安全憑證的疑問
Monday, June 9, 2008
就來出來的 Firefox 3 在處理網頁安全時有更嚴格的規定,例如我們用 https 連接一些網站時,Firefox 會驗查伺服器發出的「安全憑證」是不是一張「受到信任」的憑證。一張受信任的憑證,通常都會由一些認可的憑證機構 (Certificate Authority) 簽發,來證明你所連接的網站就是其本身。例如你用 https 連接 Gmail 的時候,就可以點其 Favicon 查詢憑證機構:
通常瀏覽器會有一堆認可的憑證機構清單,來確認網站的憑證。
如果我沒有記錯,要這些機構替你的網站簽發憑證,是要錢的。對於一些內聯網站或機構,則可能使用「自我簽發」(Self-signed) 的憑證,來提供安全加密,這是不用錢的。而因為自我簽發的憑證,並沒有認可,所以在新的 Firefox 版本裏,會出現這個畫面:
如果有留心的話,以上畫面是來自 gov.hk 的網站,實際上是我連接「稅務易」時看到的畫面。當然,只要將政府網站加入例外,就可以繼續下去了。但究竟政府的憑證,是該付錢給憑證機構簽發?還是用郵政局發出的「自我簽發」的就可以了?
Update: Clement 解了一些問題:「他們 (郵局) 發的伺服器證書是根據嚴謹的CPS簽發的,並在電子交易條例下認可的。技術上可能與「自我簽發」證書無異,但法律保障可不同。」
