調查：李嘉誠基金會官方網站未有正確地設定 HTTPS 安全連線（2021 年 1 月 18 日更新）

筆者從新聞得知，香港首富李嘉誠以李嘉誠基金會的名義，捐出 10 億港元幫助有需要的中小企營運，因此瀏覽其官方網站以獲取詳情。

不過在瀏覽的過程中發現該基金會網站的加密連線 TLS 證書設定有誤，以下會詳細解釋。

李嘉誠基金會的官方網站鏈接

李嘉誠基金會的官方網站可以從以下 4 條鏈接瀏覽：

1. http://lksf.org/ （重新導向至沒有加密的第 2 個鏈接）（已用 302 重新導向解決）
2. http://www.lksf.org/ （連線沒有加密）（已用 302 重新導向解決）
3. https://lksf.org/（瀏覽器顯示證書有誤，因 TLS 證書未有包含該域名）（2021/01/18 更新：已透過 301 重新導向解決）
4. https://www.lksf.org/（已正確設定安全連線）

當中可以看到只有第 4 條鏈接正確地設定了安全連線。

網站連線問題

連線沒有加密（已解決）

第 1 、 2 條鏈接沒有加密。

沒有加密的網站連線會更容易受到中間人攻擊（英文：Man-in-the-middle attack，縮寫：MITM），意味着黑客可以從中攔截並修改網頁的內容，從而導致用戶被誤導，甚至個人及機密資料被竊取。

Google Chrome 從第 68 個版本就開始引入了網站連線不安全的警告，提醒用戶提防不安全的連線並避免輸入任何機密資料。而 Firefox 瀏覽器亦有類似提醒。

TLS 證書未有包含該域名（已解決）

第 3 條鏈接出現了問題，因爲 TLS 證書未有包含該根域名 lksf.org 。

儘管該基金會的網站安裝了有效的證書，但是該證書只包含了域名 www.lksf.org，而沒有包含 lksf.org 爲其中之一的域名，導致瀏覽器提醒證書與域名名稱不符，而提示無法確認與網站的連線爲安全。

Google Chrome: NET::ERR_CERT_COMMON_NAME_INVALID
Firefox: SSL_ERROR_BAD_CERT_DOMAIN
Microsoft Edge: DLG_FLAGS_SEC_CERT_CN_INVALID

瀏覽器顯示的錯誤碼 Error Code

解決方法

第 1 、 2 條鏈接的問題，只需要添加一個重新導向至第 4 條鏈接就可以解決，一般會使用伺服器 URL 重寫（URL Rewrite）功能傳送 301 Move Permanently HTTP 狀態碼來達成這要求，可以參考這篇教學。

要解決第 1 、 2 條鏈接的 TLS 證書問題，只需與證書頒發機構（CA，Certificate Authority），申請把根域名 lksf.org 也加入至證書，就可以徹底解決上述 TLS 問題。

參考資料

香港蘋果日報 (2019, October 4).【超人撐港】李嘉誠基金會捐 10 億支援中小企. Retrieved October 12, 2019, from https://s.nextmedia.com/realtime/a.php?i=20191004&s=7015342&a=60115942.

Starr, J. (n.d.). .htaccess redirect to https and www. Retrieved October 12, 2019, from https://htaccessbook.com/htaccess-redirect-https-www/.

證書頒發機構. (n.d.). Retrieved October 12, 2019, from https://zh.wikipedia.org/zh-hk/證書頒發機構

---

Also published on Medium.