SSL 的驗證方式

SSL/TLS 憑證的驗證等級

1. 網域驗證 (Domain Validation, DV)

這是最基本的驗證方式，也是最快取得的憑證類型。

• 驗證對象： 僅驗證申請者是否擁有或控制該網域。
• 驗證方式：
  • 檔案驗證 (HTTP/HTTPS File Validation)： CA 要求申請者將一個特定檔案上傳到網站的指定目錄，CA 會透過 HTTP/HTTPS 存取該檔案來確認網域控制權。
  • DNS 驗證 (DNS TXT/CNAME Record)： CA 要求申請者在網域的 DNS 紀錄中新增一個特定的 TXT 或 CNAME 紀錄，CA 會查詢 DNS 紀錄來確認網域控制權。
  • 電子郵件驗證 (Email Validation)： CA 會向網域註冊資訊中列出的預設郵箱（例如 admin@yourdomain.com、hostmaster@yourdomain.com 等）發送一封驗證郵件，申請者需要點擊郵件中的連結或輸入驗證碼來確認。
• 適用範圍： 個人網站、部落格、小型網站、測試環境等不涉及敏感資料或商業交易的網站。
• 優點： 頒發速度快，通常在幾分鐘內完成，費用最低。
• 缺點： 不會驗證組織的身份，因此無法確認網站背後的實際營運者是誰，信任度相對較低。

2. 組織驗證 (Organization Validation, OV)

這種憑證提供更高一層的信任，因為它不僅驗證網域控制權，還會驗證申請組織的合法性。

• 驗證對象： 驗證網域持有人以及申請憑證的組織實體。
• 驗證方式：
  • 網域驗證： 與 DV 憑證相同，需要驗證網域控制權。
  • 組織身份驗證： CA 會要求申請者提供相關的商業登記文件、營業執照等證明文件，並可能透過電話照會來確認組織的真實性和合法性。這些資訊通常會顯示在憑證中。
• 適用範圍： 中小型企業網站、電子商務網站、對網站信任度有一定要求的商業用途網站。
• 優點： 相比 DV 憑證，提供更高的信任度，用戶可以透過憑證查看組織的名稱，增加網站的公信力。
• 缺點： 頒發時間較長，通常需要 1 到 3 個工作天，費用較高。

3. 延伸驗證 (Extended Validation, EV)

這是最高等級的 SSL/TLS 憑證，提供最嚴格的身份驗證和最高的信任等級。

• 驗證對象： 除了網域和組織的合法性外，還會進行更深入的身份審核，確認組織的實體存在和營運狀況。
• 驗證方式：
  • 網域驗證與組織身份驗證： 包含 OV 憑證的所有驗證步驟。
  • 法律實體驗證： CA 會核實組織的法律實體狀態、註冊名稱、實際地址、電話號碼等，並會與多個政府註冊機構或第三方徵信機構進行交叉比對。
  • 經營存在驗證： 確認組織的實際運作時間和業務能力。
  • 授權聯繫人驗證： 透過電話或面對面等方式，確認申請憑證的人確實被授權代表該組織申請。
• 適用範圍： 金融機構、大型企業、電子商務平台、政府機構等需要最高信任等級，且處理大量敏感資料的網站。
• 優點： 提供最高的信任度，在瀏覽器網址列通常會顯示組織的名稱（過去常見的綠色網址列現在較少見，但仍可在憑證詳細資訊中看到），顯著提升用戶信心，有助於降低網路釣魚風險。
• 缺點： 頒發時間最長，通常需要 5 到 7 個工作天甚至更久，費用也最高。

SSL/TLS 驗證的運作流程

當您瀏覽一個啟用 HTTPS 的網站時，瀏覽器會執行一系列驗證步驟來確保網站的安全性：

1. 伺服器提交憑證： 瀏覽器向網站伺服器發送請求，伺服器會回傳其 SSL/TLS 憑證。
2. 瀏覽器檢查憑證：
   • 有效期限： 憑證是否在有效期內。
   • 數位簽章： 憑證是否由受信任的憑證頒發機構 (CA) 簽發，並檢查簽章是否有效。瀏覽器內建有受信任 CA 的列表。
   • 網域匹配： 憑證中註明的網域名稱是否與您實際瀏覽的網站網域名稱一致。
   • 憑證鏈： 檢查憑證鏈是否完整且有效，確認每個環節的憑證都是由上級 CA 正確簽發。
3. 建立加密連線： 如果憑證驗證成功，瀏覽器和伺服器就會進行 TLS 握手，安全地交換加密金鑰，並建立安全的加密連線 (HTTPS)，確保您與網站之間的資料傳輸是加密且受保護的。