提到 PKI 或「用戶端憑證」,很多人腦海可能會浮現企業在忙碌地保護並完成客戶的線上交易的畫面,而此等憑證已以各種形式出現在我們的日常生活中:登入至 VPN 、在自動櫃員機使用金融卡、使用門禁卡進入大樓、在倫敦都會區使用 Oyster 公用交通智慧卡,例子比比皆是。 這些數位憑證甚至出現在汽油幫浦、汽車組裝生產線的機器人,以及我們的護照中。
在歐洲大陸以及許多所謂的「新興國家」,由於政府發行可支付當地稅金、電費帳單以及可當作駕駛執照等多功能 ID 卡,用戶端憑證的使用尤其普遍。 這樣做的原因很簡單 - 用戶端憑證在確保人們的線上安全上扮演著至關重要的角色。 顧名思義,憑證用於 識別用戶端或使用者的身份, 向伺服器證明用戶端的身份並準確建立身份。
伺服器或SSL 憑證與用戶端憑證用途非常相近,只是前者驗證網站的擁有者,而後者用於識別用戶端/個人。 伺服器憑證通常核發給主機,主機可能是一個機器名稱 (比如「XYZ-SERVER-01」),也可能是網域名稱 (比如「www.digicert.com」)。 網頁瀏覽器存取伺服器並驗證 SSL 伺服器憑證是否真實。 這會告訴使用者他們與網站的互動沒有被竊取,網站亦非造假。 這對於電子商務來說非常重要,所以現在憑證的使用才會如此普遍。
它們是如何運作的? 在實際使用中,網站作業人員將透過向憑證供應商提出憑證簽章請求來取得憑證。 這是一份電子文件,其中含有所有基本資訊:網站名稱、聯絡人電子郵件地址與公司資訊。 憑證供應商為此請求簽章,產生公用憑證,而此憑證用於連線至該網站的任何網頁瀏覽器,最重要的是,向網頁瀏覽器證明該供應商向其認為是網站擁有人的人士核發了憑證。 但是,在核發憑證之前,憑證供應商將為來自公用網域名稱登錄器的網站請求聯絡人電子郵件地址,並對照憑證請求中提供的電子郵件地址檢查已公佈的地址,確保信任循環已封閉。
此外,您可以配置網站讓想要連線的任何使用者都得提供有效的用戶端憑證及有效的使用者名稱與密碼。 這通常被稱為「雙因素驗證」,在本例中即為「您知道的事物」(密碼) 與「您擁有的事物」(憑證)。
對於在網頁上進行交易的人,憑證意味著不可再匿名,而且還要提出擔保此人是您可以信任的人;保證他們沒有冒用身份。 在線上世界裡,我們的安全不斷遭到挑戰,這樣的保證是非常寶貴的。
無論您是個人還是公司,您在處理線上安全問題時,應該使用與居家或企業的實體安全相同水準的安全措施。
本指南將為您揭開相關技術上的神秘面紗,為您提供所需資訊,以協助您在思考網路安全選項時作出明智決策。
在 Twitter 上 @Threatintel 掌握威脅情報
在 YouTube 頻道上收看影片,瞭解 DigiCert Website Security