依據教育部107年3月21日臺教資(五)字第1070041450號函轉國發會有關「機關導入網站安全傳輸通訊協定」行政命令辦理 (附件1)。依照國發會要求 (附件2)，各機關對外提供服務之網站須於107年6月底前完成全面導入HTTPS(SSL)協定，並將HTTP協定自動轉址至HTTPS。本中心為全面配合主管機關要求之政策，將進行全面清查與落實作業。相關作業與影響說明如下，請查照。

網路組致力於提高學術網路連線安全性以及保護用戶隱私，因改透過HTTPS加密可提升保障用戶的安全和隱私，減少機敏資訊與個資外洩隱憂，保護網站營運方與連線使用者資訊安全與權益。
 

影響範圍：

1. 標準HTTP通訊埠(Port 80)與HTTP協定但非標準通訊埠(如8080或其他)之網站，將於8月底進行全面封鎖，但校內連線不受此限制(若不對校外開放則無須理會)。
2. 未來使用瀏覽器自校外連入校內瀏覽網頁，請使用https:// 進行瀏覽連線，將無法再透過http:// 進行連線行為。

事前作業：(以下涉及資訊專業部分，請洽該網站平台開發管理人員或維運廠商)

● 系統面：

1. 導入方式與步驟，因各系統架構不同，請洽網站管理人員或維運廠商。
2. 請直接導入TLS 1.2以上版本。不允許使用SSL2.0、SSL3.0及TLS1.0，且TLS1.1過度版本未來將廢除。
3. 請避免使用脆弱(Weak)的Cipher。

● 憑證要求：

1. 請使用2048bit以上長度之憑證且雜湊(Hash)演算法至少需要SHA2。
2. 請依下列事項評估使用之憑證來源：
   1. 請依照「行政院資訊系統分級與資安防護基準作業規定」(附件3)，進行系統標準評估。
   2. 請進行個資清查確認網站平台是否呈現敏感個資。
   3. 是否有後台管理等帳號密碼輸入。
3. 若該平台於2.a評估安全等級為低，且不含有2.b與2.c狀況下，可評估使用免費憑證(如Let’s Encrypt、SSL4Free等)。
4. 若該平台於2.a評估安全等級為中以上，含有2.b或2.c狀況下，建議使用付費憑證較為安全(如GlobalSign、DigiCert等)。

備註：

1. 若使用免費憑證，未來將不再開放HTTP使用，故屆時無法透過HTTP進行Domain Validation，請務必設定好HTTP 301/302重新導向至HTTPS，使認證方能透過HTTP轉導HTTPS認證
2. 因網站伺服器版本眾多無法列舉相關導入說明，詳細操作步驟請洽網站初期架設人員或搜尋相關資料。

計網中心 網路作業組 陳志豪 #3226