分类
公司新闻

VeriSign(威瑞信):全球最权威SSL证书认证品牌

近日,《每日经济新闻》的一篇报道在互联网业界引起一片哗然,以安全起家的互联网公司360 被指存在重要安全隐患,并且恶意收集用户隐私。《每日经济新闻》报道指责360安全浏览器故意屏蔽VeriSign服务器证书的地址栏,将其换为奇虎360认证,致使用户账户存在风险。之所以这样说,是因为奇虎360认证的绿色地址栏是软件厂商根据他们自行整理的网址白名单方式来实现的绿色地址栏,可被DNS攻击方式篡改。这种基于白名单的绿色地址栏并不具备权威性。而VeriSign认证则具有加密和所有浏览器的兼容性,更能够保证用户浏览Web网页的安全性。

作为普通用户,对于《每日经济新闻》中提到的SSL认证可能并不了解,VeriSign网站认证服务是怎样帮助用户防止受到网络欺诈的?为何业界对于VeriSign认证高度认可?本文试图为用户一一解答。

SSL协议是基于密码学原理设计,能够在用户上网时候保护用户免受钓鱼网站、木马和病毒的侵害。SSL协议提供的服务主要包括认证用户和服务器,确保数据发送到正确的客户端和服务器;加密数据,防止数据在传输中被窃取;确保数据在传输中不被改变。也就是说,通过SSL认证之后,数据信息在客户端和服务器之间的加密传输就得以保证,数据信息得以保护。这不仅是信息传递的安全性所必须的,用户也可以通过服务器证书验证自己访问的网站是否真是可靠。

由于互联网犯罪频频发生,高安全的加密技术以及严格的身份验证机制是确保部署SSL证书的网站安全可靠的主要因素。金融机构、电子商务等网站都采用SSL认证的方式来确保用户的网络安全。靠数字证书起家的VeriSign就是当前国际权威的SSL认证服务提供商之一。目前,国内主流的网上银行系统和电子商务网站几乎都使用VeriSign的认证,通过它保护用户的登录安全。因此,奇虎360公司屏蔽VeriSign服务器认证的地址栏,才会被看作是威胁用户上网安全的行为。

在SSL认证服务领域,VeriSign可谓声名显赫。VeriSign主要提供域名登记、数字认证和网上支付三大核心业务,旨在在全球范围内建立起了一个可信的虚拟环境,使任何人在任何地点都能放心地进行数字交易和沟通。

自从成立之初,VeriSign就一直坚持严格遵循业内最为严格的身份鉴证机制,不提供单一域名鉴证产品,确保每张签发证书身份真实有效,因此在数字证书领域拥有良好声誉,可以最大程度上提升网站的可靠和信任度。当客户访问网站时,可通过点击金色安全锁或站点签章标志,便可检验网站真实身份。目前,VeriSign的SSL 证书被 93% 的全球 500 强企业、97%的全球前100大银行和全球50大电子商务网站中的47个网站所选用,在EV SSL中占有75%的市场份额,客户超过50万个网站。

VeriSign在国际SSL认证市场具有较高的权威性。目前包括 IE(7及以上所有后续版本)、Chrome、Firefox、Safari、Opera浏览都支持VeriSign证书的绿色地址栏。这种绿色地址栏显示从2006年全球开始执行EV证书标准以来,目前还从没有被攻击和冒用的情况发生。因此其安全性和权威性得到了全球浏览器厂商和用户的认可。

正是由于在SSL证书认证领域的领军地位和核心技术过硬,VeriSign于2010年被赛门铁克收入麾下,其在认证领域的安全产品和服务也融入赛门铁克的安全产品和服务体系中,从而在更大范围内发挥了更多作用,也得到用户的广泛认可。同时,借助赛门铁克在中国的代理商——天威诚信在中国市场的过硬的渠道资源,VeriSign近两年在中国市场发力,并且逐步赢得了国内互联网企业的广泛认可。而这也正是为什么《每日经济新闻》报道360安全浏览器屏蔽VeriSign认证会引起轩然大波的原因所在。如果真有此事,那么用户访问互联网的安全性将会大打折扣,在访问电子商务、电子银行时,用户的账户也存在高度风险。

分类
常见问题

代码签名证书常见应用

代码签名证书主要作用是为各种应用程序做数字签名,通过数字签名确保应用软件来源的真实性并防止篡改,在代码签名证书里会有证书申请公司的详细信息,所以通过该信息来确认软件是否是可信的。

一般常见的代码签名证书包括微软代码签名证书Java代码签名证书,还有宏代码签名证书等等,但是一般常用的代码签名证书为微软代码签名证书,Java代码签名证书于宏代码签名证书还有其他手机应用程序的代码签名证书都已经逐渐不再使用,尤其是Android与IOS手机系统的普及导致像过去的Java,Symbian,等等手机数字签名证书的没落,因为在Android与IOS的系统里都有自己的签名策略供软件商店里的应用做签名,一般都已经不在使用第三方的数字签名证书

现在应用最为广泛的还是微软代码签名证书,下面来具体介绍下微软代码签名证书。

微软认证代码签名证书主要的功能是为在Windows平台下发布的应用程序做数字签名,因为从Vista系统开始,Windows系统的安全性要求更为严格,当用户安装软件是,系统的UAC默认设置都会提示用户该软件是否安全,是否有数字签名等信息,如果没有做数字签名那么会提示该软件未经颁发者等信息提醒用户谨慎安装;还有当用户安装未经数字签名软件时杀毒软件同时也会提示该软件未经数字签名等等安全提示,甚至会提示该软件存在安全风险等提示,所以微软认证代码签名证书主要解决的问题便是这个系统提示,还有杀毒软件的安全提醒。

在Windows平台下所需要用到数字签名的应用程序一般分为,普通应用程序,驱动程序,网页插件程序等,如exe,dll,cab,msi,ocx,sys,cat等文件。

比较特殊的应用可以总结如下:

普通应用程序,普通应用程序只需要使用微软代码签名证书进行普通的签名即可;

驱动应用程序,如果是驱动应用程序的话,需要做微软要求的交叉签名证书,交叉签名证书在签名的时候会把微软的一张证书签到程序里,在验证的时候通过微软的该证书才可通过验证;驱动程序又分为内核驱动程序与硬件驱动程序,如果是内核驱动程序那么只需要简单的交叉签名证书即可,而如果是硬件驱动程序,那么除了需要有内核驱动程序签名还需要有微软徽标认证才可通过系统数字签名验证。

关于内核驱动程序,一个内核驱动程序,即使做了交叉签名,在Vista以上系统安装都可以显示出签名信息,并通过验证,但是在xp下面进行安装,仍然提示未经数字签名,这是因为在xp下面交叉签名证书无法通过验证,除非申请微软徽标认证,但是徽标认证一般只用于硬件驱动程序的申请,用于xp不值得,而且xp也基本被逐渐淘汰,所以xp内核驱动程序与硬件驱动程序只做普通的签名即可,因为即使做了交叉签名可能也没用。

关于硬件驱动程序,在Vista以上版本必须有微软交叉签名,然后在申请微软徽标认证,这样才可以完全消除安装时在客户端出现的各种不友好提示。

微软认证代码签名证书的种类与品牌

各个第三方CA证书颁发机构都有出售微软代码签名证书,其中市场占有率最高的为VeriSign(已被Symantec收购)。

微软代码签名证书的使用,都是使用微软Signtool程序进行数字签名,有命令行与可执行程序,微软网站上也有详细的命令参数。

分类
知识中心

如何应用单个IP地址共享443端口配置多个SSL虚拟主机

由于全球互联网络的迅猛发展,IPv4资源逐渐成为一种稀缺资源。传统的SSL证书安装配置办法(也是目前最稳定的解决方法)就是为每个 https 主机使用不同的IP地址。

如果直接按照http主机的配置办法配置 https 主机,就会出现一个很普遍的问题:不论浏览器请求哪个主机,都只会收到默认主机(配置的第一个443端口的虚拟主机)的证书。这是由SSL协议本身的特性引起的——先建立SSL连接,再发送 https 请求(即加密主机头)。所以服务器端在与客户端建立SSL连接时不知道客户端所请求主机的名字,因此服务器端只会返回默认主机的证书。

目前已有两种可行的方案来实现多个 https 主机共享一个IP地址的443端口:

1. 使用支持多个域名的证书(多域名SSL证书通配符SSL证书

多域名SAN(SubjectAltName)证书能够在一张证书中最多支持绑定25个域名。当需要为同一台物理服务器上的多个不同域名的主机配置SSL证书时,可通配置一张共享的多域名证书来实现IP地址和端口的共享。只需将所有虚拟站点的域名绑定到这张多域名SSL证书中即可。

可接受的域名格式

示例

国际顶级域名

www.domain.com、www.domain.net

CN顶级域名

www.domain.cn、www.domain.com.cn

其他顶级域名

www.seconddomain.com

子域名

server.domain.com、server.cn.domain.com…

服务器主机名

msexchange1

Intranet名称和内网域名

msautodiscovery、sercer.local

RFC 1597所规定的私有IP地址

192.168.0.0 – 192.168.255.255
10.0.0.0 – 10.255.255.255

至多一个公网IP地址

202.*.*.* …

通配符SSL证书是在一个单一的证书中,通用名(域名)字段中包含一个“*”通配符字段(*.example.com)。这使得该证书可以支持无限制数量的多个子域名(主机)。这张通配符证书也可作为虚拟主机的共享证书,为所有归属于同一域名下的二级域名实现https虚拟主机的IP地址共享。

对比多域名证书和通配符证书的产品特征可知,多域名证书受到“SubjectAltName”字段的长度限制,最多支持25个域名。而通配符证书虽然支持的域名数量不受限制,但只能支持同一域名下的二级子域名。在证书的应用中需要根据证书产品特点加以合理选择。

2.开启SNI支持

SNI 是“Server Name Indication”的缩写,全称“主机名称指示”。

TLS主机名指示扩展(SNI,RFC6066)允许浏览器和服务器进行SSL握手时,将请求的主机名传递给服务器,因此服务器可以得知需要使用哪一个证书来服务这个连接。但SNI只得到有限的浏览器和服务器支持。

SNI 客户端支持

Firefox 2.0 及后续版本

Opera 8.0及后续版本

Internet Explorer 7.0及后续版本(要求Windows最低Vista系统)

Google Chrome 所有版本(Windows版要求最低Vista系统)

Safari 3.2.1及后续版本(Mac OS版要求最低X 10.5.6 ;Windows版要求最低Vista系统)

SNI 服务器端支持

Nginx 0.5.32及后续版本

Apache 2.2.12及后续版本

IBM Http Server 7.0及后续版本

Apache 、Nginx 要求安装 Openssl0.98f(0.98j开始默认支持SNI) 或更高版本的 Openssl 支持。

SNI的配置

在Apache中配置SNI

在Apache配置文件中通过使用

Listen 443

NameVirtualHost *:443

<VirtualHost *:443>

……

ServerName www.example1.com

……

</VirtualHost>

<VirtualHost *:443>

……

ServerName www.example2.com

……

</VirtualHost>

开启虚拟主机配置

在Nginx中配置SNI

Nginx 中通过 nginx -v 命令查询当前已安装的版本对 SNI 功能的支持。在配置文件中通过

ssl_certificate common.crt;

ssl_certificate_key common.key;

server {

listen 443;

server_name www.example1.com;

ssl on;

}

server {

listen 443;

server_name www.example2.com;

ssl on;

}

开启SNI支持。

在IBM Http Server 7中配置SNI

IBM Http Server 7中配置SNI支持需要将多个证书密钥对合并到一个单独的kdb文件中来为不同虚拟站点配置使用不同证书。

使用 I Key Manager 工具打开 www.example1.com 的服务器证书 key.kdb 文件,切换到“个人证书”选项卡,选择“导入/导出”。然后选择证书导入密钥库,密钥库格式选择“CMS”格式,并选中 www.example2.com 的服务器证书 key.kdb 文件。将 www.example2.com 的服务器证书 key.kdb 中已存在的证书密钥对导入到 www.example1.com 的 key.kdb 文件中。导入过程中,修改导入的密钥对别名为 example2。

Listen *:443

NameVirtualHost *:443

<VirtualHost *:443>

ServerName www.example1.com

SSLEnable

SSLServerCert example1 # example1 是在 kdb 文件中,为 www. example1.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

<VirtualHost *:443>

ServerName www.example2.com

SSLEnable

SSLServerCert example2 # example2 是在 kdb 文件中,为 www. Example2.com 的服务器证书密钥对设置的证书别名

</VirtualHost>

SSLDisable

KeyFile /opt/IBM/HTTPServer/key.kdb

分类
知识中心

如何将IIS被删除的SSL服务器证书私钥重新恢复回来

IIS中,客户在使用中经常会出现生成了CSR文件后,将以前的证书请求删除,导致私钥丢失,颁发的证书无法导入服务器,最终只能重新替换SSL证书服务器证书。下面这个方法就可以解决这一问题,让被删除的私钥重新回来。(此问题在IIS7中不存在)

 

首先,我们新建一个证书请求(生成CSR文件):

 如何将IIS被删除的SSL服务器证书私钥重新恢复回来-1

(密钥长度现在均选择2048位)

填写完CSR里面的一些信息后,我们得到了一个证书请求文件certreq.txt的文件

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-2

通过修改文件后缀,我们得到了一个CSR文件。然后将其提交给天威诚信,证书签发后会邮件的形式发送给您。

问题举例:

这个时候如果由于认为的误操作导致这个请求被误删除,会同时删除这个请求中的私钥文件,其结果就是在我们的证书签发后您无法导入证书。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-1

问题解决方法:

 

1,    在“运行“中输入mmc,打开控制台

2,    添加/删除管理单元,“添加“——”证书“

3,    选择“计算机用户“,”本地计算机“,点击“完成”即可

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-2

然后,我们在个人——证书,右键“导入”,将由天威诚信签发的证书文件导入。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-5

选择证书,并按着默认顺序导入“个人”中:

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-6

我们双击这个新导入的服务器证书,详细信息——序列号,看到的是 00 f6,记下这个序列号,稍后恢复密钥有用的。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-1

然后通过命令行来恢复私钥:

1,     打开“运行“,输入cmd ,回车

2,     在命令行中输入 certutil –repairstore my<序列号> 如:certutil –repairstore my 00f6,回车

3,     出现这样的结果为,私钥恢复成功

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-8

接下来,我们就在服务器中分配证书吧。

1,      打开IIS服务器,在站点的属性中——目录安全性——服务器证书

2,      选择“分配现有证书“,选择我们导入的那个服务器证书,默认端口443,完成。

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-4

3,      再打开目录安全性,查看证书

如何将IIS被删除的SSL服务器证书私钥重新恢复回来-10

显示这个证书中已经是包含私钥的一个证书了,说明私钥已经在这个证书里面了,而这个格式的证书是IIS服务器可以正常使用的了,私钥恢复成功。

4,      在服务器证书中,也出现了“将当前证书导出到一个.pfx文件”这个选项。

5,      导出这个.pfx文件(不删除文件),记好文件保护,做好异地备份即可。(此文件默认为可导出)

分类
知识中心

verisign绿色地址栏和360绿色网站认证的区别是什么?

网站不部署VeriSign EV SSL证书后,地址栏将显示为绿色,同时会显示公司名称及显示“由VeriSign识别”。VeriSign提供的EV SSL证书产品可以最大限度上提升客户交易信心。绿色地址栏增加顾客信任,带来更多交易 以IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用EV SSL证书的网站会浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,例如VeriSign。所有的一切,均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非钓鱼网站。

“360绿色网站”是以奇虎360科技有限公司作为第三方权威机构,经过对有需求的企业等进行全面审核并对其身份和安全状态给予确认的服务。通过审核的企业能得到“360绿色网站”中心给出的独特的标识,网民只要看到此标识,便可安全访问该网站。

“360绿色网站”验证服务覆盖了网站身份安全检测等网站安全标准审核功能,权威标识使网站实现“身份安全、服务安全”。

“360绿色网站”,不仅是网站取信于民的“安全身份证”,还是网站正常运行的“安全守护神”,更是网民判别网站安全与否的重要参考依据。

360绿色网站认证只局限于使用360浏览器的用户而且也只提供网站身份认证这一项而Verisign EV SSL证书刚对国际主流的浏览器都是兼容的。应该说Verisign是一个更加权限和受信度更高的认证产品

 

相关专题信息请点击:http://www.ert7.com/zhuanti/verisign360/index.html

 

分类
网络新闻

周鸿祎与《每经》争论的技术性解读

独立媒体人 阳淼

 

今天下午,360公司以首次媒体开放日的形式对《每日经济新闻》不久前的报道《360黑匣子之谜:奇虎360“癌”性基因大揭秘》进行逐条回应。我以独立媒体人的身份入场(之所以强调这个是因为据说某些技术人员和《每经》的记者被拒绝入行了),记录下了对问题回应的要点。由于涉及的技术问题比较多,我会尽自己能力进行一些解读,但毕竟不是该行业的技术大牛,有理解偏了的也请海涵、指正。

 

每日经济新闻的报道可以分为两大部分,一部分是对此前针对360产品安全、商业模式等方面的报道进行的引述、转载,另一部分是通过对技术人员和相关行业人士的采访,得到的调查结果、数据与结论。第一部分涉及面庞杂,时间跨度很大,有些问题360方面也曾以各种形式进行回应,因此现场发问的媒体人不多,我也没有花过多精力去再现。我们主要就每经报道中的新增信息量进行发问与再现。

 

每经报道中首先提到的是360安全浏览器在用户无操作时也频繁与后台服务器通讯。报道原文如下:

 

独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器,并打开网络通信监视工具,这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。

 

然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静,没有任何动作。

 

“360安全浏览器在干嘛呢?谁也不知道。为什么要这样忙碌呢?作为浏览器,其作用就是可以显示网页服务器或者文件系统的HTML文件内容,并让用户与这些文件交互的一种软件。根据最小特权原则,你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么,他就说,是为了你的安全。”

 

这段报道可以引出这样一个问题:360浏览器是否在用户没有操作时仍在后台上传了数据?如果有的话,这些数据是否包含了用户信息与隐私?

 

360公司董事长周鸿祎在现场回应了这一问题。他表示,360浏览器是世界上首家以安全为主打概念的浏览器。为了将用户实时隔离于恶意网址之外,浏览器会每隔5分钟与服务器通讯一次,查询恶意网址库的更新,并将近期频繁出现的恶意网址库下载到用户机器上进行防护。这一操作并没有传递任何用户信息。

 

但由于整个恶意网址库数量庞大(即互联网有史以来几乎所有的恶意网址)全部下载到用户电脑中并不现实,因此对打开了恶意网址云检查的用户来说,浏览器会上传用户访问的每个网址与云端恶意网址数据库比对。‘金山、腾讯、卡巴斯基的类似产品也有这种功能设计’。周鸿祎解释称。

 

对于上传的这部分网址数据,360会采用MD5加密后上传,以保护用户数据。有个别网站设计不规范,会把用户名和密码带在URL中,360对这种网址还会进行保护处理后上传。

 

而对于这种‘保护’的来历,也与每经报道中的一段历史有关。2010年底,黑客攻破了360的某台服务器,有大量数据被公布在互联网上。报道称,‘此次泄密事件涉及总条数141万条,其中涉及用户名信息的条目有247326个,既包含用户名又包含密码条目有816个。’

 

周鸿祎反驳称,这次被攻破的是360的恶意网址查询数据库,外泄信息主要是浏览器上传的各种用户访问网址,并无涉及用户隐私的敏感信息。但他承认当时在技术上存在两个瑕疵:第一是当时浏览器以明文上传了用户网址;第二是有小部分网站由于设计不周,会将用户名与密码直接带在网址之中,这类网址被上传后,会造成‘上传了用户名与密码’的误读。因此在后续产品设计中,针对这两点进行了功能完善与修补。

 

而针对360安全卫士上传的数据问题,周鸿祎解释称,产品上传的信息只针对用户电脑中的可执行文件和模块的相关信息,因为木马、病毒均借由此类文件传播;不包括文档、照片等用户敏感信息。可执行文件一般不会包括用户敏感信息。而为了避免木马、病毒拦截这种查杀过程,上传的信息必须进行加密,这种必要的加密并不是媒体所说的‘黑匣子’。

 

每经报道中披露的第二个问题,是对360安全浏览器的‘绿色网站认证’的质疑。报道原文如下:

 

独立调查员进行了如下实验,以了解360绿色网站认证机制:

 

在本机模拟,将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站,并在目标服务器上构建相应目录体系和登录页文件,然后使用360安全浏览器访问招行大众版登录页,从而进入伪装的招行网银页面。

 

360网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测未发现风险,现在可以放心网购了!”

 

此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”,披着“招行网银”外衣的劫持网址,即被360认证为招行官方网站。

 

而同样的操作,使用IE浏览器访问时,IE浏览器地址栏则会以非常显眼的方式告知用户“网站数字证书错误”,点击错误信息可知,该网站证书不属于招商银行网站。

 

……

 

而独立调查员演示的证据显示,360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证,将其替换成了360绿色网站认证。

 

上述报道可以简化为:360是否屏蔽了国际公认认证机构的网站证书,而将其替换为自己认证?绿色网站认证是否存在安全问题?

 

周鸿祎完全否认了这一报道。他解释了360绿色网站认证的机制:该认证基于网站本身所具有的ICP证书等国家权威机构办法的许可证进行审查,与根据时间、服务器数据进行真实性认证的VeriSign完全平行,不会相互取代。这一绿色认证的目的是对电商网站进行可信度保障,其运行范围也与VeriSign不同。

 

由于每经报道中未披露采用了何种方式进行域名劫持,360浏览器高级总监现场向我们模拟了用修改hosts文件方式劫持域名后360浏览器的反应:将招商银行域名劫持后,访问这一域名时360浏览器会直接显示出网址被hosts重定向(见图)。

周鸿祎与《每经》争论的技术性解读-1
网址被hosts重定向

每经报道中的第三个质疑,是360的V3升级计划。其报道原文如下:

 

据《每日经济新闻》记者调查,一键优化,是通过360安全卫士,即通过客户端执行;“静默安装”,则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠道。

 

V3机制,最主要的推广“母体”是360安全卫士与360浏览器,而这两者间,又有分工与交叉,相互配合,其中的关系非常复杂。为遮人耳目,V3通道并不是常规的路径,而是在重要的“必须产品”推广中才会实施。通过这一路径,可以一下子将产品全面铺开,实现最大的安装量。而当360的主体产品拥有的用户基数越来越高的时候,这样的推广作用也变得更有成效。

 

V3由360高层决策层下达指令,360安全数据中心启动,并通过后门机制,将指令性信息传达给用户电脑中安装的360安全卫士,主要指令为产品推广、删除竞争对手产品、新配置数据等;360安全卫士在用户Windows系统中,直接执行安装、更改、卸载;然后,通过后门机制,将信息反馈给360云安全数据中心,该中心再将信息收集、汇总统计后,上传给决策层。

 

周鸿祎和其他现场的360技术高管披露了V3升级计划的细节。周鸿祎称,大量互联网软件公司均有连线升级软件的功能,V3也不过就是一个连线升级的操作模块,之所以叫V3,是因为这是该模块的第三个版本。这一模块实现的是软件个体的在线升级,而不会执行额外安装软件、卸载其他软件的功能。

 

对于大量因安装了360安全卫士而安装了360浏览器的用户,周鸿祎解释,这不是V3自动为用户装上了浏览器,而是安全卫士在进行电脑体检后提示用户‘是否需要安装安全浏览器’,这个提示有些用户可能并没有注意到,直接点了同意,在安装后使他们产生‘不知不觉被装了新软件’的错觉。周鸿祎反省说,以后对这类交叉推广,可以考虑是否要把提示做得再明显、再大一些。

 

我对这个问题进行了追问,请周鸿祎明确回答,360软件是否曾经静默安装过关联软件,是否曾经未经许可删除过用户软件,他对这两个问题都明确回答‘没有’。

 

整个发布会除了上述内容外,还有周鸿祎对搜索市场的看法、股市的观点、苹果下架360应用的回应等等,但本文仅反映他对每经报道的回应,因此其他内容暂不记录。而对于他这些回应是否站得住脚,由于专业性过强,我也不能全部给出自己的判断,时间关系,先保证能不走样地记录、再现出来,供有关人士参考即可。有关360的产品安全性与一些操作的争议性,我会在以后有机会时进行专文探讨。

 

相关专题信息请点击:http://www.ert7.com/zhuanti/verisign360/index.html

 

分类
知识中心

VeriSign EV SSL证书认证与360网站认证及网站名片认证的区别

数字认证技术,已经被VeriSign等国际性第三方认证机构应用了20多年,为不计其数的国内外网站提供了可靠的安全认证和网站传输加密服务。

国产浏览器只有引入成熟的认证技术和开放性的认证机制,其次再结合自主开发的技术,才能做好“网站认证”这件事。

360网站认证及网站名片都是由360作为认证主体,对网站身份进行验证。该认证方式不具备权威性,无法防范DNS劫持攻击。

而通过数字证书认证方式,VeriSign EV SSL证书不但可以激活国际主流浏览器绿色地址栏,而且可以由国际权威认证机构对其进行认证,认证结果在全球范围内受信,同时还能够对网站传输数据进行传输加密(SSL加密)。

颠覆性的创新同时,也应当尊重网站身份认证的基石。在支持自主开发网站身份认证模式的同时,不应抛开国际通用的VeriSign这样最权威第三方身份认证模式,不应屏蔽 EV服务器证书的绿色地址栏功能。

相关专题信息请点击:http://www.ert7.com/zhuanti/verisign360/index.html

分类
网络新闻

360没绕开verisign证书

【搜狐IT消息】2月28日,针对《每日经济新闻》的相关质疑报道,奇虎360公司董事长周鸿祎面对媒体做出了回应。

  以下为周鸿祎自辩主要内容:

提问:360浏览器是否在用户没有操作时仍在后台上传了数据?如果有的话,这些数据是否包含了用户信息?

周鸿祎:一、360安全浏览器实时查询更新,5分钟与服务器连一次,更新的是恶意网址库,并没有传递任何用户的信息。360浏览器与服务器的大量更新除上述内容外,用户开启网址云检查时,会上传用户的每个网址与云端恶意网址数据库比对。金山、腾讯、卡巴斯基的类似产品也有这种功能设计

二、用户的比对网址采用MD5加密后上传。个别网站设计不规范,会把用户名和密码带在URL中,360对这种网址还会进行保护处理后上传。

提问:如果有的话,这些数据是否包含了用户信息?

回答:1、上传信息只针对用户电脑中的可执行文件和模块的相关信息;不包括文档、照片等用户数据信息。可执行文件一般不会包括用户敏感信息。2、为了避免木马、病毒拦截这种查杀过程,上传的信息必须进行加密,而不是媒体所说的“黑匣子”。

提问:360“绿色网站认证”产品是否绕过了国际公认的VeriSign证书体系?报道中说的通过修改hosts文件导致360浏览器被虚假网站欺骗的情况如何解释?是否可以再现?

周鸿祎:360没有绕开verisign证书,绿色网站的认证机制是读取该网站ICP证书和其他官方证书来却确定可信度,等于在证书的基础上增加了一个安全认证。360没有像每经报道中那样用欺骗方式绕过认证的做法,这样破坏我们软件运行环境的做所得出的结论不可信。

 

相关专题信息请点击:http://www.ert7.com/zhuanti/verisign360/index.html