如果你還對 2020 年發生的特斯拉事件至今記憶猶新,但對其損失沒有概念的話,可以到網路找到《 Enterprise digital certificate management security survey 2019 》的權威報告統計,數據上顯示 74% 的企業都曾經歷過網站憑證過期導致停機,並每個企業平均損失超過 1100 萬美元。
但網站憑證過期事件不只會發生在商家、企業,甚至是政府組織機構都逃不掉網站憑證過期的危機,近年在新聞中每隔一段時間就會看到有企業因為網站憑證過期,產生停機損失。
接著,就來了解一下為什麼 SSL 憑證要有期限?過期會有什麼影響?如何避免網站憑證過期?真的過期怎麼辦?
為什麼 SSL 憑證要有期限?
SSL 憑證有兩項最主要的作用,一是資料加密,保護瀏覽者在網站留下的所有資訊,不需要擔心個人資料外洩,二則是身分驗證,確認與瀏覽者互動的網站,所有權仍為企業商家,而後者正是 SSL 憑證要有期限的真正原因。大多數企業的網站憑證申請都需要繳交資料以證明申請的身分,從而保障網站的真實性。
【 延伸閱讀 】SSL憑證是什麼?你的網站一定要申請嗎?
但企業身分並非永不更動,可能會面臨售出、解散、停業,如果沒有定期針對網站身分進行核實,便無法防止網站被拿來不當運用,並且網路科技的進步,過往的網站憑證保護也很容易趕不上網路攻擊技術的精進,才會要求網站憑證必須要有期間限制,由內而外避免惡意利用。
網站憑證使用期限從最早的8年、5年、39個月、27個月,到瀏覽器平台在2020年宣布的398天,為的就是因應快速變化的電腦運算技術,當破解的速度追上保護的技術,憑證的存在將毫無任何作用可言,而瀏覽器平台也無法確保每一次網站瀏覽的安全性,容易直接引發網路生態危機。
網站憑證過期會有什麼影響?
網站憑證一過期,意味著網站與瀏覽者之間的傳輸數據會處於能夠被竄改、監聽、洩漏的狀態,而瀏覽器就會在瀏覽者訪問網站之前,先以彈跳視窗提示「您連線不是私密連線」等警告,阻止瀏覽者進入網站,而現在一般的瀏覽者也對這些警告保有警惕心理,多半不會再要進入網站,反而會去搜尋其他替代品,長久下來就會造成潛在顧客的大量流失。
對於企業商家來說,網站憑證過期不僅是對形象、知名度的傷害,在銷售層面的損失更甚,尤其若你是提供APP端或金流系統的企業商家,遇到 SSL 憑證過期的問題,卻沒有在最短時間解決問題,下一次無論商家、企業或個人要與你合作,猶豫期都會拉長許多。
如何避免網站憑證過期?
基本上網站憑證只是眾多接觸點中的一顆小螺絲,但其管理流程卻繁瑣的不得了,從簽發到續簽、替換和吊銷等,需要消耗較多的人力與時間成本,現在還需要一年處理一次,直接將管理難度提升到地獄等級。
所以企業商家如果需要自行管理網站憑證,最好的辦法就是找到合適的憑證管理平台或憑證管理工具,這些都能有效縮短你在管理、續約網站憑證的時間成本,減少處理流程錯誤的風險。
而網站是由網頁設計公司架設管理的,多半也會將網站憑證續約業務納入維護範圍,在SSL憑證到期之前就會協助你完成續約程序,你只需要做最簡單的確認,輸入網址查看是否為HTTPS開頭,或使用網站憑證檢測工具檢查即可。
那麼假設網站憑證真的過期怎麼辦?網站憑證過期的情況真實發生,最立即性的處置即是立刻想辦法完成續約程序,讓網站的一切迅速恢復正常,尤其是擁有金流系統的網站,拖上一秒、喪失的可不只是一個顧客訂單而已。
網站 SSL 憑證檢測工具操作步驟
若僅憑檢查網址還無法止住你的擔心,也可以照著以下步驟利用SSL憑證檢測工具再次確認網站憑證是否安裝完畢。
第一步:複製自己網站的網址到SSL Checker ,以龐果設計舉例就是複製「https://www.pongo.com.tw」這一段網域名稱至頁面,並按下帶有 SSL Check 字樣的檢查按鈕。
第二步:SSL 憑證檢測工具會自己去抓取數據,並列出其網域名稱的IP位址、伺服器類型、SSL憑證供應商、到期日…等憑證資訊,只要資料呈現的沒什麼大問題,網站憑證就確實安裝完畢了
除了網站憑證,還有它也會過期…
如果在購買時忘記將自動續約或續約提醒開啟,你的網域名稱也會有過期風險。網域名稱視域名規範使用年限是1到10年不等,未被續約的域名也會被再次釋出,供其他人註冊使用,並其域名分數會被延續下去,等於是你之前為這個網域名稱所做的努力就會被下一個獲得該網域的拿走。
不過目前網域名稱供應商都會提供還原網域的保護措施,有60天左右的挽回期,當你意識到網站打不開的時候,就可以馬上聯絡網域名稱供應商把網域名稱拿回來。