調查:李嘉誠基金會官方網站未有正確地設定 HTTPS 安全連線

Li Ka Shing Foundation Logo
Li Ka Shing Foundation Logo

筆者從新聞得知,香港首富李嘉誠以李嘉誠基金會的名義,捐出 10 億港元幫助有需要的中小企營運,因此瀏覽其官方網站以獲取詳情。

不過在瀏覽的過程中發現該基金會網站的加密連線 TLS 證書設定有誤,以下會詳細解釋。

李嘉誠基金會的官方網站鏈接

李嘉誠基金會的官方網站可以從以下 4 條鏈接瀏覽:

  1. http://lksf.org/(重新導向至沒有加密的第 2 個鏈接)
  2. http://www.lksf.org/連線沒有加密
  3. https://lksf.org/(瀏覽器顯示證書有誤,因 TLS 證書未有包含該域名
  4. https://www.lksf.org/(已正確設定安全連線)

當中可以看到只有第 4 條鏈接正確地設定了安全連線。

網站連線問題

連線沒有加密

第 1、2 條鏈接沒有加密。

沒有加密的網站連線會更容易受到中間人攻擊(英文:Man-in-the-middle attack,縮寫:MITM),意味着黑客可以從中攔截並修改網頁的內容,從而導致用戶被誤導,甚至個人及機密資料被竊取。

Google Chrome 的提示
Google Chrome 的提示

Google Chrome 從第 68 個版本就開始引入了網站連線不安全的警告,提醒用戶提防不安全的連線並避免輸入任何機密資料。而 Firefox 瀏覽器亦有類似提醒。

TLS 證書未有包含該域名

第 3 條鏈接出現了問題,因爲 TLS 證書未有包含該根域名 lksf.org。

儘管該基金會的網站安裝了有效的證書,但是該證書只包含了域名 www.lksf.org,而沒有包含 lksf.org 爲其中之一的域名,導致瀏覽器提醒證書與域名名稱不符,而提示無法確認與網站的連線爲安全。

Firefox 的錯誤提示
Firefox 的錯誤提示

Google Chrome: NET::ERR_CERT_COMMON_NAME_INVALID
Firefox: SSL_ERROR_BAD_CERT_DOMAIN
Microsoft Edge: DLG_FLAGS_SEC_CERT_CN_INVALID

瀏覽器顯示的錯誤碼 Error Code

解決方法

第 1、2 條鏈接的問題,只需要添加一個重新導向至第 4 條鏈接就可以解決,一般會使用伺服器 URL 重寫(URL Rewrite)功能傳送 301 Move Permanently HTTP 狀態碼來達成這要求,可以參考這篇教學

要解決第 1、2 條鏈接的 TLS 證書問題,只需與證書頒發機構(CA,Certificate Authority),申請把根域名 lksf.org 也加入至證書,就可以徹底解決上述 TLS 問題。

參考資料

香港蘋果日報 (2019, October 4).【超人撐港】李嘉誠基金會捐 10 億支援中小企. Retrieved October 12, 2019, from https://s.nextmedia.com/realtime/a.php?i=20191004&s=7015342&a=60115942.

Starr, J. (n.d.). .htaccess redirect to https and www. Retrieved October 12, 2019, from https://htaccessbook.com/htaccess-redirect-https-www/.

證書頒發機構. (n.d.). Retrieved October 12, 2019, from https://zh.wikipedia.org/zh-hk/證書頒發機構

本篇文章 調查:李嘉誠基金會官方網站未有正確地設定 HTTPS 安全連線 來自 砂煲部落格 3Bro Blog

本文網址為 https://blog.3bro.info/archives/lksf-https-not-properly-configured/

本站內之所有文章皆為原創,本站保留所有權利,嚴禁擅自全文轉載,對此我們保留一切法律權利。

合作、授權事宜請 Email 至 [email protected],謝謝!


Also published on Medium.

喜歡尋找網絡上的趣聞,搜刮最新的網絡資訊, 現就讀香港公開大學。

發表迴響