觀點

憑證僅能用於身分驗證 保護網站安全還有距離

2009 / 10 / 19
吳依恂
憑證僅能用於身分驗證  保護網站安全還有距離
目前經濟部商業司正如火如荼的推動工商憑證免費發放的活動,工商憑證類似自然人憑證,後者宛如個人的身分證,可以用來網上報稅,而工商憑證就像是企業的身份證,也就是讓企業向政府單位證明自己,因此工商憑證最多的用途還是讓企業進行電子化公務較為省時、方便,像是電子發票以及員工勞健保的加/退保都不需要再親自跑一趟。例如在日前商業司所舉辦的「產業安全認證技術趨勢研討會」中,東捷資訊與生活工場也分別分享了運用政府憑證GPKI在企業內、外部的運用。

而在提高政府的電子化服務程度之時,商業司是否也該注重到電子商務的安全性呢?有人說,可以使用經濟部推動的工商憑證或內政部推動的自然人憑證當做身分識別,再加上SSL憑證加密即可強化網站的安全性。

對此,敦陽科技資安顧問楊伯瀚說,「即使你想辦法讓工商憑證,可以用在你的SSL網站上,對現在網站資安的幫助也極小,SSL本身的防護目標,跟一般人想要的不一樣。」

因為,SSL保護的是(1)確認網站是真的網站;(2)確保網站交易的那一瞬間,中間的駭客偷聽不到交易瞬間的資料。但是,SSL不保障(1)網站被駭客打進去;(2)使用者電腦被中木馬;(3)甚至駭客都透過SSL在攻擊網路銀行,因為SSL可以協助躲避中間的入侵偵測系統。因此,若實際應用到電子商務的交易環境,即使是消費者懷疑交易安全有問題,以目前的狀況來看,業者亦多指向消費者電腦已中了木馬,而消費者亦難舉證業者被入侵。 因此電子商務業者仍需做好全面性的安全防護,憑證只是其中一環。