分类
知识中心

代码签名证书过期后时间戳所起的作用

    这是许多用户经常提出的问题。首先,让我们了解一下时间戳的作用:任何数字证书都是有有效期的, 代码签名证书支持 1-3 年有效期。 然而,您的软件的生命周期一般都会更长,为了避免签名证书到期后需要重签软件和重新发布,必须使用免费提供的时间戳服务。当您对代码签名时,代码产生的哈希值将发送给 时间戳服务器进行时间戳反签名。这样,当用户下载签名代码后, IE 浏览器将进行鉴别:

 

(1) 用已经吊销的代码签名证书签名的代码不会被信任;

 

(2) 用有效的代码签名证书签名的代码,即使代码签名证书已经到被吊销,但代码仍然是可以信任的。这意味着您不用担心代码签名证书吊销后需要重新签名代码。

 

    时间戳服务是代码签名证书免费配套服务,是为了方便软件开发商可以不用担心由于代码签名证书过期而影响在有效期内已经签名的代码的正常的使用,也就是说,在代码签名证书有效期内签名的代码永远不会过期。

 

    为Windows XP中运行签名证书已经过期的CAB文件时的警告:为帮助保护您的安全,IE已经停止从此站点安装ActiveX控件到您的计算机,也就是说,对于XP来讲,签名证书过期后的处理是等同于没有签名而直接阻止运行。

分类
知识中心

智能手机中的代码签名证书

    在传统的软件交付模式中,购买者通过检查包装来确定应用程序的来源及完整性。然而,在移动网络下载的软件存在风险,因为发行商的身份更难以确定。不慎在无线网络环境中引入恶意软件,不仅会给终端用户的智能手机带来风险,还会影响整个设备网络,使所有用户遭受攻击,并导致服务中断,严重损害网络提供商的声誉和财务业绩。

 

    为保护智能手机用户,应用程序软件商店(如Windows Marketplace)现在要求应用代码签名技术,用数字签名对移动软件代码进行“签名”。创建一个“数字压缩包”,不仅能够验证软件代码的来源,还能确保代码并未被修改。

 

    代码签名基于公共密钥加密法技术。开发者或软件发行商使用“私有”密钥,在软件代码中加设一个数字签名。例如,Windows Mobile 7移动平台,在移动应用程序下载过程中,使用“公共”密钥验证签名,将应用程序签名中的散列码与所下载程序中的散列码进行对比。

 

    数字签名中的散列码用以确认文件内容,检验文件在签名后代码是否被更改或损坏。用户能够验证文件内容及软件的完整性,同时,发行商应该有能力及时有效召回损坏的证书。

 

    在传统代码签名证书中,开发者使用相同的数字签名签署所有代码。但移动应用具有独特挑战,因为它要求独特的部署和管理方法。开发者和发行商必须有能力迅速召回有漏洞、有错误及有泄露的代码,但不影响合法开发者所发布的其它版本及应用程序。

 

    理想情况下,移动代码签名的实现有两个数字认证——一个用来识别发行商,另一个用来识别内容。在这种情况下,发行商使用发行商身份标识号来签名代码,然后上传,再通过安全接口,由应用认证中心所提供的代码签名服务进行验证。一旦签名生效,它便会生成唯一的内容身份识别号,其中包括发行商身份和应用程序信息。接下来,认证中心可以使用内容身份识别号对内容重新进行签名,随后,它就可以被确定为可信的并允许发布的代码了。如果应用程序中有潜在而敏感的应用程序编程接口(API),那么在签发内容身份标识号前,便要求有第三方评估(如微软Privileged Access for Marketplace)。

 

    重新签名过程技术对最终用户设备是透明的,因为在客户端设备层面只会执行一项检验。但对于开发商和网络提供商来说,分配具体的证书有利于简便地识别并召回有问题的代码,而并不影响应用程序的其余部分。这些方案和功能为网络运营商提供了更多的操控力和更好的网络保障,不会影响创新或最终用户体验。

 

    大多情况下,来自受信源的签名代码可以被自动接收。安全警报也会提示终端用户查看签名信息,确定这一代码的可信度。某些网络提供商只接受已签名的应用程序,以便最大限度地降低网络风险;有些网络提供商则要求代码签名,以便应用程序能够访问潜在敏感的应用程序编程接口(API)。如果移动平台(如Windows Mobile 7)没能将应用程序的签名识别为有效签名,那么该平台将完全不会运行这一程序。

分类
知识中心

高端品牌SSL证书优势何在?

    高端品牌SSL证书的显著特点就是SSL证书的可信度和技术领先性。因为对于网民来讲,输入一个网址很可能就是几秒钟的事情,也就是说如果他对于网站失去信心,根本不需要任何成本,便可转换到另外一个网站上完成交易。对于网站来说,每一名流失的客户就意味着损失,这些损失往往需要更多的广告投入,去重新吸引新的客户关注。

 

高端品牌证书提升网站可信度

 

    高端品牌SSL证书的真正意义就在于他对于网站价值的提升。以VeriSign威瑞信)品牌证书为例,自诞生之日起,该品牌证书从未签发过未经身份验证的低端品牌证书,从未错发一张证书。经过10多年的发展,VeriSign证书已广为网民熟知,在145各国家和地区签发了超过百万张的SSL证书。其VeriSign 站点签章标志(VeriSign Secured® Seal)早已成为全球范围内信誉度最高的安全站点标志,每天的浏览次数超过1.5亿次。正是因为其在反欺诈钓鱼网站领域的显著作用,超过93%的财富500强企业,97%的世界100大银行,以及全球50家最大电子商务网站中的47家共同选择VeriSign SSL证书保护网站的安全。

 

高端品牌证书技术优势

 

    作为高端品牌证书,在技术上始终要处于前沿地位,并持续关注客户对于SSL证书的需求。随着技术的进步,对于加密强度的要求日益提升。以前占据市场的低端加密产品,正逐步丧失其市场优势。举例来说,一个40位强度的SSL证书,现在暴力破解仅耗时4小时,而破解VeriSign推出的拥有强制加密技术(SGC)的SSL证书则需要一万亿年以上。

    为了应对日益猖獗的欺诈钓鱼网站问题,2007年VeriSign推出全新一代拥有绿色地址栏的VeriSign扩展验证EV SSL证书。当网民登陆配置了VeriSign扩展验证EV SSL证书的网页时,浏览器地址栏将自动变为绿色,提示网站经过了高级别身份验证,地址栏上滚动出现网站身份信息及数字证书颁发机构的名称,帮助网民直观的辨别网站真伪。VeriSign在SSL证书领域的不断革新,最终确立了VeriSign 在全球SSL证书市场占据绝对领导地位。

分类
知识中心

数字证书颁发机构 (CA) 在电子商务中扮演的角色

   数字证书颁发机构 (CA) 在互联网安全生态链中扮演一个非常重要的角色,因为 CA 充当可信任的第三方在验证申请者的真实身份后才颁发SSL证书。 CA 需要有非常可靠的公钥基础设施 (PKI) 、身份验证专业人才和流程、客户支持、安全评估、证书数据库管理等等,这些系统还要支持不同的身份验证应用需要 ( 如服务器验证、客户端验证和软件代码验证等等 ) 。

 

    可以说, CA 是保护最终用户信息安全的第一道关,因为 CA  在颁发证书之前对申请证书的网站进行了身份验证,而如果 CA 没有进行严格的身份验证就会给互联网用户带来安全威胁,主要包括:

 

    (1) 如果没有验证申请单位的真实身份或没有检查申请单位是否有权使用此域名,则恶意假冒者有可能使用 SSL 证书来欺骗用户此网站就是 SSL 证书中所指的单位的真实网站。

    (2) 如果不验证申请单位是否存在 ( 不验证营业执照 ) ,则网站上所声称的公司名称可能就是一个实际上不存在的公司 ( 即:没有合法注册的公司 ) ;

    (3) 如果不验证申请人的身份和验证是否授权代表某机构申请证书,则恶意假冒者极有可能使用一个被假冒方的营业执照来申请证书,以达到假冒和欺诈的目的。

 

目前,证书颁发机构一般在只验证域名所有权的 SSL 证书 ( 超快 SSL) 中不显示单位名称,以免被非法利用,而为了防止第 (3) 种情况,一般都要求除了提供营业执照外,还需要提供第三方证明文件和电话确认。

 

    但由于目前的各个 CA 的身份验证过程都是不一样的,严格程度也不一样,所以,全球领先的各大数字证书颁发机构才发起制定了一个全球统一的、更加严格的身份验证标准来颁发扩展验证EV SSL证书,从而为最终用户的信息安全严格把好第一道关。并联合各大浏览器开发商给予扩展验证EV SSL证书不同于其他 SSL 证书的显示方式 ( 地址栏变绿 ) ,让最终用户可以非常直观地知道正在访问的网站是通过权威的数字证书颁发机构严格身份验证的真实存在的经营实体,从而放心地从事在线交易。根据09年最新的Netcraft结果,全球领先网站共部署13,000余个扩展验证EV SSL证书,其中,超过10,000个是由VeriSign(威瑞信)颁发的。经验证,VeriSign扩展验证EV SSL证书可以有效降低网上订单的放弃率,提高成交率。通过使用VeriSign扩展验证EV SSL证书,交易量提高可达27%,网上收入提高50%。另外,电子商务网站Virtual Sheet Music在采用扩展验证EV SSL证书后,销售量提高了13%,效果十分显著。更为可喜的是,目前VeriSign已与天威诚信数字认证中心(iTrusChina)携手推进国际上最为先进的绿色地址栏扩展验证EV SSL证书在国内的发展,共同抵御欺诈钓鱼网站对网民的直接损害。

分类
知识中心

如何正确选择SSL证书之管理篇

   SSL安全套结字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书(certificate ssl)的申请与配置。 决定购买何种SSL网站安全证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。本文将从管理层面对服务器证书的选择进行讨论。

 

管理层面,是否根内置?

 

    根内置,是一个证书领域的专门术语,指CA机构通过相关国际机构审查后,与浏览器生产商协调后,发布在浏览器内。浏览器厂商为CA机构根证书的真实性负责。

 

1、  自己签发的证书与根内置的第三方机构颁发的证书有什么不同?存在什么风险?

 

国内有些网站采用自签名的SSL网站安全证书(certificate ssl)提供公众服务,却并不了解其中蕴藏着极大的安全风险。SSL网站安全证书的两个关键功能,除了广为所知的加密通道外,网站身份识别的作用在钓鱼网站泛滥时尤为重要。CA机构需要极其严格的审核过程,才能把根植入浏览器内。通过根内置的证书才能在对用户透明的前提下完成对服务其身份的认证。 自签名的证书由于需要客户端下载根证书才能完成SSL网站安全证书的验证过程,而把对根证书真伪的判断强加给对此毫不知情的用户,显然存在极大的风险。因为,钓鱼网站可以伪造自签名的SSL网站安全证书欺骗用户。

 

2、根内置与非根内置的第三方机购颁发的证书有什么不同?存在什么风险?

 

由于实施了《电子签名法》,国内机构在颁发合法的客户端证书的同时,开展SSL网站安全证书业务,如果该类SSL网站安全证书用于内部应用,可以实现相应的安全应用,但对于互联网应用服务,却存在极大的安全风险和隐患。 从本质来讲,非根内置的SSL网站安全证书和自签名证书有同样的风险,钓鱼网站在伪造SSL服务器证书的同时可以伪造第三方机构的根证书。而由于这种伪造造成的损失,服务提供商和第三方机构间的责任划分存在明显的隐患。

 

 管理方面 

 

即使把SSL服务器证书选择限定在根内置证书的范围内仍存在太多的选择。

 

1、  品牌是重要的吗?

 

SSL网站安全证书(certificate ssl)本身也具有品牌性的,要考虑提供互联网服务的品牌是否与服务器品牌相适应,例如,从VeriSign来说,VeriSign本身也提供三种品牌的服务,VerSign的高端产品,以及服务于非洲、或国际市场的中低品牌thawtegeotrust。而从VeriSign的品牌来说占据世界500强的94%,可见,SSL网站安全证书品牌是和互联网业务相辅相成的。采用高端的SSL网站安全证书品牌对提高服务的互联网应用的品牌价值具有重要的意义。

 

2、品牌的服务质量如何?

 

SSL证书之所以具有品牌性,和其提供的服务价值密不可分,服务质量可以分为三个方面 服务的可延续性,SSL服务器证书作为持续服务的产品,其延续性和互联网应用的可持续性密切相关,而作为商业机构的SSL服务器证书颁发机构,处于底层的第三方机构由于自身业务能力,公司实力却存在破产或者停业的风险。从而,影响所提供的互联网应用服务自身的品牌价值。 服务的严谨性,SSL服务器证书要证明所代表互联网服务的网站身份,因此需要严格的鉴证审批流程,而严谨的鉴证流程是保障互联网服务提供商和最终用户权益的必要条件。因此,所谓的快速发证和无鉴证流程在提供便利性的同时,是以牺牲客户利益和带来风险为前提的。 服务的本地化,目前SSL服务器证书一般均是国外机构在中国的战略合作伙伴或代理颁发,战略合作伙伴一般可以提供良好的本地化服务,而代理商鱼龙混杂,需要通过对公司实力、服务时间等仔细甄别,判断是否能提供适当的本地化服务。 

 

3、证书的价值如何体现?

 

证书的价值在于SSL网站安全证书品牌带来的良性促进,以及合法的本地利益保障,由于国内外企业制度,企业身份的认证过程不同,因此,需要符合本地法律的鉴证流程保障合法利益。本地鉴证是根据国情制定的鉴证策略,互联网服务上合法利益受到损害时可以得到中国法律支持的利益保障。因此,能提供本地见证服务,也是SSL网站安全证书选择中关键的一环。 本文讨论了SSL网站安全证书选择时需要关注的环节,以及一些选择的风险和安全隐患。当然,技术在不断进步,管理和服务模式不断更新,需要根据实际情况和背景调整思路,以便做出有利于互联网服务发展的更好选择。

分类
知识中心

如何正确选则SSL证书之技术篇

互联网启蒙于美国军方的内部网络,由于其是一个专网,初期网络规模小,处理能力低,设计的TCP/IP协议的核心是信息传递,很少涉及信息安全,因此,应用层协议http、smtp、ftp均是明文数据,未采用加密措施。

 

随者互联网的普及,互联网应用层出不穷,同时,由于互联网的爆炸性增长,接入互联网的节点泥沙俱下,带来各种各样的互联网威胁,如何辨别一个网站的身份,如何安全的传递机密或隐私信息,成为至关重要的问题。

 

    SSL安全套结字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL证书(certificate ssl)的申请与配置。 决定购买何种SSL证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题。本文将从技术层面对服务器证书的选择进行讨论。

 

技术层面:

 

1、  加密位数越高越好吗?

 

    目前市场上的SSL证书中,对于加密位数有个加密位数越高越好的误区,SSL协议涉及到的加密的环节,有两个加密位数,一是证书公钥位数,分为512位、 1024位、2048位,主流的是1024位。一是会话秘钥(对称密钥)位数,分为40位,128位,256位,主流的是128位。公钥算法主要是用来加密会话秘钥,会话秘钥是SSL会话建立之后对会话内容进行加密,会话秘钥的长度和浏览器支持的密钥长度相关,微软的IE系列浏览器,有40位和128位两种,VeriSign SSL证书采用SGC技术,可以实现40位IE浏览器的128位强制加密,其他处于从属地位的浏览器,例如firefox,可以支持 256位会话秘钥。主流的密钥长度在目前的技术水准下,破解的难度相当高,暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的,且有效期较短,基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源,在密钥长度增加的同时,会带来更大的性能负载,在主流密钥长度可以提供足够安全的保障前提之下,更长的密钥长度只能带来无效的负载增加。

 

2、  证书链的层级越少越好吗?

 

    目前市场上的SSL证书中,对于证书链的长短也有不少争议,有VerSign证书链在美国为二级,在中国为三级,三级证书链验证过程时间长的说法。其实,证书链的长短有多方面的原因,涉及到不同的安全级别、证书颁发策略,不能一概而论。证书链越长当然验证的时间也越长,不过在不超过四级的长度下,性能接近相同。比如,目前的VeriSign扩展验证EV SSL证书,就存在两条证书链,一条是三级,适用于IE7等新版本浏览器,一条是四级,适用于windows 2003下的IE6等稍旧版本浏览器。 由根CA直接签发证书的二级结构,需要根证书在签发证书时在线,如果,业务处于饱和状态就要求根证书一直在线,不符合一般CA安全的密钥安全管理原则,也极大的增加了根密钥的安全风险。因此,此类的证书已经不是主流的证书类型。

分类
知识中心

金融网站 安全先行

金融网站客户争夺战硝烟渐起

 

    一台电脑和一根网线,你就能随时掌控自己的资金流向。“网上炒股”、“网上外汇买卖”等新兴的交易方式已成为众多金融机构争夺客户的重点。各大银行、证券公司、基金机构都开通并不断完善自己的网络交易平台,推出各种费率优惠措施聚拢人气,而各交易平台24小时实时操作,汇集众多的实用功能更进一步吸引了网民的视线。根据08年1月中国互联网络信息中心发布的报告显示:网上炒股票、基金比例与中国股票和基金市场的变化大体一致,节节攀升,网民中进行网上炒股票、基金的比例为18.2%,比2007年6月提高了4.1个百分点,达到3,822万人次,比2007年6月多出了1,538万人次,仅在2007年第三季度,金融厂商服务访问次数就超过9亿人次。为了能沾上全民理财的顺风车,就连一些电子邮箱也推出了个性化理财信息。面对空前的热情,我们金融站点真的准备好了吗?2006年到2007年,CNCERT/CC的统计网络仿冒时间数量由563件增加到1326件,增长率近1.4倍,而其中矛头直指金融网站。

 

留住客户从安全意识培养开始

 

    为了对抗钓鱼网站频发,最有效的途径便是让网民能通过简单的方法辨识真实网站,而不仅仅只是通过网页的外观或域名地址判断网站的真实性。对于一个友好的安全网站来说,采用SSL数字证书技术为客户网上传递的信息进行保护是最基本的防护手段,而拥有了一张数字证书,对于网站来说就相当于拥有一张“身份证明”。全球最值得信任的网络基础架构供应商—威瑞信(VeriSign)在全球范围内为超过1百万台服务器提供安全认证服务,要拥有“身份证明”公司可以购买并在网站上展示“安全站点签章(VeriSign Secured®  Seal)”,该标志可以有效地防止钓鱼网站仿造,客户借此便可判断网站真实身份,确认自己身处一个安全的交易环境之中。目前VeriSign安全站点签章每天正接受着消费者超过1.5亿人次的浏览,但相对国外成熟完善的市场,国内的SSL证书部署数量和站点签章标志部署数量,以及签章标志的认知度还与国际上有较大差距。不过值得注意的是,国内不少网上银行、基金公司已经在自己的网站上开辟了网页来介绍网站所采用防钓鱼安全技术,帮助客户了解数字证书并减少登录钓鱼站点的机率。据VeriSign在国内SSL数字证书业务的首要合作伙伴天威诚信数字认证中心介绍,目前已经可以为国内客户提供最新的EVSSL证书,该技术不但可以提供传统SSL技术,最为重要的是IE7.0、FireFox3.0等浏览器通过与EVSSL配合可以通过浏览器地址栏颜色的变化帮助客户辨认网站的真实性,这将显著增强网站抵抗钓鱼网站的能力。据了解,目前网民在登录中国工商银行、招商银行、中信银行的网上银行系统时已经可以看到绿色地址栏,网民已可以进入 EVSSL保护的安全加密通道。

 

安全从加密强度开始

 

    目前绝大多数的金融站点或多或少的均采用了部分SSL证书加密技术提升网站的安全防护,但从安全角度来看却又不尽相同。由于金融站点传递的信息直接涉及企业或个人的财务安全,金融网站的安全问题是其生存和发展的生命线。作为专业的第三方数字认证服务机构,天威诚信目前可以提供从40位直到256位加密技术的SSL数字证书服务, 不同类型的网站可以选择适当安全加密级别。但对于金融站点天威诚信则希望客户选择更为高端的技术,因为低强度的加密技术不但不能有效保护网站的安全,更给客户信息安全带来了很大的潜在风险。为了更好的说明这点,这里举个简单的实例,1997年一名学生针对40位加密强度以暴力方式破解,耗时4小时,而目前凭借最高端的计算终端和计算能力这一过程被缩短到了几分钟,而同样的破解方法用在128位加密强度上,则要耗费一万亿年以上。

分类
知识中心

数字证书八种应用模式

1、    信息安全传输

 

在各类应用系统中,无论是哪类网络,其网络协议均具有标准、开放、公开的特征,各类信息在标准协议下均为明文传输,泄密隐患很严重。因此,重要敏感数据、隐私数据等信息的远程传输需要通过可靠的通信渠道,采取加密方式,达到保守机密的目的。

 

同时,由于各应用信息在网上交互传输过程中,不仅仅面临数据丢失、数据重复或数据传送的自身错误,而且会遭遇信息攻击或欺诈行为,导致最终信息收发的差异性。因此,在信息传输过程中,还需要确保发送和接收的信息内容的一致性,保证信息接收结果的完整性。

 

    应用数字证书技术保护信息传输的安全性,通常采用数字信封技术完成。通过数字信封技术,信息发送者可以指定信息接收者,并且在信息传输的过程保持机密性和完整性。

 

2、安全电子邮件

 

电子邮件是网络中最常见的应用之一。普通电子邮件基于明文协议,没有认证措施,因此非常容易被伪造,并被泄密内容。对于重要电子邮件,应具有高安全保护措施,因此基于数字证书技术来实现安全邮件在实际中具有巨大需求。

 

    应用数字证书技术提供电子邮件的安全保护,通常采用数字签名和数字信封技术。数字签名保证邮件不会被伪造,具有发信人数字签名的邮件是可信的,并且发信人的行为不可抵赖。数字信封技术可以保证只有发信人指定的接收者才能阅读邮件信息,保证邮件的机密性。

 

3、安全终端保护

 

随着计算机在电子政务、电子商务中的广泛使用,保护用户终端及其数据越来越重要。为了保证终端上敏感的信息免遭泄露、窃取、更改或破坏,一方面可基于数字证书技术实现系统登录,另一方面对重要信息进行动态加密,保护计算机系统及重要文件不被非法窃取、非法浏览。

 

    在电子政务、电子商务中应用数字证书技术实现安全登录和信息加密,采用了数字证书的身份认证功能和数字信封功能。应用系统通过对用户数字证书的验证,可以拒绝非授权用户的访问,保证授权用户的安全使用。用户通过使用数字信封技术,对存放在业务终端上的敏感信息加密保存,保证只有具有指定证书的用户才能访问数据,保证信息的机密性和完整性。

 

4、可信电子印迹

 

“电子印迹”是指电子形式的图章印记和手写笔迹。

 

在政府机关信息化建设中,电子公文受到广泛使用。通过电子公文来实现单位内部及单位之间流转传达各种文件,实现无纸化的公文传递、发布,可以有效提高行政办公效率。在电子商务应用中,电子合同等电子文书同样受到广泛使用。为更好体现这些电子文档作为正式公文的权威性和严肃性,它们常常需要“加盖”电子形式的图章印记或显现电子形式的手写签名笔迹,从形式上符合传统习惯。当接受方对电子文件进行阅读和审批时,就需要确认电子文件以及上面的公章图片的真实性、可靠性,防止电子印迹被冒用,造成严重事故。

 

    应用数字证书可以提供可信电子印迹,通常是采用数字签名技术完成的。通过数字签名,可以将签名人的身份信息不可抵赖地集成在电子印迹中,从而保证了电子印迹的权威性和可靠性。

 

5、可信网站服务

 

    网站服务假冒是互联网上常见的攻击行为,恶意假冒网站服务所带来的威胁非常严重,不仅会造成网络欺诈,带来纠纷,还会导致虚假信息发布,影响网站信誉,产生恶劣的后果。

应用数字证书技术可以提供可信网站服务,采用数字证书的身份认证功能,网站用户可以通过对网站的数字证书进行验证,从而避免遭受假冒网站服务的欺骗。

 

6、代码签名保护

 

    网络因其便利而推广,也因其便利带来一些不利的影响。电子政务、电子商务的用户通过使用网络共享软件方便工作,网站通过控件等技术手段为用户带来便捷,但这些软件、控件等的安全性如何保障?软件的提供商是软件的责任单位,但是网络中可能存在的仿冒行为为软件的使用带来安全隐患。

    数字证书的一项重要应用就是代码签名,通过使用数字签名技术,软件的使用者可以验证供应者的身份,防止仿冒软件带来的安全风险。

 

7、授权身份管理

 

    授权管理系统是信息安全系统中重要的基础设施,它向应用系统提供对实体(用户、程序等)的授权服务管理,提供实体身份到应用权限的映射,提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。

    授权管理的基础是身份鉴别,只有通过数字证书技术,有效地完成对系统用户的身份鉴别后才能正确授权,达到安全保护的最终目的。数字证书技术是授权管理系统的基础,授权管理系统的身份管理依赖于数字证书的身份认证技术。

 

8.行为责任认定

 

    在各个业务系统中的行为,需要通过身份确认、行为审计等手段,在发生意外事故、甚至是蓄意破坏时能够有效的明确责任所在。

    通过使用数字证书的身份认证和数字签名技术,可以在日常操作时正确有效地认证执行者的身份,并在业务系统中使用数字签名对行为日志等签名保存,以供取证时使用。通过使用数字证书相关技术,各项业务操作的行为审计和责任认定可以得到有效保障。

分类
知识中心

SSL协议简介

   SSL(SecuresocketLayer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。

 

    安全套接层协议(SSL,SecuritySocketLayer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator4.04版开始的所有浏览器中引入了一种被称作”表单签名(FormSigning)”的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用”SSL+表单签名”模式能够为电子商务提供较好的安全性保证。

分类
知识中心

EVSSL证书铸造网络信任防火墙

   在中国互联网信息中心7月份公布的《第22次中国互联网发展状况报告》结果显示,中国网民已经增长到2.53亿,成为世界第一,大家开始依赖网络生活,但是对网上交易安全性却极度缺乏信任,甚至给出了不及格的评价。难道网上银行、网络交易真的处处陷阱,步步惊心吗?

 

    面对这种局面,金融站点、购物网站并未坐以待毙,都在积极采取应对措施,如何重新获得网民的信任,并将这种信任加以巩固?全新扩展验证EV SSL证书的登台献艺,为正处在信任危机中的国内网站带来新的契机。金融机构的各大网上银行,目前正陆续开始换装新一代扩展验证EV SSL证书,用户在登录有扩展验证EV SSL证书保护的银行网站时,网站地址栏将变成绿色,真假网站一目了然。

 

安全防范源于严格

 

一张我们既看不到也摸不到的所谓“证书”就真能保障消费者利益?

 

服务器证书是通过在客户端浏览器与Web服务器之间建立一条SSL安全通道从而保证双方信息在网络上传输的安全性,用户可以通过查看服务器证书属性信息便可得知所访问站点的真实与否。新一代扩展验证EV SSL证书的产生更是为了杜绝在全球方位内频频发生的在线欺诈泛滥问题。它是全球著名的数字证书颁发机构(如:VeriSignGeoTrust、Thawte等等)联合主流浏览器开发商一起构建起的安全防护网络。

 

    所谓“扩展验证EV SSL证书”,是遵循全球统一的严格身份验证标准颁发的SSL证书,用来保护用户不与没有经过严格身份验证的网上商户进行在线交易。所有颁发扩展验证EV SSL证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份审核,而浏览器能自动识别出扩展验证EV SSL证书,使得地址栏主动变成绿色。这样以来在线消费者便可安心交易,因为消费者能非常清楚地知道他们正在与谁交易,并且他们的交易数据正在安全加密通道的保卫之下。扩展验证EV SSL证书通过在业务层面上对申请机构的严格审核,尽可能地规避了由于审核标准不同而产生服务器证书拥有者身份不真实所带来的安全隐患。

一纸应运,效益显见

 

扩展验证EV SSL证书的广泛应运,在全球范围内都得到了使用者的赞誉。全球最值得信任的网络基础架构供应商—威瑞信(VeriSign)在扩展验证EV SSL证书推出之后,曾做过一个关于扩展验证EV SSL证书的调查,结果显示:相比由常规服务器证书保护的站点,93%的互联网用户更青睐绿色标记的EVSSL站点;同时97%的购物者看见绿色标志时会使用信用卡,而没有看见绿色标志时,这一意愿下降到63%。同时国外著名的购物网站在使用扩展验证EV SSL证书后交易量也有显著变化:Overstock..com使用EVSSL后,购物车定单放弃率降低了8.6%;Paypal在使用扩展验证EV SSL证书后,“购物车定单放弃率也降低了几个百分点”; Virtual Sheet Music 网站在使用扩展验证EV SSL证书交易量则增长13%。由于扩展验证EV SSL证书更具识别性,它正开始让交易变得更加便捷可信。

 

    天威诚信作为国内技术力量强大的第三方CA机构,同时也是威瑞信(VeriSign)在中国的首要合作伙伴,一直在积极推进扩展验证EV SSL证书的广泛使用。为了让更多客户能够了解扩展验证EV SSL证书,保障电子商务在中国的健康发展。7月天威诚信与威瑞信在上海隆重举办了华东地区扩展验证EV SSL证书高端用户答谢会,面对面地为大家讲解和展示了扩展验证EV SSL证书的功能和相关技术,双方相信构建一个规范运营,诚实守信的网络商圈,需要各方积极参与,商家、网民、第三方数字认证机构需要同心协力,扩展验证EV SSL证书才能在国内发挥更佳的作用。