的訪客是第一次看到的話就會出現錯誤拉~所謂中繼憑證(Intermediate Certificate)是經過上層憑證背書的證書,例如某憑證商底下有免費憑證與商用憑證兩個部門,你購買了一個商用憑證,憑證只會顯示它是由商用部門簽發,但是系統不認得…..所以你需要展示一張憑證是憑證商root憑證授權商用憑證部門簽發,這樣的一個關係我們稱之為憑證串或是憑證鏈(Certificate Chain)。

certchain

上面的範例是這個網站的憑證,憑證主體是52uu.info,中繼憑證是StartCom Class 2 IV Server CA,最後受到公信的是StartCom Certification Authority,因為是root憑證,所以是自我簽屬(Self-signed),同時中繼憑證受到兩張root憑證的背書,可以增加相容性以及可信度。
以上是安裝憑證的部分,此外憑證還有憑證透明化(Certificate Transparency,CT)與撤銷紀錄(Revocation status),更進階的話會有互動式網站認證標章。

首先是憑證是否安裝好的檢查~這個檢查涵蓋了CT、Revocation status、Certificate Chain甚至網站相容性,可以說是很完善的檢查了,請進入ssllabs他會幫你分析網站的SSL狀態。
CT是指說憑證簽發的當下就會被送到公正的第三方資料庫進行記錄,因為是第三方資料庫,所以多了一層保障來避免CA惡意偽造簽發日期。
一般來說申請憑證需要CSR,所謂的CSR是憑證申請要求,如果我沒記錯的話,在你的電腦產生CSR時會一併產生相對應的密鑰,CA收到CSR後會用他的憑證作出背書的動作,你就可以拿到一個經過CA背書的憑證並且放在網站展示給別人看了,用該憑證加密的資料只有成對的私鑰可以解密,所以用戶透過SSL通訊就不會被竊聽了;同時用戶可以用公鑰(Public key)來驗證資料是否真的是從你的網站來的。

發佈留言