SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU),主要是考虑到2000年以前美国政府对高强度加密算法(128位)出口限制的因素而推出的,由于出口管制的原因,2001年以前推出的浏览器版本(如:IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法,但由于电脑硬件技术和CPU处理速度的快速提高,使得破解40位加密算法只需几秒钟,而破解56位加密算法也只需几天时间。为了加强美国以外的国家的电子商务和网上银行的安全,SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EKU),也就是说:即使受出口限制的40位或56位浏览器或服务器,只要使用支持SGC技术的SSL证书,就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。
月度归档: 2011年9月
扩展验证EV SSL证书是如何诞生的?
Extended Validation SSL Certificate, 简称为:扩展验证EV SSL证书,意思是:遵循全球统一的严格身份验证标准颁发的 SSL 证书,扩展验证EV SSL证书的诞生是为了对付日益猖獗的网上欺诈犯罪,意在恢复并增强人们对网上在线交易的信心。
Forrester Research 在 2005 年做了一项调查,有 84% 的受访者认为网上购物服务提供商没有做好保护消费者的在线交易安全工作,而 24% 的受访者称由于担心不安全而不会在网上购物。而目前还没有一个有效的防止网上欺诈的安全手段,只能提醒用户注意查看正在访问的网站的域名是否确实是某某银 行的网址,这是远远不够的。特别是针对中国普通网民,有多少人能记住中国银行的网址是: bank-of-china.com 而不是 bank-off-china.com ,招商银行网址是 cmbchina.com 而不是 cmb-china.com 等等。特别是值得信任的安全锁也变得谁都可以申请到而只需要简单的验证域名所有权,这给了在线诈骗分子有了一个可乘之机,因为普通消费者是不能识别没有严格身份验证的 SSL 证书 ( 超快 SSL) 和已经严格身份验证的 SSL 证书 ( 超真 SSL) 有什么不同,因为都会在浏览器上显示一个安全锁标志。
为了解决出现的在线欺诈泛滥问题,全球著名的数字证书颁发机构(如:Comodo、VeriSign、GeoTrust、 Thawte等等)联合主流浏览器开发商(如:微软、 Mozilla 、 Opera 和 KDE 等)创立了数字证书和浏览器论坛 ( www.cabforum.org ) ,拟在开发一个解决方案来解决网上信任危机和有效地防止在线欺诈犯罪。扩展验证EV SSL证书就是第一个开发成果来保护用户不与没有经过严格身份验证的网上商户从事在线交易,所有颁发扩展验证EV SSL证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份验证,而浏览器能识别出扩展验证EV SSL证书而使得地址栏变成绿色,这样,在线消费者就能非常清楚地知道他们/她们正在与谁做生意。
扩展验证EV SSL证书 – 帮您提升客户的信任度
SSL证书是 PKI 公钥基础设施中的最常用的数字证书,是构建安全的电子商务的基石。 SSL证书提供了三种安全服务 — 机密性、完整性和身份验证,确保用户能:
(1) 安全地与网站服务器进行通信,所有在线输入和查阅的信息都不会在传输过程中被非法窃取(机密性);
(2) 确保机密信息不会被非法篡改(完整性) ;
(3) 确保用户确实是在访问一个所要访问的网站,而不是一个假冒网站(身份验证)
而第 (3) 点最能理解为何需要扩展验证EV SSL证书。对于一个只验证域名的 SSL 证书,没有任何保证 www.ABCcompany.com 就是 ABC Company 申请的 SSL 证书,用户也无法查验。同时,用户也无法识别到底 www.ABC-company.com 还是 www.ABC-company.com 是他 / 她要访问和交易的正宗网站。也就是说,没有通过身份验证的网站,就给了网上钓鱼欺诈者一个机会可以用一个相象的域名来欺骗那些没有防范意识的用户以为是在 与他 / 她希望从事网上交易的公司进行在线交易,从而骗取用户的钱财。而对于中国普通老百姓由于不懂英文或无法记住复杂的英文域名,就更容易上当受骗了。但是,如 果通过严格身份认证的网站在访问时地址栏显示绿色,那就简单多了,中国老百姓就非常容易识别了,只要记住是否显示绿色就可以了。
申请扩展验证EV SSL证书,申请单位必须经过非常严格的身份验证,而此严格的身份验证流程是由 CA/Browser 论坛制订的增强型身份验证标准(还未最终定稿) ,所有颁发扩展验证EV SSL证书的证书颁发机构必须严格按照此标准来颁发扩展验证EV SSL证书。除了要验证域名所有权外,还包括:申请单位授权其员工办理申请证书手续的授权书、验证申请单位是在当地政府合法注册的、营业执照是有效的(已经年检 的)和是有固定办公场所的等等。
分类
央行公布支付牌照二批名单
昨日,央行公布第二批获支付牌照的13家企业名单。算上今年5月18日首批拿到牌照的27家企业,至此已有共计40家企业获牌。但备受业界关注的三大运营商的支付公司却不在此次获牌范围内。
13家企业中7家为预付卡企业
获牌的13家企业包括:上海银联、杭州银通、联动优势、成都摩宝、捷付睿通、证联融通、上海得仕、山东鲁商一卡通、中付通、上海畅购、四川商通、南京市市民卡有限公司,以及上海富友。其中7家为预付卡企业。
其中上海银联、杭州银通数码、联动优势、成都摩宝网络、捷付睿通获得互联网支付和移动电话支付业务许可。
证联融通电子有限公司获得了单独的互联网支付业务许可。上海得仕、山东鲁商一卡通、中付通信息、上海畅购、四川商通、南京市市民卡、上海富友金融获得的是部分省市的预付卡发行与受理业务许可。
牌照总共或发200张左右
备受业界关注的三大运营商的支付公司不在此次获牌范围内。易观国际分析师张萌预计,一方面由于此次申请企业数量较大,央行审批时间较紧,另一方通过公示的企业中大量的预付费卡企业如不能获牌,后续的退出机制也有待明确。所以易观预计,关于9月1日的最后期限有望进行调整,稍后或将陆续发布后续牌照以及对未获牌支付企业退出等问题发布相关规定。
中国支付体系研究中心主任张宽海表示,预计中国第三方支付公司的牌照总共会发200张左右。
第三方支付交易或将高增长
易观智库的监测数据报告显示,第二季度第三方互联网在线支付市场交易规模达到4609亿元,环比增长16%,同比增长95.3%。与第一季度相比,一方面二季度电子商务类交易有较大幅度的回升;另一方面二季度首批27家支付牌照发放,增强了获牌支付企业发展的信心,也提升了众多传统行业和金融类企业对第三方支付企业的信任度,所以本季度第三方支付企业在面向企业类的支付交易规模也大幅增加,如保险、教育、基金、物流等行业。
预计第三季度受季节和支付牌照发放的影响,整个第三方支付行业的交易规模将继续保持高速增长。
全球最可信赖的站点签章标示
VeriSign 信任签章已在 165 个国家和地区中超过 100,000 个网站上部署,一天显示次数多达 6亿5千万次。同时VeriSign信任签章也显示在已启用相关功能的浏览器的搜寻结果中、以及合作伙伴的购物网站和产品评论网页上。VeriSign签章无疑是互联网上的头号信任标志。
每日恶意软件扫描,拒绝恶意代码感染
所有 VeriSign 签章可通过VeriSign证书的注册管理员对网站日常的恶意软件扫描进行管理,让网站和网站访问者远离网站恶意代码感染,在网站和用户之间进一步建立信任。
Seal-in-Search:搜索引擎中的可信签章
VeriSign签章客户还可以通过VeriSign Seal-in-Search受益。通过 VeriSign Seal-in-Search,相关的搜索引擎、合作伙伴和安全工具都会在搜索结果中的网站链接旁边显示VeriSign Trust Seal(需安装AVG Plug-in浏览器控件程序)。VeriSign Seal-in-Search 为 VeriSign 客户带来即时竞争优势,方便网民从搜索结果中快速甄别拥有信任指标的VeriSign认证网站。
VeriSign Trust Seal 优势
部署VeriSign信任签章(VeriSign Trust Seal)可通过网络向全世界展示您经VeriSign确认的真实网络身份,且通过签章信息证实您的站点已经通过VeriSign恶意程序扫描,有效避免网站恶意程序对访问者造成的损害,对站点造成的负面影响。更向客户展示网站页面不包含恶意代码,且使用 VeriSign 的安全套接层 (VeriSign SSL证书)保障数据传输安全。
现在,任何网站都可以申请使用VeriSign信任签章建立在线信任度、可靠性与忠诚度。通过显示 VeriSign信任签章来提升访客信心。向客户展示您的网站受到全球数字认证领导者VeriSign的信任,因而可以放心浏览、购买产品及分享文章,促进线上阅读、销售及客户忠诚度。
|
功能看点 |
|
 |
页面显示全球第一品牌的信任标志:VeriSign Trust Seal,可向您的网站访客显示您已受到全球数字认证领导者VeriSign的信任,让访客能够放心购买、点击以及登录。 |
 |
您的身份信息已由VeriSign 验证且通过了严格的鉴证程序检验。通过点击签章图标,您可以向客户展示经由VeriSign验证的网站合法拥有者身份信息。 |
 |
保护访客及您的网站免受恶意软件的侵害。网站恶意软件扫描会每日检查您的网站页面,防止网站被植入恶意代码,避免网站被列入搜索引擎黑名单而降低网站访问量。 |
 |
为了让您的网站在搜寻结果中脱颖而出,VeriSign搜索结果签章可在搜索链接旁显示,帮助您的网站获得更多点击,增加网站阅读量。 |
推荐使用者
任何网站都可以通过显示VeriSign信任签章(VeriSign Trust Seal)建立网上信任度、可靠性及忠实度。
- 电子商务网站:如果您的网站不处理在线交易或您的购物车或付款服务由第三方提供商提供,那么选购VeriSign信任签章(VeriSign Trust Seal)是最佳选择,您可以展示该标志让您的客户放心在线购买。
- 线上出版商(发行商):阅读量与点击率是您成功的关键。通过在搜寻结果中脱颖而出,可以增加点击率,通过VeriSign信任签章建立可信度能够增加阅读量。
- 小型企业拥有者:您已经在附近区域建立起商业信誉。VeriSign信任签章可帮助您将同等级的信任带到互联网上。
- 售卖、登记机密资料的网站:如果您通过网站搜集或共用个人信息,则需要使用 VeriSign SSL 证书确保信息处于安全加密保护中。
安装配置
VeriSign信任签章(VeriSign Trust Seal)就像将图片加入到网页中一样容易。在您申请VeriSign信任签章后,VeriSign会验证您的签章所部署的域名,并扫描您的网站。当您的签章准备完毕后,就会收到电子邮件通知。
进入Trust Seal签章代码获取页面:http://www.verisign.com/trust-seal/trust-seal-visibility/agreement/index.html
在签章代码获取页面,您可以对签章语言、签章大小、签章启用图片或动画等细节进行定制。
在获取的代码中,只需要将 script 部分的代码放入 Web页面中需要显示签章的位置,即可在页面中显示签章信息。
当访客访问您的网站时,点击VeriSign信任签章,他们就可以看到您提供给VeriSign且经过验证后完全可靠的信息,包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况。
你的SSL服务器上是否存在错误配置或已知漏洞这样的安全隐患呢?根据以下10个技巧,可以帮你避免这些常见的SSL安全威胁。
1.禁用SSLv2。早在15年前,这个版本的SSL协议早就被确认存在安全问题了,但还是有很多Web服务器仍然支持这个协议。
禁用它只需几分钟的时间。例如,在Apache v2中,你只需要改变默认设置:
SSLProtocol all
to
SSLProtocol all -SSLv2
2.禁止支持弱加密。几乎所有Web服务器都支持128位强度或者256位高强度的加密算法,但也有少部分的Web服务器支持弱加密。弱加密会被黑客利用,威胁企业信息安全。所以,没有理由去支持弱加密服务。同样,在几分钟之内就可以禁用掉这个服务,例如:
SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW
3.确保你的服务器没有支持不靠谱的重新握手和协商过程。SSL和TLS身份认证的漏洞容易遭到中间人攻击的利用,进而导致任何内容都可以重定义并注入到加密的数据流当中。大部分厂商都发布了此漏洞的补丁,若你还没有打这个补丁,最好还是先禁用这个重定义服务吧。
4.确保通过SSL认证的所有阶段。关键是要保护你的用户证书,也就是说用户通过SSL连接提交给你登录表单,同时,你要保护他们的证书安全。否则,黑客会通过他们自己的服务器来拦截你的信息并转发一个恶意信息给用户,以便窃取到用户们的授权证书。
5.在你的网页上不要把SSl保护的内容和明文内容混在一块。混合使用加密认证会导致你的网站受到攻击,因为像Javascipt这种单个未受保护的资源容易被注入恶意代码或者是受到中间人攻击。
6.使用HSTS加密保护你的域(包括子域)。用HSTS协议来保护你的网站,在你首次访问网站中的任何连接时,可以将HTTP自动转换成HTTPS。与此同时,若用户持非法私有证书,是不能再次浏览该网站的。这就意味着,黑客将不能你的用户转移到那些他们所操控的具有不安全SSL连接以及危险cookies信息的钓鱼网站了。
STS协议头必须保证只通过HTTPS发送,并且配置应该尽可能地清晰简单。其配置只需要简单的两行命令。例如在Apache中,你可以输入下面的命令:
Header set Strict-Transport-Security “max-age=XXXXXX”
Header append Strict-Transport-Security includeSubDomains
7.使用HttpOnly和安全标识来保护cookies。用来鉴定SSL会话持续时间的cookies常常会削弱SSL会话的安全性。HttpOnly标识可以隐藏你的客户端脚本,所以他们不能通过跨站点脚本攻击来窃取信息。也就是说,安全标识cookies只能通过加密的SSL来传输,因此不能被截获。
用HttpOnly来配置你的Web服务器证书,从而保护cookies。通过这样简单增加安全属性的方法,可以防御上述两种类型的攻击;用HttpOnly来设置Cookie Http响应前端:
Set-Cookie: =; =
; expires=; domain=
; secure; HttpOnly
8.使用扩展验证(Extended Validation)EV SSL证书。虽然这个证书对于你的网站安全来说并不是非常必要,但是EV证书可以在地址搜索栏上展示出明确的视觉确认效果,通过安全的SSL连接,用户可以一下子就确认是你的网站,而非钓鱼网站。
9.确保你的证书被包含在子域当中。为了避免网站用户得到错误的证书,你要确保https://www.yourdomain.com和https://yourdomain.com 都覆盖了你的SSL证书。
你可以使用多域名SSL证书,它可以允许你最多选择三个主名(SNAs)例如yourdomain.com 或 www.yourdomain.com
10.进行SSL服务器测试。使用Qualys公司的SSL实验室可以进行免费测试,你可以检查SSL服务器配置,认证链,以及协议和密码组在内的整体SSL安全状态。
黑客已经从一个证书授予机构取得数字证书,这使得他们可以向许多域发送欺诈公钥证书请求,包括搜索引擎巨头谷歌所拥有的网站。
VASCO数据安全国际公司的子公司,位于荷兰的证书颁发机构DigiNotar,为网络犯罪分子颁发了证书,使他们获得了使用流氓SSL证书劫持Gmail帐户,以及使用SSL和EVSSL证书(为安全考虑同时向用户证明其合法性)欺诈安全的网站的能力。这次违反操作发生在7月19日。在VASCO发出的一份声明中,该公司表示它们已撤销了所有的诈骗证书。
“最近,我们发现,至少有一个欺诈性的证书在那时还没有被撤销,”该公司表示,“在荷兰政府组织Govcert发出通知后,DigiNotar立即采取行动撤销了欺诈证书。”
这次攻击是针对DigiNotar用来颁发其数字证书的系统。目前,证书颁发机构暂停出售其SSL和EVSSL证书,直到得出其他安全审计结论为止。VASCO表示,运行其强认证业务的系统没有受到这次违反的影响。关于被盗证书的详细信息已于上周六发布到一个公共论坛上。
本周一,谷歌回应了流氓证书,声称它已经在Chrome浏览器中禁用了DigiNotar证书颁发机构。谷歌表示,证书的主要影响在伊朗的人。此外,Mozilla也已经禁用了对该证书的支持。
“这表示,如果Chrome和Firefox的用户试图访问使用DigiNotar证书的网站,那么他们将收到通知,”谷歌的信息安全经理Heather Adkins在谷歌在线安全博客中这样写道,“为了帮助防止不必要的监视,我们建议用户,特别是那些在伊朗的用户,保持网络浏览器和操作系统的更新,并注意Web浏览器的安全警告。”
本周一,微软发布了一个安全公告,表示其已经为Windows Vista和Windows 7用户从受信任的根证书列表中删除了DigiNotar根证书。
“该证书潜在的影响了那些试图访问Google旗下网站的互联网用户,”微软可信赖计算主任Dave Forstrom在微软安全响应中心博客中写道,“欺诈证书可用于欺骗Web内容,进行钓鱼攻击或对最终用户执行中间人攻击。”
攻击者过去曾有针对性的攻击证书颁发机构。今年三月,在黑客入侵了一个Comodo公司登记管理机关合作伙伴的系统后,他们从Comodo公司偷走了证书。该泄漏导致了在七个Web域发布了九个欺诈证书,包括搜索引擎巨头谷歌和雅虎。一位伊朗黑客声称对这次SSL证书偷窃负责。Comodo公司表示,Comodo根键(root keys),中间计算机结构(intermediate CAs)或安全硬件没有收到损害。
