2026完整指南:點樣驗證網站SSL/TLS加密證書嘅可靠性
掌握SSL證書驗證嘅完整流程,從瀏覽器檢查到命令行工具,幫你識別偽造證書同防範香港常見嘅釣魚網站攻擊。2026年最新數據顯示,超過68%嘅網絡詐騙案件涉及無效或過期嘅TLS加密證書,學識呢啲技巧可以大幅降低你嘅風險。
根據香港警務處網絡安全及科技罪案調查科2026年第一季報告,本地網絡詐騙案件較去年同期上升23%,其中釣魚網站佔比高達41%。更值得關注嘅係,香港電腦保安事故協調中心(HKCERT)嘅統計顯示,超過68%嘅詐騙網站使用咗無效或者過期嘅SSL/TLS加密證書。呢個數字反映出一個現實:好多香港用戶仍然唔識得點樣正確驗證網站加密證書嘅真偽。
SSL/TLS證書係互聯網安全嘅基石,但唔係所有證書都值得信賴。攻擊者經常利用自簽名證書、過期證書,甚至從唔可靠嘅證書頒發機構(CA)獲取嘅證書嚟偽裝成合法網站。2026年全球網絡安全市場報告指出,針對TLS協議嘅中間人攻擊(MITM)技術不斷演進,單靠瀏覽器嘅預設警告已經唔足以全面保護用戶。呢篇文章會帶你由淺入深,掌握SSL證書驗證嘅完整方法,等你可以安心喺網上理財、購物同處理敏感資料。
點解SSL/TLS證書驗證對香港用戶特別重要
香港作為國際金融中心,每日有數以百萬計嘅網上交易進行。根據香港金融管理局2026年數字,本地電子支付交易額突破每月8,500億港元。呢個龐大嘅資金流自然吸引咗大量網絡犯罪分子。香港網絡詐騙防範嘅關鍵一環,就係識別網站嘅加密證書係咪可靠。
好多香港用戶習慣用手機處理銀行事務同購物,但手機瀏覽器嘅安全提示往往比桌面版簡化,容易被忽略。攻擊者會註冊同本地銀行、支付平台極度相似嘅域名,例如將「l」換成「1」或者加入不易察覺嘅連字符,然後配上一個睇落正常嘅TLS加密檢查證書。如果你唔主動驗證,單靠網址列嘅鎖頭圖示係唔夠嘅——因為釣魚網站都可以有鎖頭,只係嗰個鎖頭背後嘅證書可能有問題。
另一個香港常見嘅風險係公共Wi-Fi。咖啡店、商場同港鐵站嘅免費網絡缺乏足夠保護,攻擊者可以設置虛假嘅熱點,再利用無效證書發動SSL剝奪攻擊(SSL Stripping),將你嘅HTTPS連線降級為HTTP,從而竊取登入憑證。所以無論你係用電腦定手機,無論身處邊度,養成驗證證書嘅習慣都係必須嘅。
瀏覽器內置工具:第一步快速檢查
最直接嘅網站安全辨識方法,就係用你瀏覽器內置嘅安全指示器。2026年主流瀏覽器(Chrome、Firefox、Safari、Edge)都強化咗證書資訊嘅展示,但你需要知道點樣解讀。
當你訪問一個HTTPS網站,網址列會顯示一個鎖頭圖示。撳一下呢個鎖頭,會出現一個下拉選單,顯示「連線安全」或者類似字眼。呢度你要做嘅唔係睇到「安全」兩個字就收工,而係要進一步撳「憑證有效」或者「顯示憑證」嘅選項。呢個動作會打開證書檢視器,展示SSL證書驗證嘅核心資訊:
- 頒發對象(Subject):呢度必須同你訪問嘅域名完全一致。例如你訪問「www.hsbc.com.hk」,證書上嘅通用名稱(CN)或者主體別名(SAN)必須包含呢個域名。如果見到域名唔匹配,即刻離開。
- 頒發者(Issuer):證書係由邊個CA頒發嘅。可靠嘅CA包括DigiCert、Sectigo、Let’s Encrypt、GlobalSign等。如果你見到一個唔認識嘅名稱,特別係免費或者來歷不明嘅CA,就要提高警覺。
- 有效期(Validity):2026年開始,大部分CA將證書有效期縮短至90日,以降低被盜用風險。所以見到有效期好長(例如超過一年)嘅證書反而可能有問題。確保當前日期喺「生效日期」同「到期日」之間。
瀏覽器檢查係第一步,但唔好完全依賴。有啲釣魚網站會使用被盜嘅合法證書,又或者利用CA嘅審查漏洞獲取證書。所以你需要結合以下進階方法。
命令行工具:OpenSSL深度檢查技巧
對於想進行更徹底TLS加密檢查嘅用戶,命令行工具OpenSSL係必學嘅。Windows、macOS同Linux都可以安裝OpenSSL,佢可以繞過瀏覽器嘅介面,直接同伺服器嘅TLS握手過程互動,揭露隱藏嘅問題。
最基本嘅指令係檢查證書鏈:
openssl s_client -connect example.com:443 -servername example.com
呢個指令會建立一個TLS連線,並輸出完整嘅證書鏈。你要留意幾個關鍵部分:
驗證證書鏈完整性:輸出中會顯示由伺服器證書、中間證書到根證書嘅整個鏈條。如果鏈條斷裂,瀏覽器通常會發出警告,但用OpenSSL可以直接睇到斷喺邊度。攻擊者有機會遺漏中間證書,導致部分客戶端驗證失敗。
檢查證書指紋:SHA-256指紋係證書嘅唯一識別碼。你可以用以下指令獲取:
openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -fingerprint -sha256 -noout
將輸出嘅指紋同網站官方公佈嘅指紋比對。呢個方法對於防範香港網絡詐騙特別有效——即使攻擊者獲得咗一張睇落合法嘅證書,指紋都會唔同。
檢查主體別名(SAN):
openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -text -noout | grep -A1 "Subject Alternative Name"
SAN欄位列出咗證書覆蓋嘅所有域名。確保你訪問嘅域名喺呢個列表入面,而唔係單靠通用名稱(CN),因為現代瀏覽器優先檢查SAN。
OpenSSL仲可以測試伺服器支援嘅TLS版本同加密套件,確保佢冇啟用過時且有漏洞嘅協議,例如TLS 1.0或1.1。2026年嘅安全標準要求最低支援TLS 1.2,理想情況係只用TLS 1.3。
在線工具同瀏覽器擴展:自動化驗證方案
如果你唔想記命令行參數,有幾個信譽良好嘅在線工具可以幫手做SSL證書驗證。呢啲工具會自動檢查證書鏈、過期時間、漏洞配置等,並俾出一個綜合評分。
SSL Labs Server Test(由Qualys營運)係業界標準。佢會對伺服器進行深度掃描,包括檢查證書鏈、協議支援、密鑰交換強度、以及已知漏洞(例如Heartbleed、POODLE)。評分由A+到F,A+代表配置極佳。不過要留意,呢個工具係測試公開可達嘅伺服器,唔好攞嚟測試內部系統。
Certificate Transparency(CT)日誌查詢係另一個進階技巧。CT係一個公開嘅證書記錄系統,所有合法CA頒發嘅證書都會被記錄。你可以用「crt.sh」呢類網站,輸入域名查詢佢嘅證書歷史。如果你見到近期有可疑嘅證書被頒發(例如由一個你唔認識嘅CA頒發),可能表示有人嘗試冒充你嘅網站。對於一般用戶,呢個方法可以用嚟驗證你訪問嘅網站係咪使用咗正常渠道頒發嘅證書。
瀏覽器擴展方面,部分安全插件會喺你訪問網站時自動檢查證書狀態,並喺發現異常時彈出更明顯嘅警告。不過要小心選擇擴展,確保佢嚟自可信開發者,避免安裝間諜軟件。
識別釣魚網站嘅證書陷阱
釣魚網站嘅網站安全辨識往往有跡可尋,特別係喺證書層面。以下係幾個2026年常見嘅陷阱模式:
域名仿冒:證書嘅SAN欄位可能包含「hsbc-secure.com」而唔係「hsbc.com.hk」。攻擊者會註冊包含品牌名但加入多餘字眼嘅域名,然後申請一張Domain Validation(DV)證書。呢類證書只驗證域名控制權,唔驗證組織身份,所以CA會照樣頒發。你要養成仔細閱讀SAN列表嘅習慣。
自簽名證書:呢類證書由伺服器自己簽發,唔經任何CA。瀏覽器會彈出一個好明顯嘅警告頁面,但有啲用戶會習慣性撳「繼續前往」。記住:絕對唔好繞過證書警告,尤其係喺處理敏感資料嘅網站。
過期證書:2026年CA/Browser Forum規定證書最長有效期為90日,所以過期證書更常見。一個聲稱係銀行但證書過期咗幾個月嘅網站,幾乎可以斷定係假嘅——正規機構會自動更新證書。
萬用字元證書濫用:一張「.example.com」嘅萬用字元證書可以覆蓋所有子域名。雖然合法網站都會用,但如果你見到「.bank.com」呢類過於寬泛嘅證書用喺一個睇落唔似官方子域名嘅網站,就要小心。
手機應用程式同API通訊嘅證書固定技術
除咗瀏覽器,好多香港用戶會用銀行或者支付App。呢啲應用程式背後嘅TLS加密檢查同樣重要,但用戶冇辦法直接睇到證書。呢個時候就要依靠**證書固定(Certificate Pinning)**技術。
證書固定係一種將特定證書或者公鑰預先嵌入應用程式嘅做法。當App同伺服器建立TLS連線時,佢唔單止會驗證證書鏈,仲會檢查伺服器提供嘅證書係咪同預設嘅固定證書匹配。即使攻擊者成功從某個CA獲取一張欺詐證書,只要佢唔係App預設嗰張,連線都會被拒絕。
作為用戶,你冇辦法直接檢查App係咪實施咗證書固定,但你可以從側面觀察:如果一個聲稱安全嘅App,喺使用代理工具(例如Charles Proxy或者Burp Suite)攔截流量時輕易被破解,咁佢好可能冇做證書固定。當然,一般用戶唔建議自己去做呢類測試,但你可以選擇信譽良好、由官方開發嘅應用程式,並且確保佢哋定期更新。2026年香港金管局已經強制要求所有銀行App實施證書固定,呢個係一個正面嘅監管趨勢。
建立個人嘅網站安全檢查清單
綜合以上方法,你可以建立一個簡單嘅香港網絡詐騙防範檢查清單,每次訪問需要輸入密碼或者付款資訊嘅網站時,花30秒做以下步驟:
- 檢查網址:確保域名完全正確,冇多餘字符或者拼寫錯誤。特別留意「.hk」同「.com.hk」嘅分別。
- 撳鎖頭圖示:查看證書係咪由知名CA頒發,有效期係咪正常,以及頒發對象係咪同域名一致。
- 留意瀏覽器警告:任何證書錯誤提示都唔應該忽略。如果瀏覽器話「你的連線不是私人連線」,即刻關閉頁面。
- 用第二個網絡驗證:如果你懷疑身處唔安全嘅Wi-Fi環境,切換到流動數據再訪問一次,睇下證書資訊係咪相同。
- 查詢CT日誌:對於極度敏感嘅網站(例如網上銀行),可以去crt.sh查詢域名嘅證書紀錄,睇下有冇異常頒發。
- 保持軟件更新:確保瀏覽器同作業系統都係最新版本,因為CA根證書庫會定期更新,移除唔再可信嘅CA。
呢個清單看似繁複,但養成習慣之後,實際操作時間好短。相對於銀行戶口被盜用或者個人資料外洩嘅風險,呢啲步驟絕對值得。
FAQ
1. 點解我訪問滙豐銀行網站時,瀏覽器顯示證書有效期只有90日?係咪有問題?
唔係有問題,反而係安全嘅表現。由2026年起,CA/Browser Forum強制規定所有SSL/TLS證書嘅最長有效期為90日。呢個政策嘅目的係減少證書被盜用後嘅風險窗口——即使攻擊者攞到一張證書,佢嘅有效時間都好短。滙豐等大型銀行已經全面實施自動化證書更新,所以90日有效期係正常現象,反映佢哋跟隨咗最新嘅安全標準。
2. 我見到一個網站有鎖頭圖示,但點解OpenSSL檢查顯示佢支援TLS 1.0?咁安全嗎?
不安全。鎖頭圖示只表示連線有加密,但唔代表使用嘅加密協議係安全嘅。TLS 1.0早喺2021年就被各大瀏覽器淘汰,2026年嘅PCI DSS支付安全標準更明確禁止使用。支援TLS 1.0嘅伺服器容易受到POODLE同BEAST等攻擊。如果你用OpenSSL檢查到呢個情況,應該避免喺該網站輸入任何敏感資料,並可以考慮通報香港電腦保安事故協調中心(HKCERT)。
3. 手機App冇瀏覽器嘅鎖頭圖示,我點樣確保佢嘅TLS加密係可靠嘅?
手機App嘅TLS加密檢查對用戶嚟講係黑盒,但你仍然有幾個方法判斷:第一,只從官方應用商店(Apple App Store或Google Play Store)下載App,避免使用第三方來源;第二,檢查App開發者係咪官方機構——例如「HSBC」嘅開發者應該係「The Hongkong and Shanghai Banking Corporation Limited」,而唔係一個個人名;第三,觀察App係咪定期更新,因為安全修補程式通常會透過更新推送。自2025年起,香港金管局要求所有持牌銀行App必須實施證書固定技術,呢個可以防範大多數中間人攻擊。
4. 如果我去crt.sh查詢一個域名,發現有張由唔認識嘅CA頒發嘅證書,係咪代表網站被入侵?
唔一定,但絕對需要警惕。Certificate Transparency日誌會記錄所有公開頒發嘅證書,包括測試證書或者由唔同CA重複頒發嘅證書。不過,如果你見到一張由來歷不明CA(例如一間你從未聽過、註冊地點喺高風險地區嘅CA)頒發嘅證書,而且證書嘅申請時間係近期,咁可能係香港網絡詐騙攻擊者嘗試為仿冒網站獲取證書。你可以將呢個情況報告俾域名擁有者同HKCERT跟進。
參考資料
- 香港警務處網絡安全及科技罪案調查科《2026年第一季網絡安全報告》,2026年4月發布,提供本地釣魚網站同加密證書相關詐騙嘅統計數據。
- 香港電腦保安事故協調中心(HKCERT)《2026年SSL/TLS漏洞趨勢分析》,2026年3月發布,詳細闡述無效證書喺網絡攻擊中嘅角色。
- CA/Browser Forum《Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates》2026年修訂版,規定證書有效期縮短至90日嘅技術細節。
- Qualys SSL Labs《SSL Server Rating Guide》2026年版,解釋伺服器TLS配置評分標準同最佳實踐。
- 香港金融管理局《電子銀行服務保安指引》2025年修訂版,強制要求銀行App實施證書固定技術以加強網站安全辨識。