數位世界的信任基石：認識數位憑證

什麼是數位憑證 (Digital Certificate)？

數位憑證，就像是您在網路世界的數位身份證。它是一份由具公信力的憑證授權中心 (Certificate Authority, CA) 所簽發的加密電子文件。這份文件用以驗證特定個人、伺服器或裝置的身份。

數位憑證的核心內容：

• 公開金鑰 (Public Key)： 用於加密資料或驗證數位簽章。
• 持有人資訊 (Subject)： 如姓名、組織名稱、Email等。
• 憑證序號 (Serial Number)： 獨一無二的識別碼。
• 有效期限 (Validity Period)： 憑證的開始與結束日期。
• 簽發者資訊 (Issuer)： 簽發此憑證的CA資訊。
• 數位簽章 (Digital Signature of CA)： CA使用其私鑰對憑證內容進行簽章，確保憑證未被竄改。
• 常見格式為 X.509 標準。

公開金鑰基礎建設 (PKI) 的核心：

數位憑證是整個公開金鑰基礎建設 (Public Key Infrastructure, PKI) 的核心。PKI 是一套包含硬體、軟體、政策、標準和程序的完整體系，用於建立、管理、分發、使用、儲存和撤銷數位憑證。

數位憑證的三大主要功能：

1. 數位簽章 (Digital Signature)： 確保資料來源的真實性 (身份認證)、資料的完整性 (未被竄改) 及不可否認性 (簽署者無法否認其簽署行為)。
2. 身份認證 (Authentication)： 驗證使用者或裝置的身份，例如網站SSL/TLS憑證驗證網站伺服器的真偽。
3. 資料加密 (Data Encryption)： 使用憑證中的公開金鑰對資料進行加密，只有對應私鑰的持有者才能解密，確保通訊的機密性。

憑證系統的風險與防護：

憑證系統的安全性至關重要。一旦CA被攻陷或憑證被濫用，將嚴重破壞整個數位信任體系。

歷史案例：DigiNotar 事件 (2011)

荷蘭CA公司DigiNotar遭駭客入侵，導致數百張偽冒的SSL憑證流入市面 (例如偽造Google的憑證)。這使得主流瀏覽器廠商如Google、Mozilla、Microsoft等不得不全面撤銷對DigiNotar的信任，該公司最終破產。

重要防護措施：

• 憑證撤銷清單 (Certificate Revocation List, CRL)： 由CA定期發布，列出已失效或被撤銷的憑證。
• 線上憑證狀態協定 (Online Certificate Status Protocol, OCSP)： 提供即時查詢憑證狀態的機制，比CRL更即時。
• 憑證釘選 (Certificate Pinning / Public Key Pinning)： 應用程式或瀏覽器預先儲存特定網站的憑證或公鑰資訊，只信任這些預存的憑證，防止中間人攻擊中偽冒憑證的威脅。
• 嚴謹的憑證生命週期管理： 從申請、核發、使用、更新到撤銷，都需有嚴格的流程控管。