• Demo
    保持交易與客戶資料隱密性

    GoDaddy

    Keep payments & customer data private
  • Demo
    創造線上信任者!

    COMODO

    Creating Trust Online
  • Demo
    您的成功來自於信任!

    digicert

    Your Success is Built on Trust
  • Demo
    保護數位認證與信息安全!

    Entrust

    Securing digital Identities & Information
  • Demo
    數位憑證的領導品牌!

    GeoTrust

    a leading certificate authority
  • Demo
    安全地溝通和交易!

    GlobalSign

    Communicate and transact securely.
  • Demo
    保護您的網站!保護您的客戶們!

    Network Solutions

    Secure Your Site!Protect Your Customers
  • Demo
    瑞士軍刀的數位認證和PKI

    StartCom

    The Swiss Army Knife of Digital Certificates & PKI
  • Demo
    最高等級的安全與身分認證

    SwissSign

    Extreme Security & Identity
  • Demo
    一個全新等級的保護和信任

    Symantec

    protect and trust to a whole new level
  • Demo
    最明顯的網站安全性標誌

    Thawte

    The most visible sign of web site security
  • Demo
    最簡單方案滿足您安全性與法規的遵從

    trustwave

    to your complex security and compliance challenges
  • Demo
    低成本,高保證的SSL證書

    instantssl

    low cost high assurance ssl certificates
  • Demo
    官網負擔得起的SSL證書及信任標章

    trustico

    Official Supplier Of Affordable Website SSL Certificates & Trust Seals
  • Demo
    簡單的網站安全性

    rapidssl

    simple site security for less
  • Demo
    由SSL.com來建立客戶信任

    ssl.com

    simple site security for less
  • Demo
    我們知道需要什麼是安全的

    certs4less

    We know what it takes to be secure
  • Demo
    從世界上唯一的高級SSL服務

    thesslstore

    SSL Certificates from the Only Premium SSL Service in the World
  • Demo
    專業,認證,信任

    certcenter

    expert. proven. trusted
  • Demo
    網頁安全解決方案

    secure128

    web security solutions
  • Demo
    保護您的業務,高度信任的SSL證書

    sslcertificate

    secure your business,high trust ssl cert
  • Demo
    保護您客戶的資料

    Namecheap

    Protect your site visitors' data
  • Demo
    我們把信任標識化

    IdenTrust

    We Put The Trust In Identity

如何得知您的憑證提供商是被瀏覽器或作業系統廠商所認可的?

在我們介紹的憑證供應商網頁中,推薦非常多的廠商,其中有的本身就是CA,而有的是代理商,您可曾想過,除了您在使用憑證的時候以跳出警示的方式來顯示憑證合法外,還有其他方式來確認廠商的合法性嗎?以下這篇文章您可得好好瞧瞧!

一般來說,要成為憑證供應商(Certificate Authority)是需要經過認證的,並非隨便一家廠商就能夠申請經營這樣的業務,就像您要開車一樣,必須取得駕照才能開車上路!尤其憑證業務的廠商,對於相關的安全要求是非常嚴格,他所通過的要求為Web Trust For CA的認證,通過此認證之後,還要接受瀏覽器,作業系統或者AP廠商本身的認可,才能植入在他們的系統設定當中,這樣的好處就是消費者只要安裝好如作業系統,瀏覽器或者AP之後,當使用到與憑證相關的功能時,系統就不會跳出警示! ,然而我們常常看到很多廠商都說他們有通過認證,也有標章,這些都是憑證商自己說了算,但是除了這個之外,我們要如何證明他們說的是正確的呢,其實很容易理解,這些瀏覽器,作業系統與AP廠商的官網,應該會有相關的資料,其實就是大家都會有一個叫做Root Certificate Program(根憑證計畫),這個就是要求各家憑證商如何取得認可的一個計畫,您只要查詢一下,就可以得知這些憑證廠商的清單,我這邊舉幾個例子,您可以了解之後就不容易被廠商誤導,而當您在購買憑證服務的時候,也比較安心!

 

我們先以最常見的微軟作業系統 來看
微軟的叫做Windows Root Certificate Program,可以到以下連結參考相關資料https://technet.microsoft.com/en-us/library/cc751157.aspx,您也可以到此處下載PDF檔案,如下圖

我這邊導讀一下,PDF檔案中,有文章的章節說明如下圖

首先第一個章節(NEW ROOT CERTIFICATION AUTHORITIES)是說明目前有哪些新增的CA,您要注一下是表格的title:

CA廠商名單:這是CA廠商使用的名子

隸屬國家:哪一個國家

根憑證名稱:每一個憑證會取一個名稱,這就是根憑證的名稱

公開金鑰演算法:這憑證用的公開金鑰演算法是哪種,如RSA,DSA,ECC....等

金鑰長度:金鑰越長越難破解

到期日:任何憑證都是有效期的,這邊記載到期的日期

SHA1指紋碼:這是此憑證用的SHA1指紋碼

第二個章節(NEW ROOT CERTIFICATES)是說明目前有哪些新增的憑證,您要注一下是表格的title:

與第一章不同的地方是CA的Owner,這是說CA的擁有者是哪個組織(單位)

第三個章節(UPDATED CERTIFICATE ATTRIBUTES)是說明目前有哪些憑證的屬性有更新過:

第四個章節(CERTIFICATES REMOVED FROM DISTRIBUTION )是說明目前有哪些憑證已經被移除計畫之外,這很重要,被移除的憑證也就是不被微軟Windows Root Certificate Program接受,如果有用到此憑證的客戶,得注意!

第五個章節(CERTIFICATES IN DISTRIBUTION FROM ALL MEMBER CAs )是說明目前有所有在Windows Root Certificate Program中的憑證廠商,您可以在此比對您購買憑證廠商的資料,正常來說應該都會在此清單中,如果沒有,那得注意囉

其他的章節,則是介紹Windows Root Certificate Program的計畫以及怎樣更新新的清單,如果您想要加入的話,可以參考一下!

由以上的介紹,可以知道有哪些廠商是被微軟Windows Root Certificate Program接受,您如果要了解自己購買的憑證商是否在清單中,這是一個比對的好方式,尤其是他還有國別的顯示,您可以知道您的國家有哪些CA廠商是在清單中的!

接下來我們以幾個常見的瀏覽器來看,他們是否也有同樣的資料

 

以FireFox來看


FireFox的叫做Mozilla CA Certificate Policy,您可以到這網址https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/included/查詢,擷取一下畫面做說明,如下圖

FireFox感覺比較仔細且好心,仔細是表格的欄位很多很清楚,直接是一個表格可以讓您存到EXCEL表中進行排序,唯一的缺點是沒有國別,比較難依據國家來查詢,我們一樣先解是表格的title:

Owner:憑證的擁有者的名稱

Certificate Issuer Organization:發證商的組織名稱(O)

Certificate Issuer Organizational Unit:發證商的組織單位名稱(OU)

Common Name or Certificate Name:CN名稱或者憑證名稱

SHA-1 Fingerprint:SHA1指紋碼

Valid From [GMT]:憑證效期起始日

Valid To [GMT]:憑證效期到期日

Signing Key Parameters:金鑰長度

Signature Algorithm:金鑰演算法

Trust Bits:

EV Policy OID(s):Extended Valid(擴展驗證憑證的OID)

Approval Bug:有被驗證過的Bug說明連結

NSS Release When First Included:第一次加入的NSS( Mozilla Network Security Services)版本,這表示比此版本更早的NSS是沒有該憑證的喔!

Firefox Release When First Included:第一此加入的FireFox版本,這表示比此版本更早的瀏覽器是沒有該憑證的喔!

URL to Test Website or Example Cert:測試憑證的網址

Mozilla Applied Constraints:這個是Mozilla本身的應用限制

Company Website Certificate Policy (CP):公司的CP放的網址

Certification Practice Statement (CPS):公司的CPS放的網址

Standard Audit:稽核報告

BR Audit:Base Requiment稽核報告

EV Audit:EV(擴展驗證)稽核報告

Auditor Standard Audit Type:標準接受的稽核認證是哪種,如Web Trust For CA

Standard Audit Statement Dt:最近通過稽核時間,這很重要喔,如果跟現在太久,那會有問題!

Comments:一些駐記

從以上的資料,就可以發現,很多的驗證資訊可做為您判斷CA商的依據!

 

以Chorme來看

Chrome的Root Certificate Program如下連結http://www.chromium.org/Home/chromium-security/root-ca-policy,筆者尚未找到CA的list,不過您可以從瀏覽器的憑證匯出找到目前的清單,從清單中得知目前被Chrome接受的CA 清單,當然您的瀏覽器版本要是最新的喔!步驟如下:

首先打開Chrome瀏覽器,找到設定,如下圖

找到最下方的顯示進階設定,按下,如下圖

往下拉,找到HTTPS/SSL管理憑證,按下他,如下圖

這時候就會出現憑證的視窗,您可以找到受信任的根憑證授權單位,這時候看到的簽發者就是被Chrome所信任的根憑證單位,如下圖

這時候您可以按下用全選後,把憑證全部匯出,就可以看到所有的信任清單了,匯出步驟如下圖群

我們選擇P7的格式即可,因為只需要知道發證商!

最後我們找到檔案打開即可看到目前所有的信任憑證清單資料,如下圖,您也可以用本網站的憑證轉碼器工具來查看內容!

 

以appale來看

Apple的Root Certificate Program如下連結Apple Root Certificate Program,這邊有許多參考資料可以參考!如下圖

舉例來說,如果是針對iOS 8的憑證信任清單,您可以到以下網址http://support.apple.com/en-us/HT204132看到,他們是憑證內容的呈現方式,所以您要查詢可能需要花一下功夫,一個個看!如下圖

其他的版本網頁下方也有提到,可參考!如下圖

 

以adobe:

其實還有AP廠商的認證,如PDF的簽章,也是要經過PDF廠商的認可,有興趣可以上PDF廠商的網站查看!

https://helpx.adobe.com/acrobat/kb/approved-trust-list2.html#,如下圖,找到current AATL members.

點擊後就可以看到目前是aoobe的信任廠商清單,如下圖

 

 

以JAVA來看

要了解JAVA信任的CA有哪些,可以從JAVA的設定中找到(前提是您電腦有安裝JAVA),我們一步步往下看,先找到您安裝java的程式,找到java設定,如下圖

按下java設定後,會跑出java的設定視窗,找到安全的選項,並找到管理憑證,如下圖

然後我們選系統,並且找到簽暑者CA,如下圖

選擇後,就會出現所有CA的清單囉,同樣的您也可以選擇匯出來進一步處理這些憑證資料

以上就是比對CA清單的方式,其他的瀏覽器與AP軟體都是類似的查詢方式,您可以自行試試看!