【第165期 June 7, 2011】
 

資安前哨站

不要因小失大 – 談SSL機制與伺服器憑證在個資法施行後所扮演的角色

作者/張殿冬

[發表日期:2011/6/1]



千萬不要輕看了「資訊必須加密後傳輸」的重要性

有一天,我收到了這一封由「○○網路書城」所寄來的email(參見【圖一】)。既然是重要訊息,我也就毫不遲疑的將它打開。


《圖一》


打開以後的內容如下【圖二】所示。


《圖二》


為了謹慎起見,我並沒有直接打email中的洽詢電話,而是從104問到了這家公司的服務電話,再撥打服務電話去詢問緣由。經了解後得知,果真如email所言,這家網路書城的客戶資料可能已經遭人盜取。為了防範於未然,店家主動遞送email提醒消費者相關的應注意事項。

一方面由於我是這個網站的會員,我也很關心我的權益是否會受到侵害,另一方面是基於職業上的慣性,我就好奇的上了這個書城的網站,看看是否能尋找到一些個人資料可能外洩的蛛絲馬跡。其實,不費吹灰之力就可以發現,這個網站在要求客戶輸入會員資料的時候,根本沒有進行任何的保護措施,因為這個網站是以單純的「明碼」在傳遞客人所輸入的資料。換句話說,任何人只需要攔截到客戶與這個網站之間所傳送的訊息封包,經過適當的重組,就可以輕易的獲得這個客戶的所有資料了。所以,我們可以合理的懷疑,有非常大的可能,客戶的資料就是「因為網站經營者沒有善盡保管之責」,所以會外洩。

這個案件在當時(2010年)並沒有甚麼大不了的,網路書城只需要將網站的漏洞補強就好了!而這家網站公司也確實迅速的將漏洞補好了。但是,如果這件事是發生在個資法施行之後,那可不是鬧著玩的。弄不好,公司負責人都要吃上官司。

其實,當時我就曾經仔細的檢視了一下這個網站的客戶資料輸入機制,非常明顯的,網站設計者犯了一個最最最基本的錯誤:「敏感性的資料在傳輸前沒有進行加密的程序。」其實要讓網頁具備加密的機制是非常簡單的一件事,網站設計者只需要在客戶輸入的網頁中啟動SSL機制,從客戶瀏覽器端到網站的伺服器端就自然而然的會建立起一條「資訊加密的通道」。藉由這個通道傳輸客戶資料,至少能保證從客戶端到伺服器端的資料傳輸是經過加密的,而不是以明碼在internet上傳輸(參見【圖三】)。


《圖三》


但是您可別小看了這個動作,在資料保護法施行後,這個小小的動作,很有可能是保障您網路交易安全的基礎。因為當客戶質疑你的網站有個人資料外洩的可能時,如果你沒有SSL機制的這層保護,他可以輕易的「舉證」說:你「沒有善盡個人資料保管與傳輸之責」。你很可能就因此而是敗訴的一方。而最可怕之處在於,個資法有「代表人與管理人的連坐處罰」:個人資料保護法第五十條「非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。」一個小小的疏漏,很可能會讓公司的負責人吃上官司。

啟動SSL機制的重要性

經過網路掃描,不難發現,臺灣光是 .com.tw 的網域名稱就超過了十八萬多個。但是,使用SSL憑證的網站卻少於一萬個,也就是小於6%。換句話說,大部分的網站,即使有涉及敏感性的個人資料登錄,通常也都沒有啟動SSL機制。比如說,大部分的廣播公司都有設立網站,也有設立會員登錄的制度。但是,你只需要試一試國內幾家知名的廣播公司,就知道,個人資料外洩的情況有多嚴重。大部分的廣播公司的會員登錄網頁都沒有啟動SSL機制,也就是說,如果您要成為他們的會員,當你在網頁上填寫資料的同時,你的個人資料就已經是暴露在「以明碼在internet上傳輸」的風險中了。

在其它應用領域中也有同樣的情形嗎?當然有。學校及公家機關就屬於這種常有疏漏的族群。前者因為網頁程式大都是由工讀生或是計算機中心的人員自己製作,所以常常漏洞百出,當然更別說是要求他們啟動SSL機制,安裝伺服器憑證了(SSL憑證)。根據統計, .edu.tw 相關網站有啟動SSL機制並裝設伺服器憑證的網域不超過100個,但是國內的大專院校就不只100所,更別說還有上千所的國高中及小學。那我們可真要問,這些學校如果有設立網站,有關學生登錄及教職員登錄的部份,是如何做到「資料加密傳輸」的功能呢?還是說,這些沒有啟動SSL機制的學校,打根本就沒有考量過這個問題?可是,這真的不可以掉以輕心!試想,學校中的資料有多少是涉及個人資料保護法的範疇!如果外洩了,不知道是誰要負相關的責任啊!

另外一個常見的疏漏,就是,網站在會員登錄的時候有啟動SSL機制,但是接下來傳遞這個客戶的「敏感性資料」的時候,卻是大大方方的以「明碼傳輸」的方式公諸於internet網路之上。這種現象常見於公家機關的網頁,其發生的主因是因為「沒有資訊傳遞機密等級的規範」,沒有考量清楚哪些資訊是必須加密後才可以傳遞的,哪些是可以直接傳遞的。只考量會員登錄時的加密機制,而未考量真正敏感性資料的傳輸,就好像建立城郭時,只建立了一個城門,所有人員進出城門都要接受管制;但是整座城郭卻沒有建造城牆,以至於其它應該管制的東西,都從旁邊溜走了,完全沒有達到資料保護的目的。

善意的提醒

也許有人會問:「如果我需要啟動SSL機制並使用伺服器(SSL)憑證,要如何選擇一個適合的SSL憑證呢?」筆者願意在此分享幾個選取SSL憑證的原則:

一、SSL憑證必須是由合法經營憑證業務的公司發放:

依照中華民國電子簽章法規定,經營憑證業務的公司必須將「憑證作業基準」(簡稱CPS –Certification Practice Statements)報請經濟部通過後始可在中華民國境內營運,因使用該電子憑證而產生的商業糾紛,始可引用中華民國之電子簽章法處理。如果是透過國內經銷或代理商所購買國外憑證機構發放的憑證,並不適用於國內的「電子簽章法」,當商業糾紛產生時,需依照憑證使用之合約,赴國外(憑證機構所在國)處理相關爭議。

二、專業的憑證運營機制:

憑證申請流程、嚴謹度、機房的保護、技術的更新等等,都是SSL憑證是否能有效幫助商家或是網站業者確保網路安全的重要考量。憑證機構的作業流程需經WebTrust for CA認證、機房需具備備援機制、憑證申請時進行多重身分驗證等條件,應該算是選擇SSL憑證機構的基本要求。

三、在地服務:

當你打電話要求憑證公司提供技術或是客戶服務的時候,總是希望能有在地的服務。在地的服務才能及時的解決網站上所遭遇到的資安問題,而不至於因問題的擴大而至不可收拾的地步。

結語

個資法通過實施後,看起來,好像相對的提高了網站經營者保戶使用者個人資料的責任。其實,保護使用者的資料本來就是網站經營者的基本責任,而「以加密的方式傳遞敏感性資訊」更是保戶使用者資料的基礎工作。對於網站經營者而言,「啟動SSL機制以及使用伺服器憑證」是達到「以加密的方式傳遞敏感性資訊」的最簡單的方式。為了在資料外洩疑慮發生時,不要讓自己陷入「舉證之所在,敗訴之所在」的宿命,我們誠摯的呼籲所有的網站經營者,在建置網站時,一定要記得「適切的」「啟動SSL機制以及使用伺服器憑證」。這不但是為自己撐起一張基本的保護傘,同時也是盡一份網路公民的責任。

對於SSL機制與伺服器憑證的使用、申請以及原理有興趣的讀者,可參考以下網站資源:
http://www.twca.com.tw/Portal/product/ssl.html
http://en.wikipedia.org/wiki/Secure_Sockets_Layer
http://searchsecurity.techtarget.com/definition/Secure-Sockets-Layer-SSL

(本文作者為臺灣網路認證股份有限公司 董事長)