如何檢測網站SSL憑證安全等級？

 

隨著網路的普及化，人們的食、衣、住、行、育、樂幾乎都離不開使用網路來下單購買，相對也衍生出網路資訊安全的問題。如果網站不夠安全，很可能導致資料外洩，特別是網站有會員登入、金流系統…等，或者是在購物網站進行線上交易時最容易發生信用卡資料被竊取等。那麼該如何檢測網站SSL憑證是否在安全等級呢？

 

現在一起跟著歐斯瑞來看看Qualys SSL LABS這個工具吧！

 

SSL憑證是什麼？

SSL憑證在如何評估您的網站處於優勢或劣勢？文中的安全(SECURITY)裡有提及到，SSL是用在網頁伺服器與瀏覽器之間建立加密連接的標準安全技術，以確保在傳遞數據資料時保有加密性。

 

Qualys SSL LABS教學

 

Step 1 :  在Qualys SSL LABS 網站上輸入要檢測的網站網址，輸入完後點擊“Submit"。

 

Step 2 :  接下來會開始進行分析並顯示結果。

 

Step 3 : 分析完後，你可以在下方看到有關SSL憑證的相關資訊。

 

Step 4 : 若分析出來的結果不是落在A等級以上，那麼請參考在Summary表中的長條圖及下方的說明或是點擊 MORE INFO » 做更進一步的了解，如下圖。

等級說明：

• A+：優良的配置。
• A：可接受(健全)的商業安全。
• B：適用於當前客戶的安全性，也適合可能使用過時加密的老客戶，此外有較小的配置問題。
• C：當前客戶使用過時的加密或是配置有較大的問題，如：過時的配置。
• D：配置與安全問題。
• E：未使用。
• F：可開發的和/或可修補的問題、配置錯誤的伺服器、不安全的協議等。

從等級來看，A+顯然是最好的安全等級，而A和B是有足夠的商業安全，屬於可接受的範圍；C等級通常用於保留給時間之後的配置，D與F則是用於有嚴重配置及安全性問題的伺服器。

 

但在某些情況下不適合歸納在這些等級內，所以將它歸納在T等級，原因是憑證不受信任。它與F的差別在於伺服器沒有公開信任的憑證及配置明顯有問題，簡單來說就是伺服器的TLS配置不適用於。

 

以上就是本篇對檢測網站SSL憑證安全等級Qualys SSL LABS的介紹，希望能藉由等級的區分讓您清楚地了解您網站在安全性上是否有需要改善或提升的地方，好讓您的網站更加安全、可靠與被信任。

 

Qualys SSL LABS

網址：https://www.ssllabs.com/ssltest/

 

等級說明參考網址：SSL Labs Grading: Version Two Preview 1