分类
知识中心

CA的两种类型是什么?

公共CA是向其他组织颁发证书的组织。公共CA通常受信任,因此它们颁发的证书经过验证,并具有更高的信任级别。组织首先执行一些必要的检查,包括域验证。然后,公共CA使用其私钥向请求者颁发证书,同时还附加请求者可以使用的公钥。当有人建立连接时,通过检查请求者是否是证书的有效持有者,使用公共CA验证证书。检查公钥,然后可以使用非对称加密建立安全连接。

私有CA是组织自己的本地CA,仅用于内部目的。颁发的证书由组织的私有根CA使用其私钥签名。私有CA用于构建私有内部PKI网络,以在组织内颁发证书。它们可用于在组织内运行设备和设备,并可由用户用于VPN,安全电子邮件,并可由服务器用于加密数据库中的数据。

分类
知识中心

证书颁发机构的作用

证书可以通过受信任的证书颁发机构或通过对证书本身进行签名来生成。证书颁发机构(CA)为用户生成用于TLS/SSL身份验证的证书。为了确保证书颁发机构可以信任,可以将CA的信任链跟踪回源CA。信任链是由受信任的CA发布的证书链,一直通向根CA。若要开始获取数字证书的过程,请求者必须向CA发送证书签名请求(CSR)。CSR必须具有请求者创建的密钥对的公钥,以及用于确认请求者身份的信息,例如社会保险号或驾驶执照。确认请求者身份后,CA将签名并返回证书,并可用于识别请求者。

获取证书的另一个选项是使用相同的信息自行创建一个证书,然后对其进行自签名。这使用频率较低,因为无法通过其他可信CA验证签名者的身份,从而使自签名证书变得可疑。因此,许多人不会接受自签名证书,因此建议使用CA创建证书。

分类
知识中心

TLS握手的过程

1.客户端问候:客户端向服务器发送通信请求时,会出现客户端问候。TLS版本、支持的密码套件以及称为“客户端随机数”的随机字节字符串包含在hello中。

2.服务器问候:在服务器问候中,服务器确认客户端问候。然后,它确保它使用的是与客户端TLS版本兼容的TLS版本,从客户端提供的密码套件中选择兼容的密码套件,并将其证书、服务器随机(类似于客户端随机数)和公钥发送到客户端。

3.证书验证:客户端首先通过证书颁发机构检查服务器证书的有效性。证书颁发机构(CA)是一个高度受信任的实体,负责签署和生成数字证书

4.预主字符串:然后客户端使用服务器的公钥加密一个随机的字节串,称为“预主字符串”,并将其发送回服务器。这可确保只有服务器可以使用自己的私钥解密密钥,从而充当另一个安全级别。

5.会话密钥创建:服务器解密预主密钥,然后客户端和服务器都从客户端随机数、服务器随机数和预主字符串创建会话密钥。

6.完成消息传递:然后客户端和服务器相互发送消息,说他们已经完成了密钥的创建,并且他们相互比较密钥。如果会话密钥匹配,则TLS握手完成,会话密钥用于加密和解密服务器和客户端之间发送的任何数据。

创建后,证书可用于服务器、客户端或其他设备的身份验证。证书被视为在特定时间段内有效,并在该时间范围之后过期。证书遵循恒定的生命周期,其中包括创建、续订、暂停、过期等阶段。如果证书过期,则证书持有者将不再受信任,从而导致正在使用的网站或设备的服务丢失。要获得证书,用户或网站必须首先通过证书颁发机构或自己签名。

分类
知识中心

什么是证书管理?

数字证书在互联网上用于对彼此交换数据的用户进行身份验证。由于每个合法网站都使用证书,因此证书管理非常重要。如果证书被盗和滥用,攻击者可能会冒充另一个更合法的来源,并通过他们的网站用恶意软件感染用户。证书的证书过期可能会导致中断,导致组织失去潜在客户。

证书管理是监视、处理和执行证书生命周期中每个进程的过程。证书管理负责颁发、续订证书并将其部署到端点(服务器、设备、设备等),以便网络服务不间断。证书管理还应自动执行任务(颁发、续订等),并提供网络基础设施的实时状态。

证书管理有助于管理网络并防止中断和停机,同时提供对整个基础架构的详细监控。良好的证书管理计划应该能够处理任何网络,甚至是具有数千台设备的网络。如果证书过期或配置错误,则可能会发生整个网络的灾难性中断。

证书(也称为 SSL/TLS 证书)是网络中用户、设备和其他端点的数字标识符。证书与公钥/私钥对链接,并验证与有效证书匹配的公钥是否可以信任。证书的主要工作是确保通过用户和服务器之间的连接发送的数据保持私密。证书通过在连接发送数据时对数据进行加密和解密来实现此目的。这是通过称为SSL / TLS握手来实现的。

分类
公司新闻

vTrus通过零信浏览器国密根证书可信认证

随着国密算法在各重要领域的深入应用,支持国密算法的SSL证书和浏览器之间的合作也愈加紧密。在2022年6月,由天威诚信自主研发的支持国密SM2算法的vTrus自主根证书和国家根下的二级根证书正式通过零信浏览器国密根证书可信认证,获得《国密SM2可信根》证明书。

vTrus通过零信浏览器国密根证书可信认证-1

目前,天威诚信研发的国密根证书已被预置于全球唯一一个支持国密证书透明的零信浏览器信任,并全球多语言版本发布。

天威诚信签发的vTrus国密SSL证书在得到零信浏览器信任后,可实现有效的网络身份鉴别、信息传输国密算法加密,将有效保障我国网络空间安全、身份可信、加密传输,在防范网络入侵、网络钓鱼,保障网民的信息和财产安全等方面发挥着重要作用。

随着《密码法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施,国内重要领域越来越需要实现网站安全的国密合规,并逐渐开始部署国密SSL证书,同时在对内对外的业务场景中应用国密浏览器,以实现国密算法HTTPS加密,保障系统信息的安全。

天威诚信是为金融行业客户签发占比较多国密证书的CA机构之一,可为客户提供完善的国密HTTPS升级改造方案。目前,天威诚信vTrus国密SSL证书业已完成在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器、赢达信国密安全浏览器的根证书预埋,广泛应用于政府、电信、金融、能源等重点领域,保障关键基础设施的信息安全。

天威诚信vTrus国密证书正式入根零信浏览器,意味着天威诚信将同其他零信浏览器信任的CA机构一道,携手发展壮大国密数字证书体系,共同承担维护国家重要领域和关键信息基础设施的安全责任,在为用户提供更安全使用体验的同时,共同助力国密生态安全的建设发展。

在国密SM算法升级改造HTTPS应用不断加速的大趋势下,天威诚信将以vTrus国密SSL证书为纽带,协手国内众多安全生态伙伴,共同为国密数字证书体系的发展壮大和国密生态安全的建设发展贡献力量。

  零信浏览器

零信浏览器是目前全球唯一一个支持国密证书透明的、完全免费的国密浏览器,并且独家特别增显国密加密标识、云WAF防护标识、网站可信认证标识、EV认证绿色地址栏等。

分类
知识中心

什么是EV代码签名证书

在互联网世界中,很多人都会通过下载各种软件进行工作、生活,这其中就会用到代码签名证书,否则将会被网站提示“软件不安全”。

由此可知,代码签名证书是软件开发者/发行者对所要发布的软件进行数字签名的一种数字证书。它支持对.exe、.cab、.dll、.ocx、.msi、.xpi和.xap等文件进行数字签名

事实上,没有数字签名的软件,不仅仅是在安装的时候有警告,就算是在下载的时候,也会遇到微软SmartScreen的抵御,导致软件无法下载,由此可见数字签名之于软件发布的重要性。

那么,代码签名有哪些类型?

代码签名分为普通的OV代码签名证书和扩展验证的EV代码签名证书。

这两种代码签名证书都可以对软件进行数字签名,但作用是不一样的。简单来说,普通的OV代码签名证书仅仅能够对软件进行数字签名实现基本的发布者身份验证和代码防篡改。而应用EV代码签名证书,那么无论是下载还是安装,Windows皆对这个软件进行无条件放行,没有风险警告,没有安装拦截,也没有“发行者未知”的不友好提示,可谓是下载的“VIP通道”。

为何EV代码签名证书有这么安全高效的作用呢?我们不妨从下面几个方面看待这个问题:

1、EV代码签名证书执行的是更加严格的审核标准,它对于证书的申请者进行了严格的身份确认,确保证书的使用者身份真实可信;

2、EV代码签名证书通常使用更加严格的证书载体来存贮证书,即软件发布者在使用EV代码签名证书对软件进行数字签名的时候,需要拿到对应的eToken插入到电脑中,输入密码方可进行数字签名,这种方式减少了证书被恶意复制后滥用的风险。

由此可见,EV代码签名证书从性质上就已经被微软Windows认为值得信赖。所以微软的SmartScreen直接对EV代码签名证书的数字签名进行立即信任放行。

所以,如果您是软件发行商,那么天威诚信强烈建议您申请EV代码签名证书来为您的用户提供更好的软件下载、安装、运行体验。

分类
知识中心

Nginx实现OCSPStapling的方法

OCSP(OnlineCertificateStatusProtocol,在线证书状态协议)是用来检验证书合法性的在线查询服务,一般由证书所属CA提供。

在实际应用中,某些客户端会在TLS握手阶段进一步协商时,实时查询OCSP接口,并在获得结果前阻塞后续流程。OCSP查询本质是一次完整的HTTP请求—响应,这中间DNS查询、建立TCP、服务端处理等环节都可能耗费很长时间,导致最终建立TLS连接时间变得更长。

而OCSPStapling,是指服务端主动获取OCSP查询结果并随着证书一起发送给客户端,从而让客户端跳过自己去验证的过程,提高TLS握手效率。

那么,在我们常用的Nginx模式下,如何实现OCSPStaplin呢?小威将从四个方面为您讲述。

  一、要求

Nginxversion1.3.7以上

  二、自动OCSPStapling

1、在Nginx.conf添加如下到您的https配置下

ssl_staplingon;

ssl_stapling_verifyon;

resolver8.8.8.88.8.4.4valid=300s;

resolver_timeout5s;

ssl_trusted_certificateca.pem;

其中ca.pem为证书链中两张中级CA证书

2、验证OCSPStapling状态

openssls_client-connectlocalhost:443-tlsextdebug–status

已开启

OCSPresponse:

OCSPResponseData:

OCSPResponseStatus:successful(0x0)ResponseType:BasicOCSPResponse

……

未开启

OCSPresponse:noresponsesent

  三、手动OCSPStapling

1、获取OCSP地址

opensslx509-inserver.pem-noout-ocsp_uri

2、生成stapling.ocsp

opensslocsp-CAfile root.pem-issuer ca.pem-cert server.pem-urlhttp://ss.symcd.com-text-respout./stapling.ocsp

其中root.pem为两张中级CA证书和顶级根证书,ca.pem为两张中级CA证书,server.pem为服务器证书,顶级根证书请联系技术人员获取(下载连接:xx)。

注:stapling.ocsp需每次在update到期之前更新

3、在Nginx.conf添加如下内容到您的https配置下

ssl_staplingon;

ssl_stapling_verifyon;

resolver8.8.8.88.8.4.4valid=300s;

resolver_timeout5s;

ssl_trusted_certificateca.crt;

ssl_stapling_filestapling.ocsp;

其中ca.pem中为两张中级CA证书。

4、验证OCSPStapling状态

openssls_client-connectlocalhost:443-tlsextdebug–status

已开启

OCSPresponse:

OCSPResponseData:

OCSPResponseStatus:successful(0x0)ResponseType:BasicOCSPResponse

……

未开启

OCSPresponse:noresponsesent

  四、启用OCSPStapling的条件

在Nginx中配置ssl_staplingon并reload后,Nginx并不会马上获取OCSPResponse,它要等第一个请求过来,再发起异步OCSP请求,所以刚开始几个响应,很可能不带OCSPStapling。另外,有时候由于OCSP域名无法解析,或者服务器无法访问造成OCSPResponse获取失败,也会导致OCSPStapling无法生效。

分类
知识中心

如何修复 POODLE SSLv3 安全漏洞

POODLE=Padding Oracle On Downgraded Legacy Encryption.

这是一个最新的安全漏洞(CVE-2014-3566)代号,俗称“贵宾犬”漏洞。

此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全会出现严重隐患。

“贵宾犬”漏洞和之前的B.E.A.S.T(Browser Exploit Against SSL TLS)非常相似,处理方法也很接近。建议您手动关闭客户端SSLv3支持,或者关闭服务器SSLv3支持,或者两者全部关闭,即可有效防范该漏洞对您造成的影响。

以下是常见的几种web server修复方法

Apache

在Apache的SSL配置中禁用SSLv2和SSLv3:

SSLProtocol all-SSLv2-SSLv3

Nginx

在Nginx只允许使用TLS协议:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

IIS

IIS服务器需要执行注册表文件,通过修改注册表的方式来达到禁用SSLV3,也可以使用我们制作的一键式优化加密套件工具ItrusIIS.exe,可以通过一键式操作为IIS服务加密套件设置推荐配置。

下载地址:

https://www.ert7.com/download/ITrusIIS.exe

下载完成后,双击执行“ItrusIIS.exe”,选择“最佳配置”后点击“应用”。

服务器重启之后即可生效。

以及——

Tomcat

tomcat从7版本后是可以支持修改SSL协议的,在tomcat中的SSL配置中禁用SSLV3,配置如下:

如何修复 POODLE SSLv3 安全漏洞-1
如何修复 POODLE SSLv3 安全漏洞-2如何修复 POODLE SSLv3 安全漏洞-3

需要说明的是:该漏洞来自于SSLv3本身使用的算法RC4的缺陷,只能将SSLv3当作不安全协议禁用,强制使用TLS,但依然可以保障用户的信息安全,如发现该漏洞,请按照上述方法操作。

分类
知识中心

如何保护证书生命周期的每个阶段

证书生命周期的每个部分都需要其自己的保护级别和方法。发现阶段本身就是一种安全措施。通过搜索过期或丢失的证书,可以在违规行为成为问题之前检测到它们。监视阶段与此类似,因为它监视过期、未正确实现或已泄露的证书。这两个阶段都可以自动化,以实现更好的检测过程。手动管理系统可能会丢失已泄露或已过期的证书。

其余阶段需要高级别的保护和身份验证。创建阶段应确保每次创建新证书时颁发证书的 CA 都具有有效的信任链。安装应该正确,因为实施不当的证书会破坏安全,攻击者可以利用它来达到恶意目的。存储阶段需要具有很强的安全性,以便证书不会被威胁参与者破坏和滥用。证书的吊销、续订和替换也必须安全、正确地完成,因为这些阶段从头开始再次开始循环。

分类
知识中心

Apache单IP配置多个HTTPS虚拟主机方案

在Apache文档中提到,不能在单个IP上同时有多个按名字识别的虚拟主机(“named virtual host”),其实不完全是这样,接下来我们就来演示下如何打破这一魔咒。

  使用SNI

SNI全称Server Name Indication(服务器名称指示),这个问题可以解决apache中的单IP多HTTPS虚拟主机,只有默认第一个站点的SSL生效的问题。但是这些技术需要浏览器的版本支持

  支持SNI的浏览器

*Mozilla Firefox 2.0 or later

*Opera 8.0 or later(the TLS 1.1 protocol must be enabled)

*Internet Explorer 7(Vista,not XP)or later

*Google Chrome(Vista,not XP)(NOT Chromium)

*Safari 3.2.1 Mac OS X 10.5.6

  支持SNI的web容器

*apache版本在2.2.12以上

*需要mod_gnutls或者mod_ssl模块的支持

*Openssl在0.9.8j后的版本也都支持了SNI的功能

  配置Apache

打开Apache/conf/extra/httpd-vhost.conf文件并找到以下参数进行配置。

Listen 443

NameVirtualHost*:443

<VirtualHost*:443>

ServerName www.test1.com

SSLOptions StrictRequire

DocumentRoot/path/to/ssl/enabled/site

SSLProtocol all-SSLv2-SSLv3

注意,这里我们同时禁用了SSLv2、SSLv3不安全的协议。

SSLHonorCipherOrder on

SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

SSLCertificateFile conf/server.crt

SSLCertificateKeyFile conf/server.key

SSLCertificateChainFile conf/ca.crt

完成上述操作后,将CA证书ca.crt配置到该路径下。

<Directory/path/to/ssl/enabled/site/>

SSLRequireSSL

Order Deny,Allow

Allow from All

</Directory>

</VirtualHost>

“`

最后,保存httpd-vhost.conf文件并退出,使用https方式访问网站,测试证书配置是否成功。