Skip to content

網站 SSL 憑證 DV、OV、EV 差異性?

近期在幫企業客戶導入清洗服務時在協助調整站台SSL憑證上,遇到該企業在官方網站上特別要求憑證需要OV等級以上,只知道憑證有差異卻無法說明清楚,於是寫下此篇文章將憑證等級資訊做個總整理。

SSL憑證的好處

當瀏覽 HTTP 的網站所有傳輸的資料在網路的任何節點都是明碼傳輸,中間節點上任一人都可進行攔截並看到USER發出的帳號密碼或資訊。

圖片來源:TWCA

當瀏覽 HTTPS 的網站所有傳輸的資料在網路的任何節點都是加密傳輸,中間節點上任一人都無法解析傳輸的任何資料。

圖片來源:TWCA

憑證等級

DV (Domain validated)
網域層級驗證
OV (Organization validated)
組織層級驗證
EV (Extended validation)
延伸驗證
說明最低等級的SSL憑證,僅有網域所有權認證。公司組織等級認證,除網域認證外,還有公司資訊驗證(電話驗證)。最高等級認證,需通過網域、組織(電話)、五大會計事務所驗證,審核方式嚴謹。
價格免費/低
消費者保障消費者無法辨識網站是否為真實企業經營消費者僅能知道營運網站的企業名稱,但無法確認是否為真實企業消費者能知道營運網站的企業名稱,且也能確認是否為合法立案的真實企業
供應商GoDaddy 、或 Let’s encrypt、cPanel,等
免費憑證也屬於DV等級。
中華電信、GoDaddy、TWCA、DigiCert如:GoDaddyDigiCert

如何辨識憑證

DV 網域層級驗證

在紅框內寫著憑證有效,主旨的欄位值會有 CN 發給哪個網域。

OV 組織層級驗證

在紅框內寫著憑證有效,主旨的欄位值會有 CN 發給哪個網域和企業名稱及資訊。

EV 延伸驗證

在紅框內寫著憑證有效並且有核發對象的字,主旨的欄位值會有 CN 發給哪個網域、企業名稱資訊、最後憑證在簽發時企業的驗證資訊。

如果以台灣的銀行來說,玉山銀行的官網就是使用EV的憑證,就可以看到 jurisdictionCountryName 顯示 TW 台灣。

CN = www.esunbank.com.tw
O = E.SUN Commercial Bank, Ltd
L = Songshan District
ST = Taipei City
C = TW
serialNumber = 86517510
businessCategory = Private Organization
jurisdictionCountryName = TW

結論

對於一般網頁要提供 https 加密的服務DV、OV、EV 的憑證都沒差,但對於需要提高網站可信度來說會從 EV > OV > DV,像是銀行和重要交易(Paypal)相關網站,小編都會特別注意提供的憑證類型,有點類似金絲雀的概念。

企業如果使用免費憑證較無法標示企業來自哪裡,不過企業使用雲端服務 Cloudflare、Imperva、Google 來進行清洗或託管,套用其他憑證就有不同的管理考量。

但回歸到一般使用者端只有 http 與 https 的差異,也是 Google、Firefox 等瀏覽器拿掉了 EV 等級在網址列上的憑證標示,來進行簡化整個使用介面的複雜度。

參考來源:

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *