分类
网络新闻

天威诚信数字认证中心为政府网站安全支招

近日,一个关于“最雷人”政府网站的帖子在互联网上一起轩然大波。吉林省永吉县人民政府网站所做的一项关于“满意度”的民意调查中,仅设两个 “满意”和“非常满意”两个选项引起网民争议,并在新华网和人民网都出现了相关报道。永吉县政府办公室信息中心韩主任对媒体解释说,此事是由于该政府网站遭遇了黑客恶意攻击所致。事件是否另有隐情自有公断,但是通过这次事件,政府网站的安全问题再次被提上公众议程:“我们的政府网站为何如此脆弱?究竟应该如何加强和完善政府网站的安全建设?”

就此,中国软件网记者王静文专访了北京天威诚信电子商务服务有限公司高级副总裁李延昭先生,李延昭先生就政府网站安全发表了他的独到见解.

一、 政府门面更要注重网络安全

李延昭介绍说,其实近年来各级政府网站受到来自互联网的攻击,甚至是互联网上出现假冒伪造政府网站的问题已经多次出现。由于政府网站特殊性,使其在社会中的关注度比较高,因此受攻击的几率也就相对更大。许多政府网站都存在或者潜在着如:域名及网页被仿冒;页面被植入恶意代码;页面被直接篡改;网站直接遭受DDOS攻击等问题。政府网站作为政府职能部门在互联网上的门面,更应该在网络安全上做好充分的防范和维护工作。

二、 六大建议为政府网站安全支招

网络安全并不是一个泛泛空谈就能解决的问题。那么“政府网站究竟应该如何防范?”“政府网站在安全方面应该哪些改进?”李延昭针对上述问题向中国软件网记者介绍了政府网站在建设网络安全方面应注意的一些实施要点:

1、使用权威第三方签发的服务器证书,保护域名与提供服务的主机的捆绑,并且通过绿色地址栏SSL锁等显示技术,让用户一目了然,知道自己正在访问的网站确实是那个政府网站,而不是一个伪造的网站;

2、通过专业的安全服务公司时时对政府网站的公开页面进行恶意代码扫描,一旦发现问题马上通知网站的运营部门去除危险;

3、应该使用强身份认证技术,比如PKI技术、动态令牌技术,建立可靠的双向认证访问机制;

4、使用专业的安全服务公司提供的可靠连接访问保护技术,保证通过搜做引擎的网站链接是安全可靠的;

5、使用代码签名技术保证政府网站的合法代码不被篡改;

6、使用专业安全公司提供的预防DDOS攻击的产品或服务。

除此之外,作为安全厂商应该通过专业的安全服务,可以远程监控政府网站的运行情况,并通过邮件、短信、IM、电话等通讯手段及时与网站运营者联系,及时消除危害。

分类
知识中心

SSL证书数字认证服务中止带来的风险评估分析

SSL证书数字认证服务被认证机构提前中止给SSL证书持有方(网站,即证书客户)和信赖方(网站用户)带来的影响和风险进行评估分析。这里所说的“SSL证书服务被认证机构提前中止”,是指在SSL证书正常的生命周期之内,认证机构提前停止了与SSL证书有关的服务。这里需注意 “中止”与“终止”意义不同,“终止”指SSL证书完成了其生命周期,结束使用。

要分析认证机构提前中止证书服务给SSL证书持有方(网站、客户)和信赖方(网站用户)带来的可能影响和风险,我们需先分析讨论一下,在SSL证书的生命周期内,认证机构给SSL证书持有方(网站)和信赖方(网站用户)到底提供了哪些服务(即我们通常所说的数字认证服务)。

SSL证书的生命周期包括如下这么几个阶段:签发、使用、更新、终止。

SSL证书签发阶段

在这一阶段,认证机构提供的服务内容包括:1)指导SSL证书申请者填写、提交申请信息;2)要求SSL证书申请者,提交进行身份鉴别与验证所必需的、能够证明其身份的各种材料,提供证明其是相应域名的合法拥有者的材料;3)指导申请者(即证书客户)在其Web服务器上产生PKCS#10格式的证书签名请求(即Certificate Signing Request,CSR),并将证书签名请求(CSR)提交给认证机构;4)认证机构根据申请者提交的相关信息和材料,通过一定的安全方式和途径鉴别用户提交的身份信息的真伪,验证、确认是申请者所声称的人本人或其授权人在申请证书(而不是假冒者),确认证书签名请求(CSR)中的信息是正确的;5)完成所有这些验证、确认后,通过CA认证系统为申请者签发SSL证书,并通过一定的途径(如电子邮件),将SSL证书传送给申请者(注:SSL证书本身是不需要保密的);6)指导申请者在Web服务器上安装SSL证书。到此,就结束了SSL证书签发阶段的所有“服务”工作。

SSL证书使用阶段

在这一阶段,认证机构提供的服务内容包括:1)对客户在SSL证书使用过程中可能出现的问题,提供帮助和解决方案(而实际上,SSL证书一旦安装好了,是不会出现什么问题的);2)对客户在SSL证书使用过程中可能出现的疑问,比如其安全性问题等,提供解答;3)当客户的Web网站,由于某种原因,需要进行重新安装、部署时,指导用户对SSL证书及私钥进行备份,重新安装。

从这里我们可以看到,在SSL证书的使用阶段,认证机构提供的服务内容是很简单、日常性的,而且在正常情况下,认证机构在这一阶段是不需要做什么工作的,或者,这阶段的工作,客户自己的、经过适当培训的技术人员也能做到。对于这一阶段认证机构提供的服务,不了解SSL证书应用过程的人往往会有这样一种误解:若某个网站安装了SSL证书,那么,当用户访问这个网站时,浏览器每次都会在线连接、访问SSL证书签发机构(即证书认证机构)的系统,“认证”证书的有效性。实际的情况是,如前面关于SSL证书应用过程的介绍中所述,这时浏览器总是调用本地的密码接口(如CryptoAPI、PKCS#11),利用本地的CA证书(包括根CA证书),构造证书信任链(信任路径),验证SSL证书是否可信(即证书是否能 链接到一个可信的根CA证书上,且证书链上的所有证书的签名有效,所有证书都在有效期内),以及检查SSL证书上的域名是否与目前要访问的网站域名一致,从而确定证书是否是可信的、有效的。在本地证书信任链验证和证书有效性检查通过后,浏览器即认为该证书可信且有效,而不会连接证书认证机构的系统,对SSL证书进行所谓的在线“认证”。实际上,我们通常所说的“证书认证”一词中的“认证”,是指签发证书前认证机构(通过自动和人工的手段)对用户身份、用户公钥的验证、确认过程,而不是在线使用证书时,对证书进行认证。

SSL证书更新阶段

每个SSL证书都有其有效期,通常是一年或者两年时间,超过了这个有效期,证书就失效,不能再使用。若SSL证书失效后继续使用该证书,则当用户访问安装了这个超过有效期的SSL证书的网站时,浏览器对SSL证书有效性的验证就不能通过,浏览器就会向用户发出SSL证书已过期的警告。为了在SSL证书到期后,继续使用SSL证书,就必须进行证书更新。更新后的证书中的客户信息(如网站域名、组织机构等)保持不变,更新后证书密钥对可以与之前的密钥对相同,也可以不同。在客户的SSL证书即将到期前(通常是提前15天或30天),认证机构的CA系统会自动向SSL证书的拥有者(客户)发送提示信息,认证机构的服务人员也会主动联系证书持有者(客户),提醒他们,他们所使用的SSL证书即将到期,需要更新。这时,SSL证书持有者,可以选择更新、继续使用这家认证机构的SSL证书,也可以在SSL证书到期后,选择购买其他认证机构的SSL证书(这完全取决于客户自己的愿望)。若客户选择更新原来的SSL证书,则认证机构会指导客户进行更新工作。SSL证书更新的过程、流程与申请一个新的SSL证书的过程、流程完全类似,只是若客户以前提交的身份信息和材料继续有效,则客户可以不再重复提供这些信息和材料。

SSL证书数字认证服务终止

如果SSL证书到了有效期,证书持有者选择不在原证书认证机构更新其SSL证书,或者,在SSL证书有效期到达之前,用户主动放弃使用该SSL证书,则认证机构向客户提供的证书服务终止。

在SSL证书到达正常的生命周期前,签发SSL证书的认证机构可能基于如下原因,主动地或被迫地提前“中止”对SSL证书持有方(网站)的证书服务。

1)由于客户没有履行其应承担的责任和义务,如提交了虚假资料,不是真正的域名拥有者,没有按合同规定支付费用等。认证机构通知客户,停止向其继续提供证书服务,并要求客户停止使用已签发的SSL证书。

2)提供SSL证书服务的认证机构,由于经营困难等原因,被迫中止其运营服务;

3)在特殊情况下,比如出现国与国间的战争或贸易纠纷,一国的认证机构根据本国政府的要求中止对另一国的客户提供SSL证书服务

实际上,无论出现上面三种情况中的哪一种,从技术上而言,被中止服务的SSL证书都能像服务被中止之前一样继续使用,不会对网站、网站用户带来任何的影响。这是因为,SSL证书一旦签发、交付给证书持有者,那么,之后SSL证书在使用过程中将不再与认证机构及其系统发生任何技术上的联系(这一点在前面的分析讨论中已论述)。对于第1种认证服务被中止的情形,如果SSL证书持有者继续使用该被中止的SSL证书,可能会带来法律上的问题,但从技术角度,这并不妨碍它继续被使用;对于第3种情况,继续使用被中止的SSL证书当然不会给证书持有者带来法律问题,因为,证书持有者没有违反双方签订的协议和合同,没有违背他的责任和义务(相反的是认证机构违约了)。那么,对于第2、3种情形,对SSL证书持有者可能带来的影响会有哪些呢?主要有如下两点:

1)如果在SSL证书有效期内,继续使用这个SSL证书,那么,当SSL证书的持有者遇到什么技术问题时,将不能得到原SSL证书签发机构的技术支持;

2)在SSL证书到了其有效期后,将不能到原认证机构更新SSL证书,而需要到另一家认证机构申请新的SSL证书。

对于第1点,这不是一个太大的问题,因为,如前所述,通常情况下,SSL证书一旦安装成功,其使用过程一般不会出现什么问题,即使出现问题,网站(SSL证书客户)中受过一定技术培训的人员就能解决一般的技术问题,或者,SSL证书客户到其他认证机构寻求技术支持,最坏的情况不过是到其他认证机构申请一个新的SSL证书。对于第2点,这也不会带来什么大的影响,因为,即使没有出现认证机构主动中止SSL证书服务的情况,也时常会发生证书客户在SSL证书到期后,购买另一家认证机构的SSL证书的情况。即便购买新的SSL证书,对客户的影响也是很小的,客户最多只需重新启动安装了新SSL证书的Web服务器,这个过程通常需几分钟,而且可在晚上进行,因此,对用户和网站提供的服务的影响是很小的。需指出的是,即使是正常的SSL证书更新,每次也得重启Web服务器。

从上面分析我们可以看出,在SSL证书到期前,如果出现签发SSL证书的认证机构提前中止服务,那么,这种服务中止对SSL证书客户(证书持有者)、网站用户的影响是很小的,而且是可控的。

那么,认证机构提前中止证书服务,会给网站、网站用户带来哪些可能的、潜在的风险呢?如果服务中止是第2种情况,即认证机构由于经营困难等原因被迫中断其运营服务,那么,若中止运营服务的认证机构用于签发SSL证书的CA私钥或其上级CA私钥没有得到妥善处理或保管,就可能导致有关CA私钥被泄露,落入黑客、欺诈者或敌对组织的手中,被他们利用签发假冒的SSL证书进行犯罪活动或破坏活动。因此,一旦SSL证书签发机构中止了其运营服务,我们需要采取安全的措施对其CA私钥进行妥善处理,防止其被泄露。如果服务中止属于第3种情况,那么,中止服务的认证机构有可能根据其本国政府的要求,签发假冒的SSL证书进行破坏活动。对于这种情况的出现,我们在前面已进行了分析讨论,我们已指出,这种假冒攻击的发生,与网站原来使用的SSL证书是哪个认证机构签发的是没有关系的。

分类
知识中心

数字证书包含哪些信息?

数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。

 

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。

 

一个标准的X.509数字证书包含以下一些内容:

 

●  证书的版本信息;

●  证书的序列号,每个证书都有一个唯一的证书序列号;

●  证书所使用的签名算法;

●  证书的发行机构名称,命名规则一般采用X.500格式;

●  证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;

●  证书所有人的名称,命名规则一般采用X.500格式;

●  证书所有人的公开密钥;

●  证书发行者对证书的签名。

 

使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。

 

更多数字证书知识请查看:http://www.ert7.com/trustnet/index.html

 

分类
知识中心

SSL证书遭受攻击和假冒的十大风险评估分析

针对可能出现的对SSL证书的攻击、假冒情形进行分析。

1)一个合法有效的SSL证书误签发给了假冒者

这是一种由于证书认证机构工作出现疏忽、流程不完善而出现的证书被错误签发的情形。其主要原因是证书认证机构在签发SSL服务器证书前,没有认真鉴别证书申请者提交的身份信息的真伪,或者没有通过安全可靠的方式验证、确认申请者就是他提供的身份材料中所声称的那个人。比如,假冒者提供了虚假的营业执照、组织机构代码证书、域名注册文件等,而证书认证机构没有或没能够鉴别出假冒者提供的身份信息的真伪,把一个合法有效的证书签发给了假冒者;再比如,假冒者向证书认证机构提交了其他网站拥有者的有效身份资料,如营业执照、组织机构代码证、域名注册文件(这些资料,假冒者有时可通过合法的途径获得),而证书认证机构没有通过安全、可靠的途径验证、确认证书申请者确实是其声称的人本人(或声称的机构本身),把本属于另一个合法有效的网站的服务器证书签发给了假冒网站。无论何种情形,假冒者都可以利用用户对服务器证书的信任进行网络欺诈活动。

2)破解SSL证书签发CA的私钥

如果SSL证书签发CA的密钥对的安全强度不够(密钥长度太短),或者是一个弱密钥对,或者其产生方式有规律可循(不是完全随机产生的),那么,就可能造成CA私钥被破解,假冒者就可以用被破解的CA的私钥生成、签发合法、有效的SSL服务器证书
但在实际中,只要CA的密钥对有足够的长度、按完全随机的方式产生、且避开弱密钥对,则CA的私钥是根本无法破解的,或者破解的成本极高,完全超过了破解可能带来的好处。

3)SSL证书签发CA的私钥泄露

证书认证机构由于管理不善,或者使用了不安全的密码设备,导致签发SSL证书的CA私钥被泄露,从而使得假冒者可以利用它签发合法有效的SSL证书
这种情况可以通过加强认证机构的安全管理,使用安全可靠的密码设备来避免。

4)破解SSL证书的私钥

目前的SSL证书主要是基于RSA公开密钥算法,对这个算法的攻击目前除了蛮力攻击外,还没有有效的方法。但是,如果SSL证书密钥对的安全强度不够(密钥长度不够),或者是一个弱密钥对,或者其产生方式不是完全随机的,那么,就可能造成SSL证书的私钥被破解,假冒者就可以将该SSL证书及其被破解的私钥安装在假冒网站上进行欺诈活动(SSL证书本身是公开的,可以很容易地得到)。
在实际应用中,只要SSL证书密钥对有足够的长度、按完全随机的方式产生、且避开弱密钥对,则SSL证书的私钥是根本无法破解的,或者破解的成本极高,完全超过了破解可能带来的好处。
在讨论、分析SSL证书私钥破解的风险时,我们需要提到一个人们常常关心的问题。我们知道,出于管理的规范性、品牌、知名度等原因,目前国内  的SSL证书主要由国外的认证机构签发,对此,人们会有这种疑问和担心,“如果SSL证书由国外认证机构签发,那么,是否会导致SSL证书的密钥  对容易被国外敌对机构破解、或窃取”?要回答这个问题,我们必须先了解SSL证书的密钥对是怎样产生的,以及私钥是怎样保存的。
实际上,SSL证书的密钥对是由网站拥有者通过Web服务器软件自己产生并保存在Web服务器软件的密钥库中,或者在Web服务器软件使用的SSL加速卡(加密硬件)中产生并保存在加密硬件中;客户申请签发SSL证书时,证书请求中只包含有公钥,不包含私钥,私钥是不会传送到证书认证机构的。因此,SSL证书的密钥对是否会被破解完全取决于密钥对的长度是否足够长、产生的密钥对是否是弱密钥对、以及密钥对的产生是否有规律可循(即是否是完全随机产生的),与SSL证书是由国内还是国外认证机构签发的没有关系;私钥是否会被窃取、泄露,完全取决于SSL证书客户采取的私钥保护安全措施。当然,从阴谋论的角度,由于目前的Web服务器软件大多来自国外,它们留有后门,从而产生弱密钥对,或者留有后门,使得密钥对的产生有规律可循,这也是可能的,但这与SSL证书是由国内还是国外认证机构签发的没有关系。

5)SSL证书的私钥泄露

SSL证书的私钥通常是安装在Web服务器上的,如果没有采取足够的安全措施对私钥进行安全保护,则有可能导致私钥被泄露,比如,从Web服务器中导出。
在实际中,只要通过适当的安全管理措施和技术手段,就能有效地防止SSL证书的私钥被泄露。比如,只允许安全可信的人员访问Web服务器并采取双人(或多人)控制的访问方式,并禁止SSL证书私钥导出,或者给SSL证书私钥加上口令保护且对口令进行分割保存(将口令分割给多个可信人员,每个人仅拥有分割后口令的一部分),又或者将SSL证书私钥存放在加密硬件中(如SSL硬件加速器),且对私钥采取安全保护措施(如不允许私钥导出,或不允许私钥明文导出)。

6)伪造一个合法有效的SSL证书

即假冒者通过一定的技术手段,利用证书技术本身存在漏洞,伪造一个由某个认证机构签发的、有效的SSL证书。这个伪造SSL证书的格式符合X509规范,它的签发者指向该认证机构(的某个CA证书),且该SSL证书的数字签名可由该认证机构(对应CA证书)的公钥验证。
虽然,有研究者声称可以伪造一个X509数字证书,但真实的情况是,到目前为止,并没有人能够伪造一个实际可用的、有效的数字证书

7)认证机构主动为假冒网站签发合法有效的服务器证书

这种情况在两个国家处于敌对状态时有可能发生。假设A国家的某个认证机构签发的证书被B国家的用户信任(由于该认证机构的根证书预埋在B国家用户使用的操作系统、应用软件中),而这时,A国和B处于敌对、甚至战争状态,A国家政府为了扰乱B国的金融秩序,要求该国的认证机构签发假冒B国银行网站的SSL证书,而A国的认证机构从国家利益考虑,遵从本国政府的要求,为该国政府建立的假冒网站签发“合法、有效的”假冒SSL证书。这里说它“合法、有效”,是因为当B国用户使用浏览器访问该假冒网站时,浏览器对该SSL证书的信任验证是获得通过的。
这时,假冒网站的域名有两种可能情形:第一种是,该网站域名与被假冒网站的域名相似但不同,用户没有注意到这些细小的差异,从而访问了假冒网站。对于这种情况,由于域名不同,因此,细心的用户有可能识破假冒行为。第二种是,假冒网站的域名同被假冒网站的域名完全相同。在这种情况下,如果A国控制了域名服务体系的“根”域名服务器,那么,A国是可以通过修改域名解析记录,将B国用户引导到A国建立的假冒网站上的,而且B国用户丝毫察觉不到这种改变。这种假冒,比第一种情况要难识破、难防范得多。目前全球共13台根域名服务器,分布情况是:主根服务器(A)1个,设置在美国弗吉尼亚州的杜勒,辅根服务器(B至M)美国9个,瑞典、荷兰、日本各1个。考虑到目前的根域名服务器,都部署在西方国家,且主要在美国,而且“主根”域名服务器也在美国,因此,这是一个我们需要重视的问题和风险。
需要特别指出的是,出现这种假冒,与B国银行网站本身安装的服务器证书由谁签发无关。因为对SSL服务器证书的信任是由浏览器根据其信任的根CA证书自动做出判断的,在这个过程中用户并不介入;只要浏览器验证该SSL证书的信任路径链接到一个可信任根CA证书,浏览器就不提出警告信息,用户就会认为这个SSL证书是可信的。因此,只要B国用户的主机操作系统(如Windows)、应用程序(如Firefox)中预置A国认证机构的可信根CA证书,那么,即使B国的银行网站的服务器证书是由该国自身的认证机构签发,A国仍然可通过A国的认证机构签发针对B国网站的“合法、有效”的假冒SSL证书,安装在假冒网站上。当B国用户访问假冒网站时,骗过B国用户的浏览器对该SSL证书的可信性、有效性验证,由于普通用户通常是不会关心所访问网站的SSL证书是由哪个认证机构签发的(普通用户不会也不知道 在浏览器完成SSL证书验证后,可查看要访问网站的SSL证书的详情),从而骗得B国用户对假冒网站的信任。
我国目前的主机操作系统、浏览器绝大部分是国外的,其中预埋了大量的根CA证书,且绝大部分是国外认证机构的,而且考虑到域名系统的“根”也在国外,因此,这一问题需要引起我们的高度重视。但是,我们也可以看到,要彻底解决这个问题,必须从操作系统、应用软件、域名体系整个一起来考虑、解决,仅靠限定国内认证机构签发SSL证书是无法解决这个问题的。

8)利用可信的SSL服务器证书进行中间人攻击

假设攻击者通过某种途径获得了一个与某网站域名完全相同的SSL证书,且该SSL证书(的根CA证书)被用户的浏览器信任,即从证书验证的角度它是一个“合法、有效”的证书,则该攻击者就有可能在位于用户与网站之间的网络通路上,进行中间人攻击,窃取用户的私密信息。这种攻击的具体实施方法如下:
(1) 攻击者通过在网络通路上安装特殊的设备,或者攻破、控制网络通信设备(如路由器、交换机等),在其上面安装的特殊的处理代码;
(2) 然后,攻击者拦截所有连接到该网站的网络连接请求,利用他得到的SSL服务器证书,假冒网络站点与客户端浏览器进行身份鉴别和建立SSL安全通道的操作;
(3) 同时,攻击者又假冒用户同安装了一个SSL服务器证书的网站建立SSL连接
(4) 之后,攻击者作为用户和网站之间的中间人,拦截、转发二者之间传送的数据,并同时窃取用户的敏感信息。
由于攻击者使用的SSL证书是被用户浏览器信任的,因此,用户不会察觉到这中间人的活动。

 SSL证书遭受攻击和假冒的十大风险评估分析-1

利用可信的SSL服务器证书进行中间人攻击

  这里,攻击者可通过前面1)至7)所列的方式获得一个与被窃听网站域名相同的SSL证书;或者,攻击者也可以由于8)中所述的国家与国家之间网络战争的原因,从某个被用户信任的证书认证机构获得用于中间人攻击的“合法、有效的”SSL证书。
与8)中所述的情形类似,要进行这样的攻击,只需要这个用于中间人攻击的SSL证书是被用户浏览器信任的即可,不需要该SSL证书与被窃听的网站本身安装的SSL证书由同一个认证机构签发。这意味着,即使我们限定国内网站的SSL证书必须由国内证书认证机构签发,其他国家仍然可以利用他们自己国家证书认证机构签发的、用于假冒国内网站的SSL证书,对国内网站进行中间人攻击。因为,我国用户使用的操作系统、浏览器都预埋了大量的国外证书认证机构的根CA证书,这些根CA证书被浏览器认为是可信的。因此,在它们之下签发的SSL证书都被浏览器认为是“合法的、有效的、可信的”。

9)在用户主机中植入伪造的根CA证书(或一个完整的CA证书链)

从前面的介绍我们知道,SSL服务器证书是否可信,是由浏览器通过调用本地的加密服务接口(如CryptoAPI、PKCS#11),检验、确认服务器证书的信任链(证书路径)是否链接到本地证书库中的一个信任的CA根证书。因此,网站假冒者、中间人攻击者只要设法将一个伪造的根CA证书  (或一个完整的、伪造的CA证书链)植入到用户计算机的操作系统、浏览器证书库中,则在这个伪造的根CA证书下,网站假冒者、中间人攻击者可签发任何他想签发的、并被浏览器信任的假冒SSL证书。而且,假冒者、中间人攻击者甚至可以将这个伪造的根CA证书以及它的下级CA证书中的CA认证机构的名称,取的与一个合法认证机构的名称相同,这将更有欺骗性,用户更难识破。
植入伪造的根CA证书(及其下级CA证书)的方式有两种,一是,通过挂马、病毒传播,这是普通的假冒者、攻击者就可以做到的;二是,在操作系统、应用软件(如浏览器)中预置。第二种方式之所以有可能成立,是因为目前国内的操作系统、应用软件绝大多数来自国外,在特殊情况下,国外的操作系统、应用软件的厂家是有可能根据本国政府的要求,将伪造其他国家证书认证机构的根CA证书预置到操作系统、应用软件的可信根CA证书库中的,甚至可以做到,通过通常的人机接口(如IE浏览器)无法查看到该伪造的根CA证书,而当应用程序(如浏览器)通过加密接口(如CryptoAPI、PKCS#11)验证SSL证书的信任链时,该伪造的根CA证书又起作用、被信任。

10)旁路证书可信性的验证

当操作系统、浏览器本身存在后门时,是完全可以做到旁路对某些特定的SSL证书(如某个特定的、伪造的CA签发的SSL证书)的可信性检验,使得这些SSL证书总是作为可信的证书被浏览器接受。这样,假冒者、中间人攻击者可以利用这个后们,签发假冒的、被客户端浏览器信任的SSL证书,达到窃取用户信息的目的。
对SSL证书可信性验证的旁路既可以在操作系统层面(如密码模块层)发生,也可以在浏览器层面发生。这个后门既可能是操作系统、浏览器厂家自己故意留下的(比如根据本国政府的要求),也可能是由于感染了木马、病毒,使得操作系统、浏览器的程序代码被修改而造成的。

 

分类
网络新闻

数字证书让虚拟互联网世界走向真实

  随着互联网技术的发展,各种无纸化应用屡见不鲜,例如:无纸化办公、无纸化考试、无纸化订单……甚至交易合同也开始无纸化。不过相比较原来生活中依靠“白纸黑字”所构建起的信任体系,我们在网络时代应该如何建立彼此间的信任关系呢?

  其实,构建互联网上的信任体系并不困难,只要我们可以通过有效的技术手段,准确的认证网络使用者的身份,并且做到有据可查,那么,现实生活中的“白纸黑字”就可以轻松地在互联网上实现。据记者了解,网络上的身份认证技术可以通过多种方式来实现,主要包括电子签名、身份管理以及数字认证等。以电子签名技术为例,随着近几年国家《电子签名法》生效后,电子签名技术的应用被彻底松绑,获得了服务于社会公众的机会。而成熟和普及的电子签名技术的应用,是有效解决当前互联网应用安全问题的一大法宝。

  为了保障网络交易中各种电子信息的真实可信,业内很多专业安全厂商已经开始推出第三方认证服务,通过数字证书电子签章等技术手段,并与权威机构合作,共同验证买、卖用户的个人信息,最终保障各种电子信息的真实性和完整性。

  以我国最大的互联网公司阿里巴巴为例,为了保障其在线业务系统的真实、安全、可靠,早在2005年阿里巴巴就与北京天威诚信电子商务服务有限公司合作,共同打造基于支付宝的可信身份保障系统,解决支付宝帐号安全问题。2008年9月,阿里巴巴和天威诚信针对经常使用支付宝的淘宝商户卖家、企业、个体卖家,尤其是账户资金余额较大的用户,联合开发推出了可信身份高安全解决方案——支付盾。支付盾服务强调易用性、可移动性,有效满足了淘宝网商户群体的应用需求。正式推出该产品以来,经过两年多时间的运行,支付宝平台目前仍然保持着支付盾用户的账户零被盗率,其安全防护效果可见一斑。

  由于支付盾使用简单、性能可靠,目前已经不单单是资金帐户操作的钥匙,更被应用到淘宝店的业务管理、上下架货品管理等方面,可以说,支付盾正在从一款简单的安全产品转变成一套全面的互联网安全服务。

  其实,电子认证技术除了在电子商务领域应用,也同样可以在企业内部的网络业务应用中,发挥巨大的作用。联想电脑的渠道体系中包含了两千多家渠道分销商,在分销环节实现电子化管理势在必行,但基于开放的互联网应用的电子订单系统存在很多安全隐患,其中最为重要的就是分散在各地的分销商身份认证和访问控制、电子订单传输的机密性和完整性、电子订单的抗抵赖性。

  为了让电子订单系统快速高效优势,真正发挥电子商务所带来的快捷高效低成本的优势,联想电子商务部在2003年底进行了电子订单系统可信平台项目招标改造。记者就此专访了当年联想电子订单数字认证系统合作商天威诚信高级副总裁李延昭,据介绍天威诚信主要是以第三方数字认证机构的身份帮助联想完成数字证书鉴证签发等工作,通过设计有效的“电子签名”方案,解决了电子签名和纸质签章间的法律有效性问题,在不破坏原系统的前提下,很好地满足了联想对于电子化订单的需求,而生成一份合法的电子订单往往仅需几分钟。

  国家近年来,对于网络实名制的重视,让原本遥不可及的安全技术更多的走进人们日常生活之中。实名认证电子订单让无纸化办公成为可能,有效的减少了木材资源浪费,实名制支付盾的推出,让更多商家不再担心帐号安全问题。

  效将互联网需要更方便的安全技术和更真实的商务环境,而数字证书正是提供了一种简单可靠的互联网用户身份认证方式。在数字证书的保障下,我们可以实现互联网上电子交易及支付的安全性和保密性,也可以有效防范交易及支付过程中的欺诈行为。随着数字证书在网络应用中的不断深入,其对于净化网络空间,构建诚信互联网体系的意义也将体现的更加明显。

分类
知识中心

数字证书相关知识介绍

数字证书是用于标识实体身份的电子信息,它由证书认证机构(CA)签发。一张数字证书中包含有如下信息:

签发者名(Issuer Name),即证书签发机构的名字(即证书认证机构)

主体名(Subject Name),即证书持有者的名字

证书的有效期限(Valid Period)

证书序列号(Serial Number)

证书持有者的公钥(Public Key)

证书的密钥用途(Key Usage)

•••

CA对该证书的数字签名(Digital Signature)

其中,签发者名、主体名采用的是X.500定义的甄别名(Distinguished Name,DN)格式,甄别名中通常包含有实体的名字,称为通用名(Common Name,CN),以及实体所在的机构(O)、部门(OU),所在的国家(C)、省或州(S)、邮件(E)等信息。证书序列号在对应的证书签发CA下是唯一的。

由于数字证书的主要目的是发布证书持有者的公钥,因此,数字证书又称为公钥证书。SSL证书是签发给Web服务器的X509证书,其通用名(Common Name)是网站的域名,如http://www.ert7.com/

最终实体证书是由证书签发机构(CA)的私钥签名的,而该CA私钥对应的公钥用于对最终实体证书的签名进行验证,以确定该证书的签名是否有效、证书是否由该证书认证机构签发。实际上,证书签发机构的公钥也是通过一个数字证书发布的,这个包含有认证机构公钥的数字证书,称为CA证书。该CA证书的主体名(即证书持有者名字),就是用该CA证书对应的私钥签发的最终实体证书中的签发者名(即证书的签发机构名字)。

数字证书解析

  与最终实体证书类似,这个CA证书也是由认证机构的一个私钥签名的,对CA证书进行签名的私钥有下列两种可能的情形:

1)该私钥是认证机构的另一个公开密钥对的私钥

这时,这个CA证书的主体名与签发者名必须不同(即使它们是指向同一个认证机构);该私钥对应的公钥,也对应有一个CA证书,称为前一个CA证书的上级CA证书。该上级CA证书有可能再由认证机构的另一个公开密钥对的私钥签名,即它可能也有它的上级CA证书,或者,该私钥属于接下来的情况。

2)该私钥与CA证书中的公钥对应(即它们构成了一个公开密钥对)

这时,这个CA证书的主体名与签发者名必须相同,该CA证书是一个自签名的数字证书,称为根CA证书。

从上面介绍,我们可以看到,从最终实体证书的签发者出发,我们可以找到对其签名的认证机构私钥对应的CA证书,称为最终实体证书的签发CA证书;再从该签发CA证书的签发者,我们又可以找到其上级CA证书;重复这个过程,直到遇到一个自签名的根CA证书为止(如图1所示)。这一系列的最终实体证书、CA证书形成了一个证书链,也称为证书信任链,证书信任路径。证书链的长度在理论上是没有限定的,它可以只包含有根CA证书,也可以包含有多个中级CA证书(根CA证书以下的CA证书都称为中级CA证书),甚至可以是仅包含一个自签名的最终实体证书(这种自签名 最终实体证书通常用于特殊的场合)。

分类
SSL证书

VeriSign信任签章(VeriSign Trust Seal)

在拥有VeriSign SSL证书的同时,您还可拥有VeriSign信任签章(VeriSign Trust Seal)。该标志拥有庞大的用户群,VeriSign 信任签章在 160 个国家或地区中超过 100,000 个网站上,全球日均点击量高达8亿次。任何网站都可以通过显示VeriSign信任签章(VeriSign Trust Seal)建立客户网上信任度、可靠性及忠实度。配合VeriSign搜索结果签章的应用,它可以将VeriSign信任签章(VeriSign Trust Seal)展示在搜索结果旁边,从而让您的网站在其他竞争对手中脱颖而出,向客户标明您的网站从搜索到浏览再到购物整个过程安全可靠。

2012年4月, VeriSign信任签章将过渡为新的赛门铁克(symantec)诺顿(Norton)安全签章,由VeriSign提供支持。

VeriSign信任签章

创新的签章实现技术确保该标志不会被假冒或钓鱼网站非法使用。图中签章只是一个样本(实际签章是已经取消鼠标右击并保存功能),点击 VeriSign 信任签章,会看到网站提供给VeriSign且经过验证后完全可靠的信息,包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况。

VeriSign信任签章(VeriSign Trust Seal)可向全世界显示VeriSign确认过您的身份,且您的网站已经通过VeriSign恶意软件扫描。世界上许多大型公司都是使用 VeriSign 保护其网站的安全,并通过显示 VeriSign信任签章给访客信心。现在,任何网站都可以VeriSign信任签章建立在线信任度、可靠性与忠诚度。

功能与卖点

向客户展示您的网站受到全球领导者VeriSign的信任,因而可以放心购买、浏览及分享,以促进线上阅读、销售及忠诚度。

 VeriSign信任签章(VeriSign Trust Seal)-2  VeriSign信任签章(VeriSign Trust Seal)-3  VeriSign信任签章(VeriSign Trust Seal)-3  VeriSign信任签章(VeriSign Trust Seal)-5
在网络上显示全球第一品牌的信任标志: VeriSign信任签章(VeriSign Trust Seal)可向您的网站访客显示您已受到全球领导者VeriSign的信任,让访客能够放心购买、点击以及登录。 您的身份验证是 VeriSign 已确立且经严格鉴证程序检验,可向全世界显示 VeriSign 已经验证您的身份,而且您是自己网站的合法拥有者或实际操作者。 保护访客及您的网站免受恶意软件的攻击,网站恶意软件扫描会每日检查您的网站,以防止网站被植入恶意软件,感染客户电脑,造成网站被列入搜索引擎黑名单,降低网站访问量。 为了让您的网站在搜寻结果中脱颖而出,VeriSign搜索结果签章可在搜索链接旁显示,帮助您的网站获得更多点击,增加网站阅读量。

 

推荐使用者

任何网站都可以通过显示VeriSign信任签章(VeriSign Trust Seal)建立网上信任度、可靠性及忠实度。

电子商务网站:如果您的网站不处理在线交易或您的购物车或付款服务由第三方提供商提供,那么选购VeriSign信任签章(VeriSign Trust Seal)是最佳选择,您可以展示该标志让您的客户放心在线购买。

 线上出版商(发行商):阅读量与点击率是您成功的关键。通过在搜寻结果中脱颖而出,可以增加点击率,通过VeriSign信任签章建立可信度能够增加阅读量。

 小型企业拥有者:您已经在附近区域建立起商业信誉。VeriSign信任签章可帮助您将同等级的信任带到互联网上。

 售卖、登记机密资料的网站:如果您通过网站搜集或共用个人信息,则需要使用 VeriSign SSL证书确保信息处于安全加密保护中。

每日恶意代码扫描

VeriSign信任签章提供每日恶意软件扫描服务以侦测任何恶意代码程序。

VeriSign网站恶意软件扫描服务可以扫描SSL证书所在的主机网站程序,包含javascript和iframes。该服务完成对网站程序的静态分析,并通过浏览器模拟器检查恶意软件页面触发行为。该服务并不是扫描每一个页面,而是选择性优先扫描一些页面以发现恶意程序活动行为。该服务也不会扫描您的网络或搜寻您内部台式电脑上的恶意程序和那些需要输入口令才可进入的内部网页。

每日恶意代码扫描服务保护访客及您的网站免受恶意软件的攻击,每日检查您的网站,以防止网站被植入恶意软件,感染客户电脑,造成网站被列入搜索引擎黑名单而导致的网站访问量降低。

每周网站漏洞评估扫描

漏洞评估服务可帮助您快速识别并采取措施以应对客户网站上绝大多数容易被利用的缺陷。漏洞评估服务包括:

  • 每周自动扫描一次面向公众的网页、网络应用程序、服务器软件以及网络端口上的漏洞。
  • 可操作性报告,不仅可以识别应该立即进行调查的关键漏洞,而且还可以确定带来低风险的信息项目。
  • 重新扫描客户网站以便确认漏洞得以修复的选项。

使用VeriSign EV SSL服务器证书、VeriSign 128位强制型服务器证书的网站均可启用每周一次的漏洞评估服务。

VeriSign 128位支持型服务器证书不包含漏洞评估服务,并且该服务不能单独购买。

简单安装

VeriSign信任签章(VeriSign Trust Seal)就像将图片加入到网页中一样容易。在您申请VeriSign信任签章后,VeriSign会验证您的企业信息并扫描您的网站。当您的签章准备完毕后,就会收到电子邮件通知。请点选安装合约并接受其条款与条件。

1. 为您的信任签章选择显示语言、大小与格式,然后输入您的网站名称。
2. 点击一下“建立脚本”,然后复制脚本,并将其添加入您的网页代码中。
3. 检查您的网页,Javascript会自动显示 VeriSign信任签章

分类
知识中心

办公自动化系统的安全防护解决方案

随着科技的不断发展,办公自动化系统这个概念早已深入到各行各业,利用网络办公的优势能够进一步提高工作效率。实现网络协同办公,将给员工的工作带来极大方便,使企业内的沟通和协作更充分,信息的共享和利用更有效,效率更高,效果更好。

然而,正由于网络技术的广泛普及和各类信息系统的广泛应用使得网络化办公中必然存在众多潜在的安全隐患,基于网络连接的安全问题将日益突出。因此,在网络开放的信息时代为了保护数据的安全,让网络办公系统免受黑客的威胁,就需要考虑网络化办公中的安全问题并予以解决。

1 网络安全防范措施

要保证网络化办公中的信息安全,首先要保证网络安全,让我们的自动化办公设备置于一个安全的网络环境中。现阶段为了保证网络信息的安全,企业办公的正常运行,我们将采用以下几种方式来对网络安全进行防范:

1.1网络分段。

企业网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接人以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。

1.2利用防火墙。

想隔离互联网上的破坏者,就必须使用防火墙,防火墙是联接区域网络和Internet供应商路由器的“桥梁”电脑。这些硬件专门设计用来拦截并过滤信息,只让符合严格安全标准的信息通过。利用防火墙可以将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。

1.3配置防病毒软件。

在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。

1.4漏洞扫描系统。

解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

2 Web服务器安全

Intranet是目前最为流行的网络技术。利用Intranet,各个企业,无论大中小,都可以很方便地建立起自己的内部网络信息系统。Intranet通过浏览器来查看信息,用户的请求送到Web服务器,由Web服务器对用户的请求进行操作,直接提交静态页面;或通过CGI进行交互式复杂处理,再由Web服务器负责将处理结果转化为HTML格式,反馈给用户。因此,web服务器的安全是不容忽视的。而安全套接字层SSL(Securesock—etlayer)的使用为其提供了较好的安全性。

SSL是用于服务器之上的一个加密系统,是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,它可以确保在客户机与服务器之间传输的数据是安全与隐密的。SSL协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文体传输协议的传输。目前大部分的web服务器和浏览器都支持SSL的资料加密传输协议。要使服务器和客户机使用SSL进行安全的通信,服务器必须有两样东西:密钥对(Key pair)和证书(Certificate)。SSL使用安全握手来初始化客户机与服务器之间的安全连接。在握手期间,客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后,SSL被用来加密和解密HTTPS(组合SSL和HTTP的一个独特协议)请求和服务器响应中的所有信息。

3 数据库的安全

在办公自动化中,数据库在描述、存储、组织和共享数据中发挥了巨大的作用,对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,人侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件;通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据;客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。

4 数据恢复

网络办公自动化系统数据遭到破坏之后,其数据恢复程度依赖于数据备份方案。

数据备份的目的在于尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:实时高速度、大容量自动的数据存储、备份与恢复;定期的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在人侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。

总之,随着企业各部门之间、企业和企业之间信息交流的日益频繁,办公自动化网络的信息安全问题已经提到重要的议事日程上来,一个技术上可行、设计上合理、投资上平衡的安全策略已经成为成功的办公自动化网络的重要组成部分。网络办公中的信息安全是一个系统的工程,不能仅仅依靠防毒软件或者防火墙等单个的系统,必须将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。

分类
网络新闻

Symantec(赛门铁克)VeriSign认证安全服务

全球财富500强企业及世界主要银行网站均已采用赛门铁克Versign EV SSL证书以确保在线交易安全,Verisign的“打勾”标记是全球认证的的行业安全标志。 “Norton Secured”安全标识,帮助用户识别真假网站、钓鱼网站等,打造属于用户的纯净天空,诺顿安全认证如同一位安全向导,给每一位诺顿用户指明方向,它利用自身技术优势,帮助用户从源头上杜绝钓鱼网站威胁。今冬,诺顿网络安全特警2012重拳出击,将吸引更多的消费者尊享诺顿全球认证与行业标准的旗舰级服务。

VeriSign让签章客户获得更高的搜索引擎点击率

而赛门铁克公司(Nasdaq: SYMC)近日表示,2011年VeriSign信任签章的日均点击量已高达8亿次,该数字与2010年相比增长了60%,并且已经连续五年实现激增。通过VeriSign签章(VeriSign安全签章、VeriSign信任签章和诺顿安全签章),赛门铁克可以提供对网站运营者身份的认证以及对恶意软件的日常扫描,以提升访问者对网站安全性的信心。这项服务对于电子商务来说至关重要,特别是在繁忙的年底购物季。

赛门铁克信任服务与身份保护副总裁Fran Rosch表示:“网络钓鱼和其他基于社会工程学的攻击日益猖獗,即使是网络专家或网站管理者,都很难分辨出真实网站与假冒网站的区别。赛门铁克VeriSign信任签章能够为那些真实可靠且无恶意软件的网站提供实时可见的认证,以消除消费者的后顾之忧。”

如果一个网站能够提供安全链接,并可以保护涉及保密数据的网上交易,赛门铁克VeriSign信任签章就可以为其提供可点击的、实时动态的证据为之证明。那么,事实上VeriSign签章客户也能够从VeriSign Seal-in-Search中获益,相比较那些缺乏信任标识的搜索结果,VeriSign客户更能够通过VeriSign Seal-in-Search获得即时的竞争优势——2011年,搜索引擎点击率平均提高了7.7%。目前,购物网站都在为假日购物潮做准备,其中不可缺少的环节就是他们必须采取措施以保证自己的客户访问站点安全可靠。而使用值得信赖的SSL证书,可以实现这一安全需求。根据2011年11月发布的Netcraft Alexa排名报告,在使用SSL数字证书加密链接的100000家访问量最高的网站中,50%以上的商家选用了赛门铁克SSL证书来保护其网上交易。

分类
金融

招商证券成功部署VeriSign EV SSL绿色地址栏证书

天威诚信为招商证券提供了以VeriSign EV SSL证书为核心的网站可信服务。通过在招商证券网站的用户登录、注册等页面部署VeriSign SSL证书,凭借SSL技术实现高强度的信息加密传输,保护用户在线提交的邮箱、手机号、密码等信息在传输过程中不被窃取或篡改。
此外,部署VeriSign EV SSL证书后,招商证券网站在反击钓鱼网站仿冒方面得到了大幅提升:绿色地址栏、地址栏“https”开头、金色锁形安全标记,点击锁形标记后可查验服务器证书及颁发机构信息。这些无法仿冒的安全特征帮助用户更好的了解网站真实身份,同时为访问者区分网站真伪提供了有力支持,降低用户遭遇钓鱼网站恶意欺诈的风险。
关于招商证券
招商证券致力于“以卓越的金融服务实现客户价值增长,推动证券行业进步”,立志打造产品丰富、服务一流、能力突出、品牌卓越的国际化金融机构,成为客户信赖、社会尊重、股东满意、员工自豪的优秀企业。

招商证券成功部署VeriSign EV SSL绿色地址栏证书-1
VeriSign ev ssl绿色地址栏数字证书案例

 

招商证券股份有限公司(以下简称招商证券)是百年招商局旗下金融企业,经过二十年创业发展,已成为拥有证券市场业务全牌照的一流券商。2009年11月,招商证券在上海证券交易所上市(代码600999)。
在招商证券受到广大消费者欢迎同时,招商证券并未忽略其网站信息安全问题。用户注册登陆需要用户在线提交联系方式等信息,这些个人信息随着用户数量的增加将不断聚集,形成一定数量时,很可能成为恶意攻击的目标——热门内容或其它能够吸引、聚集大量用户的网站是恶意攻击“狩猎”信息数据、谋取不义之财的理想场所。为保护用户在线信息安全,抵御钓鱼网站等攻击手段对用户信息的欺诈劫掠,招商证券与国内权威认证机构天威诚信携手,展开了对招商证券网站的安全建设。