分类
知识中心

Https证书六大误解“解毒”

Https证书六大误解“解毒”-1

误解六:HTTPS无法缓存

许多人以为,出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。

微软的IE项目经理Eric Lawrence写道:

“说来也许令人震惊,只要HTTP头允许这样做,所有版本的IE都缓存HTTPS内容。比如,如果头命令是Cache-Control: max-age=600,那么这个网页就将被IE缓存10分钟。IE的缓存策略,与是否使用HTTPS协议无关。(其他浏览器在这方面的行为不一致,取决于你使用的版本,所以这里不加以讨论。)”

Firefox默认只在内存中缓存HTTPS。但是,只要头命令中有Cache-Control: Public,缓存就会被写到硬盘上。下面的图片显示,Firefox的硬盘缓存中有HTTPS内容,头命令正是Cache-Control:Public。

https证书

误解五:HTTPS站点必须有独享的IP地址

由于IPv4将要分配完毕,所以很多人关心这个问题。每个IP地址只能安装一张SSL证书,这是毫无疑问的。但是,如果你使用子域名通配符SSL证书(wildcard SSL certificate),就能在一个IP地址上部署多个HTTPS子域名。比如,https://www.httpwatch.com和https://store.httpwatch.com,就共享同一个IP地址。

Https证书六大误解“解毒”-3

另外,UCC(统一通信证书,Unified Communications Certificate)支持一张证书同时匹配多个站点,可以是完全不同的域名。SNI(服务器名称指示,Server Name Indication)允许一个IP地址上多个域名安装多张证书。服务器端,Apache和Nginx支持该技术,IIS不支持;客户端,IE 7+、Firefox 2.0+、Chrome 6+、Safari 2.1+和Opera 8.0+支持。

误解四:转移服务器时要购买新证书

部署SSL证书,需要这样几步:

  1. 在你的服务器上,生成一个CSR文件(SSL证书请求文件,SSL Certificate Signing Request)。

2. 使用CSR文件,购买SSL证书。

3. 安装SSL证书。

这些步骤都经过精心设计,保证传输的安全,防止有人截取或非法获得证书。结果就是,你在第二步得到的证书不能用在另一台服务器上。如果你需要这样做,就必须以其他格式输出证书。

比如,IIS的做法是生成一个可以转移的.pfx文件,并加以密码保护。

Https证书六大误解“解毒”-4

将这个文件传入其他服务器,将可以继续使用原来的SSL证书了。

误解三:HTTPS太慢

使用HTTPS不会使你的网站变得更快(实际上有可能,请看下文),但是有一些技巧可以大大减少额外开销。

首先,只要压缩文本内容,就会降低解码耗用的CPU资源。不过,对于当代CPU来说,这点开销不值一提。

其次,建立HTTPS连接,要求额外的TCP往返,因此会新增一些发送和接收的字节。但是,从下图可以看到,新增的字节是很少的。

Https证书六大误解“解毒”-4

第一次打开网页的时候,HTTPS协议会比HTTP协议慢一点,这是因为读取和验证SSL证书的时间。下面是一张HTTP网页打开时间的瀑布图。

Https证书六大误解“解毒”-3

同一张网页使用HTTPS协议之后,打开时间变长了。

Https证书六大误解“解毒”-4

建立连接的部分,大约慢了10%。但是,一旦有效的HTTPS连接建立起来,再刷新网页,两种协议几乎没有区别。先是HTTP协议的刷新表现:

Https证书六大误解“解毒”-8

然后是HTTPS协议:

https证书

某些用户可能发现,HTTPS比HTTP更快一点。这会发生在一些大公司的内部局域网,因为通常情况下,公司的网关会截取并分析所有的网络通信。但是,当它遇到HTTPS连接时,它就只能直接放行,因为HTTPS无法被解读。正是因为少了这个解读的过程,所以HTTPS变得比较快。

误解二:有了HTTPS,Cookie和查询字符串就安全了

虽然无法直接从HTTPS数据中读取Cookie和查询字符串,但是你仍然需要使它们的值变得难以预测。

比如,曾经有一家英国银行,直接使用顺序排列的数值表示session id:

Https证书六大误解“解毒”-6

黑客可以先注册一个账户,找到这个cookie,看到这个值的表示方法。然后,改动cookie,从而劫持其他人的session id。至于查询字符串,也可以通过类似方式泄漏。

误解一:只有注册登录页,才需要HTTPS

这种想法很普遍。人们觉得,HTTPS可以保护用户的密码,此外就不需要了。Firefox浏览器新插件Firesheep,证明了这种想法是错的。我们可以看到,在Twitter和Facebook上,劫持其他人的session是非常容易的。

咖啡馆的免费WiFi,就是一个很理想的劫持环境,因为两个原因:

  1. 这种WiFi通常不会加密,所以很容易监控所有流量。

2. WiFi通常使用NAT进行外网和内网的地址转换,所有内网客户端都共享一个外网地址。这意味着,被劫持的session,看上去很像来自原来的登录者。

以Twitter为例,它的登录页使用了HTTPS,但是登录以后,其他页面就变成了HTTP。这时,它的cookie里的session值就暴露了。

Https证书六大误解“解毒”-11

也就是说,这些cookie是在HTTPS环境下建立的,但是却在HTTP环境下传输。如果有人劫持到这些cookie,那他就能以你的身份在Twitter上发言了。

分类
网络新闻

天威诚信 电子商务企业的安全使者

2011年,团购热引起电商的上市憧憬,但一年时间这个泡沫就已破灭。团购企业包括部分电商网站抱团过冬。很大原因是团购模式雷同、企业信誉度不高、诈骗现象频出,消费者渐渐失去了安全感和信任感。电子商务企业的安全谁来保障?电商消费者的权益谁来保障?

作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。

由中国软件网主办的2011中国软件“金牛奖”评选活动(http://www.soft6.com/topic/jiniu2012/)正在火热进行中,为结合3.15的特殊意义,中国软件网组成软件3.15调查小组,通过明察暗访揭开软件服务的不良现象,同时帮企业用户挑选出一系列高质量服务以及拥有创新服务模式的软件企业,评选出当前中国软件产业产品和服务的领袖“金牛”。为此,中国软件网记者也就远光软件的产品及服务做了相关调查。

天威诚信是信息产业部批准的第一家全国性电子认证机构,自主开发了一系列网络层、应用层和终端层的安全可靠产品,为客户提供全方位、专业性、持续性和个性化的信息安全解决方案。天威诚信表示,目前,团购网站在信用、安全方面做的很是不足,国内的大多数团购网站没有标明联系方式、没有公司名称,未采取必要安全手段,极易被仿冒,安全交易风险极大。致使团购面临着网络诈骗、质量难保、信息泄露等风险。发展迅速的团购行业乱象百出,国内团购业发展急需成熟有效的信用体系和监管机制作为保障。

SSL证书作为一个服务类产品,每年天威诚信都要为老客户提供更新服务,这也是对于天威诚信服务质量的考验。为了提升售后服务质量,天威诚信还定期举办客户交流活动,帮助客户了解SSL证书技术的发展,利用天威诚信在数字认证方面的技术优势,现场为客户提供更有针对性的数字认证咨询服务。

在提升响应速度方面,天威诚信SSL证书技术支持团队在业内率先开通24小时技术支持电话,让客户随时随地得到帮助。SSL证书全天候在线,天威诚信的技术支持就要二十四小时在线。天威诚信作为国内领先的电子认证服务机构,在技术实力方面拥有绝对优势。多年的服务经验,强大的技术支持力量,让天威诚信的技术人员可以在最短时间内帮助客户排除问题。

分类
知识中心

钓鱼网站相关知识讲解

网络钓鱼(Phishing)
  网络钓鱼的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于“钓取”用户的财政状况、信用卡详细情况和密码。钓鱼攻击使用的E-mail消息和网站看起来很像是来自一家合法的知名组织,其目的是骗取用户透露其个人、财政或计算机帐户信息。攻击者然后利用这些信息进行犯罪活动,如身分窃取、盗窃或欺诈。
 网络钓鱼现状
  钓鱼式攻击是一种普遍的网络欺诈方式,它利用虚假网站诱骗用户泄露自己的个人信息。它不但能够给在线商户或银行造成很大的损失,还会损害消费者对互联网的信任。面对层出不穷钓鱼网站,即使是高级的网络防火墙和强大的反病毒软件也无能为力。

 常见钓鱼攻击技术
  复制图片和网页设计、相似的域名
攻击者会注册一个域名,它看起来同要假冒的网站域名相似。
例如:“paypai.com”可用来假冒“paypal.com”,“ta0ba0.com”可用来假冒“taobao.com”,
用“users-alipay.com”假冒“users.alipay.com”。
 URL隐藏
  用户名和密码可包含在域名前,语法为:http://username:password@domain/。
攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏@符号的最后。目前浏览器的最近更新已经修复了这个漏洞。
 欺骗性的超链接
  超链接     http://www.domain.com,当点击这个超链接时,实际指向的却是另外一个站点。
一个超链接的标题可以完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在链接标题中显示一个URL,而在背后使用了一个完全不同的URL。
 脚本
  通过JavaScript在Internet Explorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。
 弹窗
  还可以使用弹窗攻击方式,使浏览器中显示的是真实的网站页面,但在页面上同时弹出了一个简单的窗口,要求用户在该窗口中输入个人信息。
DNS欺骗
  DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
攻击者冒充域名服务器,然后把域名查询的IP地址设为攻击者的IP地址。用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
Hosts文件攻击
Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。
例如Windows XP下 C:windowssystem32driversetc
用户可以修改 hosts 文件中 IP 与域名的映射列表,将域名指向自由定义的IP地址。
例如:127.0.0.1   www.ert7.com

社会工程
  钓鱼攻击还使用非技术手段使用户坠入陷阱,其中的一个策略就是急迫性,从而使用户急于采取行动,而较少花时间去核实消息的真实性。另一个策略是威胁用户,如果不按照所要求的去做就会造成可怕的后果,如终止服务或关闭帐户,少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”),但威胁攻击更为常见,用户往往会对不劳而获产生怀疑,这可能是人类的本能
IP地址
  隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示,如http://202.*.*.250。这种技术的有效性令人难以置信,由于许多合法URL也包含一些不透明且不易理解的数字,因此,只有懂得解析URL且足够警觉的用户才有可能产生怀疑。

钓鱼网站特点
  持续时间短
大多数钓鱼网站只存在很短的一段时间,其单位以天甚至小时计算。
憋脚的语言
许多钓鱼攻击所用的消息存在大量的拼写错误、语法错误或使人困惑的措词。
网上交易站点居多
大部分钓鱼网站带有网上交易的特性,对网上银行、网络商城之类站点的用户资料和资金进行盗窃、诈骗等非法活动。
负面影响大
无论是对于客户端的客户体验,还是对于提供服务的网络公司的企业形象,都造成了极坏的影响。

 为什么选择EV SSL证书
  普通的用户无法识别快速 SSL 证书和严格身份验证的 EV SSL证书有什么不同,两者都会在浏览器上显示安全锁标志。

钓鱼网站相关知识讲解-1

EV SSL证书需要经过最彻底的身份验证以确保该组织真实存在,扩展认证功能帮助挫败钓鱼网站。
绿色地址栏显示的组织名称和作为证书颁发机构的CA无法被恶意网站模仿。
强大的防止钓鱼网站的保护能力
  醒目的指示,显示网站身份的可靠性
大大阻止网页钓鱼
恢复网站访问者的信心
可控的安全性,安全一目了然
绿色地址栏增加顾客信任,带来更多交易
  以IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用EV SSL证书的网站会浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。
EV Upgrader帮助更多客户轻松获得安全绿色地址栏
  VeriSign提供EV Upgrader升级技术,该技术可帮助非VISTA的IE7的用户自动升级根证书,如客户在Windows XP版本下使用IE7,该技术可确保客户无缝升级展示绿色地址栏,实现EVSSL诸多安全特性。扩展验证功能帮助挫败钓鱼网站
EV SSL经过最彻底的身份验证客户确保证书持有组织的真实性。绿色地址栏将循环显示的组织名称和作为CA的VeriSign名称,两个的同时运用,从而最大限度上确保网站的安全性,树立网站可信形象的,不给钓鱼网站以可乘之机。
工欲善其事,必先利其器。电子商务、电子政务、网上支付的前景虽然美好,然而还有不少的技术障碍亟需解决,只有当安全与信任共同建立,互联网交易的屏障才会迎刃而解
目前来看,网络支付的安全手段主要基于电脑本身的防护,如让用户安装安全防护软件、独立的客户端、动态口令、USBKey等等。如何在如何将各大银行网银、支付平台、企业财务系统等各领域 提供更多更有效的服务性产品,无需客户端来执行额外的操作,即可为客户带来方便易用的安全产品,从而构筑网上支付的安全防线,正是VeriSign可信网站服务在不断探寻的答案。

分类
未分类

关于Symantec(赛门铁克)认证服务

赛门铁克(Symantec)公司成立于1982年4月,公司总部位于加利福尼亚州的 Cupertino,现已在全球 40 多个国家和地区设有分支机构,2006年全球销售额超过50亿美金,全球员工超过14,000 人。赛门铁克是信息安全领域全球领先的解决方案提供商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,可以帮助个人和企业确保信息的安全性、可用性和完整性。

2010年8月,赛门铁克(symantec)收购VeriSign认证服务、VeriSign SSL证书、EV SSL证书代码签名证书数字签名证书、服务器证书以及VeriSign信任签章服务现均由赛门铁克提供。作为过渡环节之一,赛门铁克重点在2012年4月对VeriSign的产品名称和品牌标识进行变更,而且在服务方面更加注重附加安全服务

 

产品名称变更如下:

 

VeriSign® SSL 证书

变更为

赛门铁克™(symantec) SSL证书

VeriSign® 代码签名证书

变更为

赛门铁克™(symantec) 代码签名证书

VeriSign® 信任中心

变更为

赛门铁克™(symantec) 信任中心

VeriSign® 信任签章

变更为

赛门铁克™(symantec) 信任签章

VeriSign® 支持型SSL证书

变更为

赛门铁克™(symantec) 支持型SSL证书

VeriSign® 强制型SSL证书

变更为

赛门铁克™(symantec) 强制型SSL证书

VeriSign® 支持型EVSSL证书

变更为

赛门铁克™(symantec) 支持型EVSSL证书

VeriSign® 强制型EVSSL证书

变更为

赛门铁克™(symantec) 强制型EVSSL证书

 

在变更证书名称的同时,新增如下服务:

1、漏洞评估服务

漏洞评估服务包括自动扫描功能和易于使用的报告功能,前者自动扫描面向公众的网页,而后者列出关键漏洞和信息项目。

购买每一个扩展验证或专业版SSL证书(与 SSL证书相比)均可免费获得漏洞评估服务,客户可在完成购买后激活该服务,该服务可帮助您快速识别网站上大多数容易被利用的缺陷,并采取措施予以应对。

漏洞评估服务,旨在检测最常见的攻击、最常使用的入口点。漏洞报告则根据漏洞的类型和危险性对其加以分类,并提出相应的纠正措施,有助于企业快速分辨关键的漏洞并加以补救,从而更轻松地保护网站。

 

2、反恶意软件扫描服务

反恶意软件扫描服务可以扫描SSL证书所在的主机网站程序,包含javascript和iframes。该服务完成对网站程序的静态分析,并通过浏览器模拟器检查恶意软件页面触发行为。该服务并不扫描全部页面,而是选择性优先扫描一些页面以发现恶意程序活动行为。该服务也不会扫描您的网络或搜寻您内部台式电脑上的恶意程序和那些需要输入口令才可进入的内部网页。

如果网站没用顺利通过扫描检查, VeriSign信任签章(VeriSign Trust Seal)将会被停用,取而代之的是VeriSign安全签章标志(VeriSign Secured Seal)。同时,您将会收到一封E-mail告知您已被恶意软件感染,并指引您访问VeriSign信任中心的账户查看被感染的页面和代码。网站管理人员需要及时清理所有的恶意软件并要求24小时内被重新扫描一遍。一旦通过扫描验证,所有的恶意软件即被清除,VeriSign信任签章(VeriSign Trust Seal)将被再次展示。

 

3、恶意软件扫描服务,识别已知恶意代码和全新的恶意代码变体,有效方案网站被黑客攻击并挂马。

通过反恶意软件签章,让您的客户知道您的网站不含恶意软件。使用即时警报,准确地识别并定位恶意代码,快速清理网站被感染的页面。利用这些警报来快速清除恶意软件、防止您的网站进入搜索引擎黑名单并确保搜索流量能够到达您的网站。

这是一种易于实施的云服务,由网络安全供应商直接提供。

 

功能:

– 每日扫描恶意软件,进行定期检查

– 分析网页以查找可以识别的恶意代码并进行监视以确认恶意活动,从而方便地清除任何受感染的网站

– 能够识别恶意代码的实时警报,可以快速删除恶意软件

– 按需扫描,可以快速确认网站清除状态

– 通过反恶意软件签章使访客确信网站没有恶意软件

分类
公司新闻

赛门铁克(Symantec)认证业务在2010年攻击中未受影响

赛门铁克认证服务基础运营资深总监指出,赛门铁克认证服务(包括SSL、PKI、VIP、FDS)我的团队负责为其提供操作和维护的基础运营工作,这些基础工作构成认证服务业务。在2010年赛门铁克获得认证服务业务的时候我在verisign担任同样的角色。

近日verisign公司宣布他们的企业网络曾被攻击,人们想知道我们如何确保公开声明中的认证网络在攻击中没有受损,因为在2010年认证服务已经是verisign业务的一部分。

首先我要强调,赛门铁克没有收购verisign公司,赛门铁克和verisign公司是独立的实体。赛门铁克收购的verisign公司的资产,包括托信服务(SSL)和用户认证(PKI、VIP、FDS)业务。

在保持同行业最安全措施的同时,我们始终根据用法和功能对网络采取隔离式管理采。一个企业网络通常允许员工访问企业的功能包括电子邮件、共享文件的网站和互联网。

在遭到黑客入侵的时候,VeriSign的SSL、PKI、VIP、FDS等云认证服务都是作为独立的部门单独运行的。当认证服务业务移动到赛门铁克后,我们仍继续采用隔离式的运行方式,该隔离可以有效的防止公司网络受到的入侵感染到认证产品网络上。

我们采取的保护产品网络的手段包括:限制访问,只有被授权的人员才能进行访问;过滤进入产品网络IP地址,同样必须通过授权才可访问;需要通过间接的系统访问服务器;使用一个单独运行的认证网络,隔离于企业网络;强大的密钥系统确保适应高标准的信息安全级别。最后,我们定期都会进行内部系统和外部系统的安全测试以确保我们能够抵制各种前所未有的威胁。

人们还质疑verisign的企业网络受到攻击,赛门铁克的业务是否仍然仍使用VeriSign的数据中心。为安全起见,赛门铁克公司的生产网络与VeriSign公司的企业网络是完全分开的。此外,我们的发展环境也搭建在企业网络系统以外的一个单独网络上,仅仅保留在赛门铁克设备上。最后,在SSL信任基础上形成的VeriSign根密钥,保存在脱机状态,从来没有在网络上访问。

我们花了很多年的时间去发展和磨练我们的安全做法,我们要确保最敏感数据存储的生产环境始终是我们的网络最安全的地区。

发展和维持高安全性的态势是不容易的,对于我们的员工来说也是不便捷的。然而,就像我的一位好朋友经常告诉我的:“建立在便捷上的安全,是没有任何安全可言的。”在这样的时代,了解这一点很重要,而且这仍然是最好的做法。

  From Symantec official blog

  Buy Paul Meijer

分类
公司新闻

VeriSign漏洞修复 非SSL认证业务 赛门铁克不会受到影响

据最新消息报道,最近VeriSign公司在其提交给证券交易委员会的季度报告中称,VeriSign曾在2010年的一个安全漏洞中受到影响。同时,VeriSign公司已经证实,该事件并未影响他们的DNS业务。

正如VeriSign公司表示,该问题没有影响到他们的生产环境,我在此陈述赛门铁克在回应媒体关于2010年VeriSign公司的安全漏洞的疑问:

赛门铁克对其解决方案的安全与适当的功能十分重视。认证服务(SSL),用户认证(VIP,PKI,PDS),由赛门铁克收购的其他产品都没有受到verisign所提到的破坏企业网络安全漏洞的影响。

遗憾的是,很多人都把verisign该问题与赛门铁克收购的SSL证书相关联,没有根据的提问,“SSL 证书不安全了吗?” SSL,或者 https加密,在网络数据传输中仍然是最安全的加密方式。赛门铁克认证服务,会继续提供身份认证解决方案的优质服务,保证您的系统与您的客户的安全。

2012年2月3日更新,在此澄清以上两个品牌。在2010年,赛门铁克手收购了verisign的SSL证书业务,而不是Verisign公司所有业务。Verisign是一家独立上市公司。

分类
安全播报

钓鱼网站花样繁多,谨防网站钓鱼

中国互联网络信息中心近日发布的《第29次中国互联网络发展状况统计报告》显示,截至2011年12月底,中国网民规模达5.13亿,全年新增网民5580万;互联网普及率较上年底提升4个百分点,达到38.3%。由此可见,我国的整体网民用户规模在进一步增长。

随着互联网的发展,整个互联网的安全问题也日益突出,而钓鱼网站就是网民最大的危害之一。不法分子想方设法设置安全漏洞,让消费者防不胜防。

钓鱼网站花样多变

尽管国家各级相关部门不断进行宣传和指导,甚至有的消费者还经历了多次血的教训,但仍有不少用户不断地受到钓鱼网站的侵害,且受害用户的金额较往年也有很大的提高。黑客不断地变换不同的“钓鱼”手法,让众多网民防不胜防。据记者调查和了解,目前钓鱼网站主要有以下几种欺诈手法:

通过QQ、MSN等IM软件及邮件进行欺诈。QQ、MSN及邮件作为中国网民使用最为频繁的网络通讯方式,是最为行之有效的信息传播载体。黑客正是利用这一点,登录窃取的QQ号、MSN账号等,给其好友发送钓鱼网站,或者直接要求好友帮其购买手机充值卡、网游点卡等容易销脏的数字卡产品。中招者无法统计,数量级可能在数万到数十万之间。

通过群发短信进行传播欺诈。不法分子通过各层关系,买到大量的手机用户资料,通过短信群发各种钓鱼短信,诈骗钱财,出售假冒伪劣商品等,这种方式相对隐蔽,诈骗成功率很高。

利用搜索引擎销售假冒伪劣产品。作为网民获取信息的主要途径,搜索引擎在黑客推广钓鱼网站上起到了不可替代的作用。黑客们会追踪搜索引擎上的热门词汇,针对这些热门词汇做出调整和优化,使得网民在搜索的时候,假网站排在前列。有的甚至花费重金,购买搜索引擎广告,然后进行假冒伪劣产品进行销售。

通过社会热点问题进行欺诈。在过去的2011年,每次社会热点都成了黑客钓鱼的推手,如,2011年的团购热催生了假团购网站;伴随2011年末网购火车票而生的是抢票软件,全国各地网民被钓鱼网站成功钓住并损失惨重的案例非常多。

“钓鱼”背后的黑色利益链

数据显示,2011上半年,中国互联网电子商务交易额达2.95万亿元,预计全年超过6万亿元。仅从如此巨大的经济损失金额中,就可以看出钓鱼网站的利润之大。利益催生了坚不可摧的黑色利益链。

近几年,全国各地陆续爆出案值从几万到几十万、上百万的黑客钓鱼案例。

多方发力“防钓”于未然

据统计,2011年由病毒和木马造成的危害,比去年同期有一定的上升,受害人数仍在高位徘徊。网上消费欺诈造成了用户对互联网商务类应用的担忧、抵制和排斥,影响了商务类应用的可持续发展。在网上服务快速发展的今天,网上安全直接关系老百姓的利益,更需要提高关注度,要防被钓还需互联网管理、国家立法和用户自身的共同努力。

中国互联网协会表示,将通过加强密码保护和登录认证、强化系统安全防护和互联网企业内部管理等措施,进一步推动网站用户信息保护工作。

业内专家建议,国家应尽早就个人信息保护问题进行立法,有关部门应及时出台相关标准,共同维护互联网络安全,让网络犯罪有法可治。

同时也应提醒广大网民提高风险防范意识,保护好自己的账号隐私。做到“两个不要”和“两个应该”。

“两个不要”是:不要随意注册无关的网站账号,并且在注册网站账号时不必透露太详尽的个人信息;不要轻易在安全性低的网站购物,购物网站往往会记录你的手机号银行卡等信息,安全性低的购物网站一旦被黑客攻破,后果将不堪设想。

“两个应该”是:应该在注册网站账号之后不定时更换密码。这样即使黑客窃取了你的密码,常更新密码也能使黑客的密码无效;账号或密码应尽量与手机绑定,比如支付宝、银行都提供了这种方式来加强密码的安全性。这样绑定之后,一旦有账号变动异常,用户会及时收到消息,及时申诉降低损失。

天威诚信相关工作人员提醒广大网名,在日常的网购过程中,要提高安全意识,使用数字证书、支付盾等安全产品,在网上购买促销产品以及日常网购中,要注意以下几点:

1.安装安全软件,并保持其开启和及时的更新;

2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;

3.在线进行支付或提交敏感信息时,留意页面地址栏开头是否以“https”开头,有些网站地址栏会变为绿色。这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。

4.不随意接收陌生人发来的在线文件。

上述四点中,可能很多朋友对第三点最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EV SSL证书,其他金融类网站也相继使用。

天威诚信(VeriSign中国区域的首要合作伙伴)的工作人员介绍,其中大多数SSL证书来自VeriSign,作为全球最知名的数字证书品牌,除尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全的企业机构青睐。您上网时不妨留意一下,在支付宝、卓越网、凡客、各大银行、基金网站等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。

检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击即可查看SSL证书(服务器证书)及颁发机构信息。

 

分类
安全播报

重视网上交易安全,警惕Paypal(贝宝)钓鱼

对于经常从事国际贸易的用户,Paypal(贝宝)——并不陌生。作为最受欢迎的国际在线支付工具之一,Paypal拥有数亿用户,目前Paypal已经支持国内众多银行。

近日,安全中心监测到仿冒Paypal安全中心的钓鱼网站,该类网站以“更新账户信息”为由,恐吓用户账户存在安全问题,进而套取用户密码提示问题及答案。

此类钓鱼网站主要通过电子邮件传播,假冒官方人员,以安全为由诱骗恐吓用户透露个人重要信息。

天威诚信iTrusChina工作人员提醒大家,当收到类似邮件时,请仔细辨认发件人是否来自Paypal官方。对于涉及个人账户密码等重要信息的邮件时,需谨慎处理,切勿随意点击陌生邮件中提供的超链接。

分类
知识中心

FTP服务器SSL证书配置方法

如何在5R2版OS/400操作系统中设置一个具有SSL加密功能的FTP服务器?

iSeries FTP服务器既支持TLS(传输层安全)又支持SSL(安全套接层)保护的进程,包括客户身份识别和自动登录,以便为通过FTP控制和数据连接传输的数据进行加密。在你能够设置你的FTP服务器使用SSL之前,你必须要在你的iSeries服务器上安装必要的程序和设置数字证书。不过,在我们考察如何设置你的FTP服务器之前,了解FTP协议是非常重要的。

FTP使用两个TCP连接,一个连接用于控制,另一个连接用于数据。标准的控制连接使用TCP端口21,默认的数据连接是端口20。要开始一个安全的FTP进程,用户可以连接没有加密的TCP端口21,然后协商身份识别和加密选项。这个过程称作显示控制。另一方面,当用户选择安全FTP端口的时候,这种连接是隐式连接,通常使用990端口,在这个端口的连接是TLS/SSL证书。对这个控制连接进行加密的主要原因是在登录FTP服务器时隐藏口令。没有安全控制连接,FTP协议不允许你拥有一个安全的数据连接。

当你为控制连接使用TLS/SSL加密的时候,这个FTP客户端软件也在为在FTP数据连接上发送的数据加密。加密具有很高的性能成本,在数据连接中可以绕过这种加密措施以便在不降低网络性能的情况下发送非机密的文件,而且仍可以通过不暴露口令的方式保护系统。iSeries FTP服务器提供了这两种选择。为了在你的iSeries V5R2服务器上设置具有SSL功能的FTP服务器,你需要确保这个服务器安装了如下软件:

·OS/400操作系统V5R2版或者以上版本。

·TCP/IP连接工具。

·用于iSeries服务器的128位“Cryptographic Access Provider”。

·IBM的数字证书管理器。

·IBM HTTP服务器。

下一步你需要进行如下操作:

1.创建一个本地证书授权,或者使用数字证书管理器设置FTP服务器使用与这个FTP服务器有关的公开证书。

2.要求FTP服务器对客户进行身份识别。

3.在FTP服务器上启用SSL加密功能。

 


FTP SSL证书推荐:

序号 推荐证书 品牌优势 鉴证时长
1 DigiCert 多达99个许可的SAN支持,2048位根证书,128-256位加密强度, 99%+的浏览器兼容,最高175万美金的赔付保证 ,诺顿安全认证签章,证书签发之日起30天内无条件退款、免费替换,证书有效期内无限次免费重签。 1-3个工作日
2 GlobalSign 支持付费扩展,最多可扩展至250个常规SANs或通配符SANs,提供证书有效期内重签发,证书安装服务器无数量限制,支持RSA + ECC 2048 位 / 3072 位 / 4096 位,提供网站安全徽章,可实时进行状态查询,桌面机及移动设备支持率高达99.9%以上,7天之内免费退款,提供免费电话、邮件、即时聊天等技术支持,支持SHA-2 签名。 2-5个工作日
3 EnTrust 128-256位加密强度,2048位秘钥,域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,30天无条件退款,风险承保计划,安全网站签章。 2-5个工作日
4 Geotrust 2048位秘钥域名验证揭露域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,30天无条件退款,最高100万美金的风险承保计划,安全网站签章。 2-5个工作日
分类
安全播报

网购支付安全威胁主力之钓鱼网站

随着互联网的飞速发展,网购可以说是受到了广大人民群众的热力追捧,它改变了我们的生活形态,可是在网购过程中,也存在了很大的安全风险,比如钓鱼网站。

回顾2011年,网购支付安全的主要威胁来自于钓鱼网站、商户恶意欺诈和账户被盗三大类。其中钓鱼网站因其技术含量高、隐蔽性好,不易被消费者察觉成为网购支付安全的最大危害。

为了防止更多的网民被钓鱼,天威诚信提醒大家在网购过程中要注意以下几点:

1.留意页面地址栏开头是否以“https”开头

2.有些网站地址栏会变为绿色

3.地址栏后边是否有小金锁标志

这些特征是网站应用SSL证书或EV SSL证书后所展示的,其作用是实现信息传输过程中的加密保护,防止银行卡、交易密码等遭到截获、窃取或篡改。而认清这一特征同时也有助于对高仿真钓鱼网站的鉴别(这些安全特征是钓鱼网站无法仿冒的)。

天威诚信工作人员还提醒大家在日常的网购过程中除了要注意以上两点之外,还要注意以下几点:1.安装安全软件,并保持其开启和及时的更新;2.不访问来源可疑或未知的链接,尽量选择那些知名度高的网站,这类网站管理严格,且服务有保障;3.不随意接收陌生人发来的在线文件。

在以上说的几点中,我想很多朋友都对“HTTPS”以及“绿色地址栏”最为陌生,其实早在几年前国内大型银行的网站为确保用户信息安全(比如农业银行、招商银行等),就均已部署了EV SSL证书,其他金融类网站也相继使用。

天威诚信VeriSign中国区域的首要合作伙伴)的工作人员介绍,其中大多数SSL证书来自VeriSign,作为全球最知名的数字证书品牌,除尖端的专业技术,其服务流程也极为严格,因此受到很多追求高强度信息安全的企业机构青睐。您上网时不妨留意一下,在支付宝、卓越网、凡客、各大银行、基金网站等登录或支付页面都可以看到VeriSign SSL证书(或EV SSL证书)的使用。

检测方法:在以“https”开头的网页上找到金色锁形标记(一般在地址栏右侧),点击即可查看SSL证书(服务器证书)及颁发机构信息。