就來出來的 Firefox 3 在處理網頁安全時有更嚴格的規定,例如我們用 https 連接一些網站時,Firefox 會驗查伺服器發出的「安全憑證」是不是一張「受到信任」的憑證。一張受信任的憑證,通常都會由一些認可的憑證機構 (Certificate Authority) 簽發,來證明你所連接的網站就是其本身。例如你用 https 連接 Gmail 的時候,就可以點其 Favicon 查詢憑證機構:
通常瀏覽器會有一堆認可的憑證機構清單,來確認網站的憑證。
如果我沒有記錯,要這些機構替你的網站簽發憑證,是要錢的。對於一些內聯網站或機構,則可能使用「自我簽發」(Self-signed) 的憑證,來提供安全加密,這是不用錢的。而因為自我簽發的憑證,並沒有認可,所以在新的 Firefox 版本裏,會出現這個畫面:
如果有留心的話,以上畫面是來自 gov.hk 的網站,實際上是我連接「稅務易」時看到的畫面。當然,只要將政府網站加入例外,就可以繼續下去了。但究竟政府的憑證,是該付錢給憑證機構簽發?還是用郵政局發出的「自我簽發」的就可以了?
Update: Clement 解了一些問題:「他們 (郵局) 發的伺服器證書是根據嚴謹的CPS簽發的,並在電子交易條例下認可的。技術上可能與「自我簽發」證書無異,但法律保障可不同。」
用稅務易時我也有相同的疑惑…
話說郵政局也是一個 CA ,不算自我簽發吧?不過 FF3 預設是不信任它的… 如果我是商業機構,買了郵政局的 cert 但卻讓用家見到這個破壞 usability 的畫面,真是欲哭無淚啊
這個我要替香港郵政澄清一下,他們發的伺服器證書是根據嚴謹的CPS簽發的,並在電子交易條例下認可的。技術上可能與「自我簽發」證書無異,但法律保障可不同。
香港郵政的e-cert技術和其他發證機構(e.g. verisign)所發的一樣,只是verisign的root cert已預載FF3,網站如使用他們所發的cert,FF3就不會出現你所說的warning,這亦是verisign賣得貴的原因。
較為正規的做法,你應到 http://www.hongkongpost.gov.hk 下載 HKPost 的 root cert 及 CA cert 到 FF3 並設定信任,就可一勞永逸。
順帶一提,HKPost 的 root cert 幾年前已得到 Microsoft 認可,透過Windows update 會自動加入信任清單中。
很多人混淆e-cert的加密技術與信任問題,其實PKI after all 就是說信任多於技術:你信任一個CA,它所發的 cert 你就可以相信,僅此而已。「自我簽發」的 cert 就是因為沒有可信任的 source,不能謬謬然相信。
小影: 是啊,會嚇怕人呢~
Clement T: 謝,其實就是有點想問你~