分类
选购指南

P2P网站选购指南

P2P网络借贷平台,是P2P借贷与网络借贷相结合的金融服务网站。P2P借贷是peer to peer lending的缩写。即由具有资质的网站(第三方公司)作为中介平台,借款人在平台发放借款标,投资者进行竞标向借款人放贷的行为。网络借贷指的是借贷过程中,资料与资金、合同、手续等全部通过网络实现,它是随着互联网的发展和民间借贷的兴起而发展起来的一种新的金融模式,这也是未来金融服务的发展趋势。网贷平台数量近两年在国内迅速增长,已达到2000余家,比较活跃的有几百家。

在我国,最早的P2P网贷平台成立于2006年。在其后的几年间,国内的网贷平台还是凤毛麟角,鲜有创业人士涉足其中。
直到2010年,网贷平台才被许多创业人士看中,开始陆续出现了一些试水者。
2011年,网贷平台进入快速发展期,一批网贷平台踊跃上线。
2012年我国网贷平台进入了爆发期,网贷平台如雨后春笋成立,已达到2000余家,比较活跃的有几百家。据不完全统计,仅2012年,国内含线下放贷的网贷平台全年交易额已超百亿。
进入2013年,网贷平台更是蓬勃发展,以每天1—2家上线的速度快速增长,平台数量大幅度增长所带来的资金供需失衡等现象开始逐步显现。

P2P行业动态简述

以P2P、各类“宝”产品所代表的互联网金融在今年的全国两会上可谓“抢尽风头”,火热发展的互联网金融成为了代表委员们热议的一大焦点,随着政府工作报告首次提及互联网金融,互联网金融的规范监管等问题也成为了政府、监管部门和行业的当务之急:
2013年11月,央行明确P2P网络借贷平台的业务经营红线;
2013年12月,由中国支付清算协会牵头,与75家机构共同成立了互联网金融专业委员会,其中10家P2P企业进入专委会;
2013年12月,在国内处于先行的上海市网络信贷服务企业联盟发布了全国首个《网络借贷行业准入标准》;
2014年1月《关于加强影子银行监管有关问题的通知》(107号文)将P2P行业归入影子银行的“大家庭”;
2014年1月,只待筹备当中的中国银行“中银易商”正式上线,五大行悉数加入互联网金融之战;
2014年2月27日央行支付清算协会召开P2P网贷业务座谈会……

国务院总理李克强在《2014政府工作报告》中强调:“促进互联网金融健康发展,完善金融监管协调机制,密切监测跨境资本流动,守住不发生系统性和区域性金融风险的底线……”

P2P行业安全需求分析

法律政策问题

对于民间借贷,国家颁布了《合同法》、《担保法》、《民法通则》、《最高人民法院关于人民法院审理借贷案件的若干意见》等法律法规保障其合法合规性;

针对P2P网络借贷,除了需要满足以上法律法规外,最重要一点就是网络借贷中相关的电子合同是否满足《中华人民共和国电子签名法》。

技术层面问题

平台身份真实性需求:防止借贷双方在P2P平台账号被盗,导致投资损失;

敏感信息机密性需求:防止借贷合同、银行账户、借款金额等机密数据被盗给用户带来损失;

防篡改需求:借贷合同本身的真实性,保障借款人和投资人双方利益;

取证需求:一旦发现抵赖、逾期未还款等行为,电子合同能作为有效的法律证据提交。

 

P2P网站安全防线

VeriSign扩展验证EV SSL证书可以满足P2P网站在安全防护和建设可信形象方面的双重需求。一张包含网站身份信息的VeriSign扩展验证EV SSL证书,可以为网站解决如下问题:

· 网站真实身份验证

· 客户交易隐私数据保护

· 客户用户帐号安全

· 人性化醒目安全提示

 

P2P网站信任建设意见

1. 在首页、登陆页面等关键页面部署VeriSign扩展验证EV SSL证书

a) 信息传输加密技术,保护用户信息

自动激活浏览器显示“锁”型安全标志并且地址栏以“https”开头的页面意味着在客户端浏览器和Web服务器之间已建立起一条SSL安全加密通道 (secure sockets layer),此时用户在线输入的信用卡号、银行卡号、交易密码、个人身份证号等机密信息在网络传输过程中将不会被查看、窃取和修改。

 

b) 绿色地址栏功能,轻松鉴别木马网站,提升用户体验

VeriSign 扩展验证EV SSL证书通过触发浏览器绿色地址栏功能以绿色代表安全、红色代表危险的形式,凭借地址栏颜色的醒目变化帮助用户轻松鉴别钓鱼网站。另一方面,这种主动告 知用户当前网页安全程度的功能,无需网银用户记忆附加密码或执行其他验证操作,提升用户体验。

2. 支付账号登录界面使用VeriSign信任签章与每日恶意软件扫描功能:

放置“VeriSign信任签章” 可以更进一步帮助网站提升安全等级,客户点击签章可查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况,凭借大量信息辨别 当前网站真伪。另外,VeriSign信任签章在 160 个国家或地区中超过 90,000 个网站上,一天显示次数多达 2亿5千万次,VeriSign作为数字认证领域全球最知名的品牌,其产品具有极高的权威性,有效提升网站可信形象。

网站恶意软件扫描会每日检查网站,防止网站被植入恶意软件,主动降低用户电脑感染风险,有效保护用户网银账号安全。

 

3. 普及安全知识,让用户了解VeriSign安全标识的意义:

绿色地址栏、VeriSign信任签章、 地址栏“https”开头、金色锁形标志,是VeriSign 扩展验证EV SSL证书的四大醒目安全标识。虽然无需用户参与繁复操作,但国内部分用户安全防护意识薄弱,很可能对VeriSign 扩展验证EV SSL证书的功能并不了解。因而需要P2P网站方面进行辅导,帮助用户正确识别安全标识,体验简单有效的安全服务。

分类
未分类

代码签名数字证书订户协议

在申请、接受或使用VERISIGN代码签名数字证书(以下称”证书”)之前,您必须先详阅本”代码签名数字证书订户协议”(以下称”订户协议”)。若您不同意本订户协议之条款,请勿申请、接受或使用该证书。
1.定义。
“认证机构”指在VTN体系下被授权签发、管理、吊销、更新证书的一个实体。
“损害”指丢失、失窃、泄露、修改、未授权使用、或其他损害私钥安全性的的行为。
“派生性工作”定义见第15条。
“信赖方”指某个信赖一个证书和/或数字签名证书的个人或组织。
“信赖方协议”指的是由认证机构使用的一个协议,规定个人或组织作为信赖方的条件和条款
“服务器”指的是一个传统的的网站、邮件或者应用服务器。
“安全套接层协议”指的是由Netscape通信公司开发的用来保护网络通信的一种工业标准方法。SSL安全协议为一个TCP/IP连接提供数据加密、服务器认证、信息完整、和可选择的客户端认证。
“订户”指一个组织,其拥有的设备或服务器是一个已被签发证书的证书主题。订户能够使用、或被授权使用与证书中列明的公钥相对应的私钥。
VeriSign CPS” 指的是VeriSign认证业务声明,该文件会不时修改。
“VeriSign知识产权”定义见第15条。
“VTN”指的是VeriSign可信网络认证体系,即一个为有线和无线应用提供证书的全球性的公开密钥基础设施。

2.对证书的描述。本条规定了关于您申请证书的条件和条款,以及如VeriSign接受您的申请,您作为由VeriSign签发的证书的 “订户”,使用该证书须遵循的条件和条款。证书是一经数字签名的信息,该信息包含了订户的公钥并将该公钥与VeriSign或VeriSign授权的实体鉴证了信息相关联。根据本协议提供的证书是由VeriSign签发的属于VeriSign可信网络认证体系(VeriSign Trust NetworkSM ,”VTN”)。
您代表您机构申请的证书是VTN体系下的组织机构3类证书。组织机构三类证书签发给服务器,用于设备的身份鉴别,保障消息、软件和内容的完整性并提供相应的数字签名,以及实现保密加密。机构三类证书提供的订户身份的信用担保是建立在确定如下事实的基础上:确信该机构确实存在,该机构已授权该证书申请,并且代表该机构前来提交证书申请的人已获得该机构的授权。该类证书还能提供这样的担保:如果域名被列明在证书申请中,则该证书订户有权使用该域名。欲获得关于VeriSign关于证书服务的更详细信息,请参阅VeriSign的CPS。

3.您的证书申请的处理。在VeriSign收到必要的费用和完成您购买的证书所需要的鉴证流程后,VeriSign将开始处理您的证书申请。VeriSign会通知您,您的证书申请是否被批准或被拒绝。如果您的申请被批准,VeriSign会给您签发一个依本订户协议使用的证书。您使用VeriSign提供的个人身份识别码获取该证书或通过其他方式安装或使用该证书,都将被认为是您接受了该证书。在您得到或通过其他方式安装了该证书后,您必须在使用前审阅证书中的信息,并且立即对存在的任何错误通知VeriSign。在收到这样的通知后,VeriSign会吊销该证书并另外签发一张正确的证书。

4.使用限制。您的证书禁止在下列情况下使用:(1) 为了或代表其他机构而使用;(2)在同一时间在一个以上的物理服务器上使用; (3) 分发任 何种类的恶意的或有害的内容,或分发会对收件者造成不便影响的内容;(4)为其原有目的以外目的的使用;(5)将与证书中列明的公钥相对 应的私钥的控制或接触权限转让给别人,而不是在证书申请时写明的技术联系人;(6)在事故易发环境中的控制设备,或用于事故防范设备中, 比如在原子核设施、航空导航或通信系统,空中交通控制系统、或武器控制系统,在这些系统中出现失败会直接导致死亡、人员伤害或严重的环 境破坏。证书只能在有效期内使用。

5.吊销。如果您发现或有理由相信您的私钥或保护该私钥的启用数据遭到损害,或着证书中的信息不正确或变更,或者如果您的机构名称和/域名 已变更,您必须立即通知VeriSign要求吊销该证书。您也可以在任何时候根据需要通知VeriSign吊销证书。无论在何种情形,您必须通知您认为 有可能会信任该证书,或依靠该证书或该证书相对应的数字签名来提供服务的人。如果您在收到VeriSign的付款通知45日内没有支付款项, VeriSign保留吊销您的证书的权利。为保证VTN的安全和完整,VeriSign还保留在任何时候在不通知您的情况下吊销您证书的权利,如果 VeriSign根据自己的判断断定您违反本订户协中的义务或有其他会损害到VTN活动。

6.吊销或到期的责任。当您的数字证书期满或该证书吊销时,您应立即把该证书从所安装的机器中永久删除,且往后在任何情况下不得使用。

7.鉴证要求。仅在VeriSign或其代理已经通过电话和申请时提供的公司联系人联系上后,VeriSign才签发一张证书。如果VeriSign未能联系上该 公司联系人,该公司联系人有责任按照VeriSign提供的拨回号码与VeriSign联系。您没有尽快地拨回电话,有可能会延迟对您证书申请的鉴证和 批准。

8.二日服务保证。本条只对您已购买了代码签名证书项目适用。在您满足如下条件时,VeriSign将于自您向VeriSign提交证书申请二个工作日内(除 了休息日和VeriSign公认的假日)向您签发证书:(1)您是一个位于美国的组织;(2)选择用信用卡付费并提交了有效的信用卡号码;(3)提 交一个DUNS号码,VeriSign因而能够通过在其CPS中描述的正常鉴证程序进行鉴证(”保证期限”)。因为VeriSign的失误导致没有在保证期限内 向您签发证书,您所得到的唯一的补偿是向您退回您购买该证书时所支付的零售价格的50%。本服务保证不对VeriSign的其他产品或服务适用。

9.第三方服务提供。如果您购买的VeriSign的服务,而该服务又包括由一个或多个由第三方提供的服务(比如网站监测或安全检查服务),或列 于一个目录中,您在此同意我们可以将您证书申请和注册信息透露给该第三方服务提供商,并同意他们可就这些服务直接和您联系。除非有另外 规定,该第三方直接就这些服务产品向您提供服务条件和条款。对第三方提供的任何服务,VeriSign拒绝承担任何保证和责任,并且不会对该第 三方提供的服务提供部分退款。

10.NETSURE 提示。根据本订户协议和其他协议签发的具有NETSURE赔偿保障的证书类型以及它们在NETSURE保障计划。该计划向您提供特定的有限的保证,否认其他的保证,包括可销售性、适合某一特定目的性 的保证,该计划也只提供有限赔偿。证书有效时限的长短(该保障计划有定义)与你在进行证书申请注册时,产品描述中列出的赔偿金额的数量 是相对应的。
11.鉴证码补充条款。本条只对您已购买了微软鉴证码签名证书适用。对于用你的微软鉴证码签名证书中公钥相对应的私钥签名的软件,,您在此 对所有用户和适用的认证机关作如下有关软件方面的软件发行者保证:除了在证书申请或本订户协议中包括或提及到的其他陈述、义务和保证外 ,订户陈述和保证其将采取与当前主流工业标准相一致的合理措施,排除会损害、盗用或干扰第三方的数据、软件系统或操作的程序、外来代码 和病毒。认证机关和VeriSign不对任何情形下订户因违反此种陈述和保证承担任何责任。适用认证机关和VeriSign就下列问题存在与否的决定是 最终的:(1)订户是否实质违反本订户协议;(2)由认证机关和VeriSign采取(或不采取)回应行动是否必要和正确。

12.微软SMARTPHONE补充协议。本条只对您已购买了VeriSign的用于SMARTPHONE服务的鉴证内容签名(ACS)服务适用。ACS发行者数字证书(或 发行商证书)是由VeriSign签发给组织的证书,该组织(发行商)希望为SMARTPHONE应用进行代码数字签名。ACS内容签名数字证书(或内容数字 证书)是由VeriSign签发的证书,目的是为了VeriSign对已被发行商数字签名的代码再签名一次。除了在证书申请或本订户协议中包括或提及到 的其他陈述、义务和保证外,订户陈述和保证:(1)您对签发有您的证书的智能卡的保护负完全责任,如果适用,包括任何损失或未获授权地使 用或接触到它,并且您已采取措施和程序确保这种保护;(2)如果适用,对于签发有您的证书的智能卡在任何情形遭受损失或未获授权地使用或 接触,您应立即通知VeriSign;(3)您应确保只有已被告知并同意遵照本订户协议条款的可信赖的个人,才能被授权使用您的ACS发行者证书用 以代码签名;(4)如果适用,您应保留所有授权使用或接触到您的智能卡的个人的可靠的书面或电子记录,以及所有使用ACS发行商证书使用的 记录,包括接触或使用的日期及次数,以及被授权和/或使用该证书的个人,以及被数字签名的应用;(5)您采取与当前主流的工业标准相一致 的合理措施,排除会损害、盗用或干扰第三方的数据、软件系统或Windows系统驱动的Smartphone服务操作的程序、外来代码和病毒;(6)当请 求一张ACS内容数字证书(或内容证书),您应以可执行代码形式向VeriSign提供完全代码或该代码的特定形式,并用您的ACS发行商证书对该代 码进行了数字签名。在ACS发行商证书到期前30日或这之后,只要原有证书没有被吊销,发行商可能要求从VeriSign处更新该证书。这样一个要求 能通过由您的ACS发行商证书产生的一个数字签名信息来产生,VeriSign将确认该证书中包含信息的正确性。更新证书可以无需重新键入信息而签 发。

13.陈述和保证。 9.1VeriSign的陈述和保证。VeriSign向您陈述和保证:(1)不会由于VeriSign在创建证书时未能足够小心而导致在您证书信息中存在错误;( 2)您的证书在所有实质方面符合VeriSign的CPS;(3)VeriSign的证书吊销服务和证书储存库的使用,在所有实质方面符合VeriSign的CPS。 9.2您的陈述和保证。您向VeriSign和任何信赖您证书的人陈述和保证:(1)您在证书申请中提供给Verisign的和所有您向VeriSign陈述的所有 信息都是准确的;(2)您提供的任何证书信息(包括您的邮件地址)没有侵犯任何第三方的知识产权;(3)您提供的证书申请信息(包括您的 邮件地址)未曾也将不会用做非法用途;(4)自从您的私钥产生以后,您是并将继续是您的私钥唯一拥有人,任何未获授权的人迄今没有也将不 会接触您的私钥;(5)到目前为止您是,并将继续是个人身份识别码、软件或硬件等保护您私钥的机制唯一拥有者;(6)您只会将您的证书用 于与本订户协议相符的、被授权的或合法的用途和目的;(7)您是作为最终用户来使用您的证书,而非作为一个签发证书、签发证书吊销列表等 的认证机构在使用该证书;(8)通过使用您的私钥创建的数字签名是您的数字签名,并且在该数字签名创建时该证书是已被接受并可使用(未到 期或吊销);(9)您明确同意将本订户协议作为获得证书的条件;及(10)除非预先获得VeriSign的的书面许可,您不会监视、干扰、或拆解 VTN的技术实现,并不会采用其他方式危害VTN的安全。您知悉并同意您能够获得足够的信息以作出深思后的决定,确信您在多大程度上信赖一个 VTN体系下数字证书中的信息。您有责任自主决定是否信赖一张数字证书,您对是否信赖该证书里的信息承担完全的责任;以及如果您没有履行信 赖方协议规定的信赖方义务,您将承担该法律后果。

14.费用、支付和服务期限。就您购买的证书和相应的服务,您同意付给VeriSign服务费,该费用或则是在您选择购买证书时我们网页上提示的数 额,或者(如果出现这种情况)是您收到的VeriSign付款发票上提示的数额。除了本订户协议下面明确规定情况外,所有的费用必须立即支付并且 是不可退还的。您的服务更新取决于VeriSign适时的条件和条款,包括但不限于完成任何相用的鉴证程序,和更新时所有适用的服务费。 VeriSign将在更新前至少提前30日发出更新通知。您对提供给VeriSign的信用卡信息负完全负责,如有变化应立即通知VeriSign(如:到期日或 帐户号码)。另外,您对确保服务得以更新负唯一责任。VeriSign不对您或任何第三方就此描述的更新事项承担任何责任,包括但不限于在更新 服务时存在错误或失败。您同意支付和VeriSign服务及您自己付款相关的所有增值税、销售税和其他税(其他非基于VeriSign收入的税)。所有 付费均以美圆为准。如有安装设置费,在VeriSign服务生效日为应支付的。当需要购买具有复制选项的额外服务器证书时,您有责任通知 VeriSign。所有到期应支付而经过一定延滞仍未支付的款项,将按每月1.5%的利率,或法律许可的最大数额,以两者相比数额较小者,累计支付 利息。

15.所有权。除非另有规定,以下所有权利、名称和权益,都属于VeriSign及其服务分销商(1)已注册和未注册的商标、服务标志和图标;(2) 专利、专利申请和专利性想法、发明和/或其改进;(3)贸易秘密、专属信息和专门技能;(4)对所有现有的或以后登记的、发行的或获得的权 利、名称和权益的分割、延续、再发行、更新和扩展;(5)已注册登记和未注册登记的版权,包括但不限于任何表格、图象、音象播放、文本、 软件;和(6)其他所有知识产权、专属权或其他可感触财产相关的权利,而这些可感触财产相关的权利的使用、开发、组成、体现和实行是与本 协议中所指的VeriSign服务相关的;这些都是VeriSign知识产权。您同意您不会对VeriSign的任何这些知识产权企图获取利益或所有权;您同意 VeriSign知识产权的名称没有转让给您;除非本协议明确赋予您的,您没有明确或隐含地得到VeriSign或其服务分销商服务中的任何其他权利。 对于提供给您的一个或多个已有版本的产品/作品,您有可能对该产品/作品进行改进、修改、翻译、删节、缩减、扩大、收集、编辑及其它形式 的改动、改变和改编,这种工作称为您的派生性工作,这种派生工作属于VeriSign及其服务分销商,并且这些派生工作的权利、名称和权益将自 动属于VeriSign或其服务分销商。VeriSign没有义务对您的派生工作赋予您任何权利。您不能反向拆卸、分解、反汇编VeriSign的知识产权,或 企图得到VeriSign知识产权的源代码。您有权在本订户协议的条款和条件下使用证书。

16.协议修改。除非本订户协议另外规定,您同意,在本订户协议有效期内,VeriSign可以:(1)修改本订户协议的条款和条件;(2)在任何时 间改变在本订户协议项下提供的服务的某些部分;任何这种修改和改变都将在将修改后的订户协议或改变的服务发布到VeriSign的网站上、或经 邮件、或经信件通知您后的30日生效和有约束力。您同意定期查阅VeriSign的网站,包括在VeriSign网站上可获得的本订户协议的当时文本,以 了解上述这些修改和变动。 如果您不同意对本订户协议的任何修改,您可在任何时间通知VeriSign终止本订户协议。一但VeriSign收您的终止协 议的通知,协议终止就生效,同时VeriSign将处理您的请求。如果您终止了本订户协议,任何您支付了的费用将不予退还。如在本订户协议有任 何修改或服务有任何改变后,您继续使用VeriSign的服务,意味着你同意遵守并受该修改或改变的约束。VeriSign将不受约束于如下陈述,同时 您也不能依赖于这些陈述(1)任何您申请VeriSign服务时所通过的第三方代理人、代表或雇员;(2)张贴于VeriSign网站上的普通信息。 VeriSign的任何雇员、承包商、代理人或代表都没被授权修改本订户协议的条款或条件。

17.隐私。您同意VeriSign可以将你提供的、打算放在你证书中的信息放在你的证书中。你还要同意VeriSign可以将您的证书和其状态信息存放于 VeriSign的证书信息储存库中,并可使其他证书信息储存库获得这种信息。

18.退还政策。如果您对已支付了价款的证书,而您又对签发给您的证书不完全满意,不论出自什么原因,您可以请求VeriSign在签发日起30日内 吊销该证书并退款给您。过了最初的30天,只有在证明了VeriSign违背了本订户协议下的与您证书相关的保证或其他实质义务的,订户可以要求 VeriSign吊销证书并退款。在VeriSign吊销了订户的证书后,VeriSign将立即把订户为该证书所支付的全额费用退还到订户的信用卡帐户(如果 证书是用信用卡付费的话)上,或者以支票等其他方式退还给订户。订户需要填写退款申请表,并发送给VeriSign,以要求退款。

19.保证的否认。您同意您使用VeriSign的服务有可能使自己遭受风险。您同意除非本订户协议另有规定,所有这些服务皆以”依现状”的方式和在 可获得基础上提供。VeriSign明确否认所有下列担保,无论明确还是暗示,包括但不限于可销售性、适合某一特定目的性和非侵权性的担保。除 了第13条规定的担保,VeriSign不对服务满足您的需要作任何保证,或者该服务不会被中断、及时、安全或无错误;VeriSign也不会对使用服务 获得的结果或通过VeriSign服务获得的信息的准确性与可信性进行保证。您理解并同意使用VeriSign的服务下载的或通过其他方式服务获得的任 何资料和/或数据,是您自己个人的选择和可能使您自己遭受风险。您从VeriSign获得的任何口头的或书面的、或通过VeriSign的服务获得的任何 建议或信息,不会成为任何明确的保证,并且您不能信赖这样的信息或建议。司法权限允许程度下,不能准许特定的保证排除,上述这些保证或 许不能适用您。VeriSign不对您从第三方处购买的产品和/或服务承担责任。

20.赔偿。当第三方出现与下列情况相关的,或由这些情况引起的,赔偿要求、诉讼、损失、费用和花费,包括合理的律师费用,您同意对于 VeriSign及其承包商、代理人、职员、主管、董事、投资方、关联企业或委托人,您将免除它们的责任,给它们予补偿,并将为它们辩护及使它 们不受到伤害:(1)本订户协议,或者本订户协议下您的保证、表述和义务受到实质违反;(2)在您申请证书时提供了错误的事实或对事实的 错误陈述;(3)任何个人或实体的知识产权或专属权;(4)证书申请时对实质问题的未公开,如果该错误陈述或遗漏是疏忽导致或为欺骗任何 一方而故意造成的;(5)未保护好私钥,或未使用可信系统,或未在本订户协议条款下,采取必要的保护措施以防止对私钥的损坏、丢失、泄露 、修改或未获授权使用。当VeriSign遭到第三方的诉讼威胁时,VeriSign可能会向您寻求获得你赔偿VeriSign的书面承诺,如你未提供这些承诺 ,VeriSign认为您实质违反了本订户协议。对第三方因您使用VeriSign的服务引发的诉讼,VeriSign有权参入您的抗辩,咨询我们的意见的费用 由您自己支付。您对VeriSign对第三方的抗辩承担唯一责任,但您需要就与VeriSign相关任何解决方案预先获得VeriSign的同意。本条在本订户 协议终止或撤消后仍有效。作为信赖方,您进一步同意当第三方出现与下列情况相关的、或由这些情况引起的赔偿要求、诉讼、损失、费用和花 费,包括合理的律师费用,您同意对于VeriSign及其承包商、代理人、职员、主管、董事、投资方、关联企业或委托人,您将免除他们的责任, 给他们予补偿,并将为它们辩护及使他们不受到伤害:(1)您未依照信赖协议履行作为信赖方的义务;(2)您是在不合理情形下信任证书的; (3)您检查证书状态时失败,没有查出证书是否到期或吊销。

21.赔偿责任限额。 21.1 NETSURE保障计划下的限制。 VeriSign必须向您赔偿的在NETSURE保障计划下的最高额在该保障计划里规定。本款下的的赔偿限额不适用退 款政策。21.2其他限制。本款适用于对合约责任(包括对保证的违反)、侵权责任(包括疏忽和/或严格责任)下的赔偿责任的限制,和对其他合法的或公 平的请求的适用。在适用法律允许的范围内,如果您就本订户协议项下提供的服务提出或启动的任何请求、行动、诉求、仲裁、或其他程序, VeriSign对您和任何第三方因使用和信赖某一张证书所造成的损失所作的赔偿,其总额限制在100,000美元。无论与该张证书相关的数字签名、 交易或与赔偿要求的数量是多少, 本款提供的责任限额是相同的。根据NETSURE保障计划,VeriSign将不为任一张证书承担超过总体限额的赔偿责 任。本款不限制NETSURE保障计划下的退款和支付。

22.不可抗力。除了在此规定的付款和赔偿责任外,对因为地震、洪水、火灾、风暴、自然灾害、战争、军事冲突、恐怖活动、罢工、停工、联合 抵制原因导致的任何责任履行的停止、中断、延误等,任何一方不应被视为、也不应视对方负有责任,只要依赖于本条的一方(1)在发现问题的 5日内立即书面通知另一方,并且(2)在当时情形下采取所有合理必要措施以减轻该通知所指的不可抗力事件的影响;进一步地,如果在本第条 描述的不可抗力事件延续超过30日,另一方可立即终止本协议效力。

23.出口。你确认并同意您不会直接或间接地进口、出口或再出口任何商品包括您的证书给任何有关国法律法规所禁止的国家。这种限制明确包括 、但不限于美国的出口规范,尤其是您将不会下载、或以其他方式出口或再出口证书给(1)古巴、伊朗、伊拉克、黎巴嫩、苏丹、北朝鲜、叙利 亚或其他任何美国出口规范禁止使用的国家;(2)美国财政部特别指定名单中的国家或美国商务部否定定单上的个人。您同意前述要求并陈述和 保证您不是位于、受控制于这样一个国家或名单上的国家居民。关于VeriSign安全站点证书,如果您购买了该证书而您不是美国或加拿大的组织 或个人,法律要求VeriSign要向美国政府报告您公司名称和地址。在您出口证书到一个非美国或加拿大的组织或个人时,您同意将VeriSign需要 的有关信息提供给VeriSign,以便于VeriSign将这些再出口信息报告给美国政府。

24.效力分割性。您同意本订户协议的条款是可分割的。如某条款的整部分或部分被宣布无效或不可执行,将不影响本订户协议的其他条款效力; 由此,本订户协议将视为作了必要的修改,以使它可实施、有效,并在最大可能范围内与可适用的法律一致,并与各方的最初意图一致;并且其 它未修改条款将完全有效力。

25.适用法律。您和VeriSign同意:与本协议项下提供的服务有关的任何争议,在任何方面均适用美国加尼福利亚法律,不包括其冲突条款。

26.争议解决。在法律最大允许范围内,在您使用任何争议解决机制解决与本协议有关的任何争议前,您应为寻求争议解决一事通知VeriSign和任 何第三方。如果该争议在初次通知后60天内仍未获解决,则任一方可根据下列情况继续采取:(1)当争议任一方是一个加拿大或美国的居民,或者是位于加拿大或美国,或者是在其二地从事经营的组织。 所有因执行本订户协议条款或因 本订户协议引起的诉讼将被提交到加尼福尼亚北部美国联邦地区法院、或加尼福尼亚Santa Clara县的高级或市法院。各方同意这些法院对有关诉 讼有唯一的管辖权,并且各方服从于这些法院的管辖权。各方进一步服从陪审做出的、与本订户协议相关的判决。(2)当争议任一方或多方不是一个加拿大或美国的居民,也不是位于加拿大或美国或在其二地从事经营的组织。所有因本订户协议引起的争议, 将在国际商会的调解和仲裁规则下加以解决,有关仲裁人会对有关规则进行必要修改以反映本条款内容。仲裁地点将在美国纽约或旧金山,程序 以英语进行。如果只有一个仲裁人,该仲裁人要由各方共以多方协议的形式指定。如果各方在15天内没有就仲裁人的选择达成一致意见,国际商 会将选择一个了解计算机软件法律、信息安全和加密技术的仲裁人,或其他有别资格的仲裁人,如律师、学者或熟悉普通法的法官。本订户协议 任何条款不应视为任一方阻止另一方,为了保护本方的名字、私有信息、贸易秘密、行业技巧或任何其他知识产权,从其管辖法院或对争议题有 管辖权的法院寻求禁止令(或其他补偿)。 NETSURE保障计划和限制期限。您可以被最新的NETSURE保障计划所保障。在NETSURE保障计划下,VeriSign将根据NETSURE保障计划中规定的一项或多项有限保证, 对您因某些意外造成的损失进行赔偿,赔偿额不超过NETSURE保障计划中的限定。只有当你在本订户协议终止后的一年内,根据本订户协议的要求 提出支付要求,VeriSign才有责任根据本订户协议,对本订户协议中某保证的破坏(造成的损失)提供赔偿。(本条在本订户协议终止或到期后 仍保持有效)。

27.非转让。除非另有约定,本协议下您的权利是不能被转让的。您的债权人的任何希望从您在本协议下享有的权利中获得利益的企图,不论是以 附加、征用、扣押债权通知还是其他方式,从VeriSign角度,将使本订户协议是否无效。

28.通知。您对提交给VeriSign的、与本订户协议有关的所有通知、要求和请求,应以书面形式发至: Attn: General Counsel, VeriSign, Inc., 487 E. Middlefield Road, Mountain View, CA 94043.。

29.整体性。本协议,和VeriSign的CPS一起,构成您和VeriSign之间就预期的交易的完整协议,且取代当事人所有先前的或现在的、关于本事项 所述内容的、口头及书面的陈述、理解、约定。任何一方不得信赖任何未在此明确表述的担保、陈述、保证、诱导性承诺。条款标题仅为方便参 阅,并非作实质部分或影响本协议。任何购买定单中的条件和条款如未包括在本协议中、或与本协议有冲突,则该条件和条款是无效的。

分类
知识中心

Symantec ECC证书新算法及功能解析

在这个网络泛滥的年代,互联网安全更是备受关注,企业和个人用户面临的安全风险正在增加。就安全而言,IT专家更需要超前思维,窃听者今天将通信记录下来,将来就可能成功的将其破解。

那么解决这一问题的方案之一就是采用完全正向保密(FPS)安全机制,该机制将生成不可恢复的临时会话秘钥,并在使用后使秘钥失效。若与椭圆曲线加密法(ECC)正确配合使用,完全正向保密则比RSA算法更安全,性能更卓越。这一算法正是ssl证书新的发展趋势。

 

Symantec证书ECC新算法和RSA算法对比 ,哪一个更安全?

Symantec ECC证书新算法及功能解析-1

Symantec ECC证书新算法及功能解析-2

虽然ECC256位证书在性能和安全性上都优于RSA2048位证书,但这种新算法的SSL证书在客户端上的兼容性却不如RSA算法的证书。

那么现在把ecc证书和RSA证书同时用在一个服务器上,形成一种双证书模式,这种双证书模式的优势在于即保障了兼容性,也能够使那些支持ECC算法证书的客户端使用新的技术,实现更高效更安全的加密传输。

 

双证书优势:

Symantec ECC证书新算法及功能解析-2

目前只有Apache新版本发布了官方支持的双证书配置。Nginx需要安装第三方插件实现。Nginx官方版本的双证书支持相信会很快发布。使用双证书模式,可在不影响客户端兼容性的前提下,提升安全性并节省服务器系统资源消耗。

 

双证书未来发展趋势:

Symantec ECC证书新算法及功能解析-3

虽然网络安全形势及其可危,但如果处理得当,ECC证书对昨天,今天及明天的敏感信息均可提供保护。而且,在保护信息的同时,还能提高性能和用户体验。相信ECC证书的出现将会给网络环境带来真正的安全洁净

分类
公司新闻

热烈祝贺天威诚信乔迁之喜!

热烈祝贺天威诚信乔迁之喜:

   天威诚信经过14年的快速稳健发展,由于公司规模不断扩大,为适应公司发展需求,也为员工提供更加舒适统一的工作环境。

   现于2014年8月11日正式乔迁到北京市海淀区上地八街7号院4号楼4层。

   天威诚信将以全新的面貌,更高的效率,为客户创造更大的价值,实现企业快速发展。

 

 

热烈祝贺天威诚信乔迁之喜!-1

 

 

热烈祝贺天威诚信乔迁之喜!-1

 

热烈祝贺天威诚信乔迁之喜!-3

 

分类
知识中心

SSL证书和TLS证书安全通信机制

为了更好地理解SSL证书和TLS证书,我们来观察一下HTTPS的通信步骤。

步骤1: _客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。

步骤2: _服务器可进行SSL通信时,会以Server Hello报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤3: _之后服务器发送Certificate报文。报文中包含公开密钥证书。

步骤4:  最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束。

步骤5:  SSL第一次握手结束之后,客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。

步骤6:  接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密。

步骤7:  客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

步骤8:  服务器同样发送Change Cipher Spec报文。

步骤9: 服务器同样发送Finished报文。

步骤10:  服务器和客户端的Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求。

步骤11: 应用层协议通信,即发送HTTP响应。

步骤12: 最后由客户端断开连接。断开连接时,发送close_notify报文。上图做了一些省略,这步之后再发送TCP FIN报文来关闭与TCP的通信。

在以上流程中,应用层发送数据时会附加一种叫做MAC(Message Authentication Code)的报文摘要。MAC能够查知报文是否遭到篡改,从而保护报文的完整性。

下面是对整个流程的图解。图中说明了从仅使用服务器端的公开密钥证书(服务器证书)建立HTTPS通信的整个过程。

 

SSL证书和TLS证书

HTTPS使用SSL(Secure Socket Layer)和TLS(Transport Layer Security)这两个协议。

A  CBC模式(Cipher Block Chaining) 又名密码分组链接模式。在此模式下,将前一个明文块加密处理后和下一个明文块做XOR运算,使之重叠,然后再对运算结果做加密处理。对第一个明文块做加密时,要么使用前一段密文的最后一块,要么利用外部生成的初始向量(initial vector,IV)。–译者注

SSL技术最初是由浏览器开发商网景通信公司率先倡导的,开发过SSL3.0之前的版本。目前主导权已转移到IETF(Internet Engineering Task Force,Internet工程任务组)的手中。

IETF以SSL3.0为基准,后又制定了TLS1.0、TLS1.1和TLS1.2。TSL是以SSL为原型开发的协议,有时会统一称该协议为SSL。当前主流的版本是SSL3.0和TLS1.0。

由于SSL1.0协议在设计之初被发现出了问题,就没有实际投入使用。SSL2.0也被发现存在问题,所以很多浏览器直接废除了该协议版本。

SSL速度慢吗

HTTPS也存在一些问题,那就是当使用SSL时,它的处理速度会变慢。

SSL的慢分两种。一种是指通信慢。另一种是指由于大量消耗CPU及内存等资源,导致处理速度变慢。

和使用HTTP相比,网络负载可能会变慢2到100倍。除去和TCP连接、发送HTTP请求o响应以外,还必须进行SSL通信,因此整体上处理通信量不可避免会增加。

另一点是SSL必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲,比起HTTP会更多地消耗服务器和客户端的硬件资源,导致负载增强。

针对速度变慢这一问题,并没有根本性的解决方案,我们会使用SSL加速器这种(专用服务器)硬件来改善该问题。该硬件为SSL通信专用硬件,相对软件来讲,能够提高数倍SSL的计算速度。仅在SSL处理时发挥SSL加速器的功效,以分担负载。

为什么不一直使用HTTPS

既然HTTPS那么安全可靠,那为何所有的Web网站不一直使用HTTPS

其中一个原因是,因为与纯文本通信相比,加密通信会消耗更多的CPU及内存资源。如果每次通信都加密,会消耗相当多的资源,平摊到一台计算机上时,能够处理的请求数量必定也会随之减少。

因此,如果是非敏感信息则使用HTTP通信,只有在包含个人信息等敏感数据时,才利用HTTPS加密通信。

特别是每当那些访问量较多的Web网站在进行加密处理时,它们所承担着的负载不容小觑。在进行加密处理时,并非对所有内容都进行加密处理,而是仅在那些需要信息隐藏时才会加密,以节约资源。

 

要进行HTTPS通信,证书是必不可少的。而使用的证书必须向认证机构(CA)购买。如全球权威认证机构VeriSign威瑞信),业务范围全球服务网络遍及全球,面向各地客户提供PKI及SSL证书服务。在SSL证书业务上,VeriSign通过强大的加密功能和严格的鉴权措施,保护着全世界超过 500000 台 Web 服务器的安全。为了让全球客户都能享受到SSL证书所带来的安全保障,VeriSign通过严格的评价机制,在全球选择了解当地业务情况,运营规范的企业 作为VeriSign SSL代理合作伙伴,确保SSL证书准确高效签发。

分类
知识中心

如何验证SSL证书公钥的正确性

公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。比如,正准备和某台服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输途中,真正的公开密钥已经被攻击者替换掉了。

为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。

数字证书认证机构处于客户端与服务器双方都可信赖的第三方机构的立场上。威瑞信VeriSign)就是其中一家非常有名的数字证书认证机构。我们来介绍一下数字证书认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。

服务器会将这份由数字证书认证机构颁发的公钥证书发送给客户端,以进行公开密钥加密方式通信。公钥证书也可叫做数字证书或直接称为证书。

接到证书的客户端可使用数字证书认证机构的公开密钥,对那张证书上的数字签名进行验证,一旦验证通过,客户端便可明确两件事:一,认证服务器的公开密钥的是真实有效的数字证书认证机构。二,服务器的公开密钥是值得信赖的。

此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。

 

可证明组织真实性的EV SSL证书

证书的一个作用是用来证明作为通信一方的服务器是否规范,另外一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书(Extended Validation SSL Certificate)。

EV SSL证书是基于国际标准的认证指导方针颁发的证书。其严格规定了对运营组织是否真实的确认方针,因此,通过认证的Web网站能够获得更高的认可度。

持有EV SSL证书的Web网站的浏览器地址栏处的背景色是绿色的,从视觉上就能一眼辨别出。而且在地址栏的左侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。

 

为了防止用户被钓鱼攻击(Phishing),但就效果上来讲,还得打一个问号。很多用户可能不了解EV SSL证书相关的知识,因此也不太会留意它。

用以确认客户端的客户端证书

HTTPS中还可以使用客户端证书。以客户端证书进行客户端认证,证明服务器正在通信的对方始终是预料之内的客户端,其作用跟服务器证书如出一辙。

但客户端证书仍存在几处问题点。其中的一个问题点是证书的获取及发布。

想获取证书时,用户得自行安装客户端证书。但由于客户端证书是要付费购买的,且每张证书对应到每位用户也就意味着需支付和用户数对等的费用。另外,要让知识层次不同的用户们自行安装证书,这件事本身也充满了各种挑战。

现状是,安全性极高的认证机构可颁发客户端证书但仅用于特殊用途的业务。比如那些可支撑客户端证书支出费用的业务。

例如,银行的网上银行就采用了客户端证书。在登录网银时不仅要求用户确认输入ID和密码,还会要求用户的客户端证书,以确认用户是否从特定的终端访问网银。

客户端证书存在的另一个问题点是,客户端证书毕竟只能用来证明客户端实际存在,而不能用来证明用户本人的真实有效性。也就是说,只要获得了安装有客户端证书的计算机的使用权限,也就意味着同时拥有了客户端证书的使用权限。

认证机构信誉第一

SSL机制中介入认证机构之所以可行,是因为建立在其信用绝对可靠这一大前提下的。然而,2011年7月,荷兰的一家名叫DigiNotar的认证机构曾遭黑客不法入侵,颁布了google.com和twitter.com等网站的伪造证书事件。这一事件从根本上撼动了SSL的可信度。

因为伪造证书上有正规认证机构的数字签名,所以浏览器会判定该证书是正当的。当伪造的证书被用做服务器伪装之时,用户根本无法察觉到。

虽然存在可将证书无效化的证书吊销列表(Certificate Revocation List,CRL)机制,以及从客户端删除根证书颁发机构(Root Certificate Authority,RCA)的对策,但是距离生效还需要一段时间,而在这段时间内,到底会有多少用户的利益蒙受损失就不得而知了。

由自认证机构颁发的证书称为自签名证书

如果使用OpenSSL这套开源程序,每个人都可以构建一套属于自己的认证机构,从而自己给自己颁发服务器证书。但该服务器证书在互联网上不可作为证书使用,似乎没什么帮助。

独立构建的认证机构叫做自认证机构,由自认证机构颁发的”无用”证书也被戏称为自签名证书

浏览器访问该服务器时,会显示”无法确认连接安全性”或”该网站的安全证书存在问题”等警告消息。

 

由自认证机构颁发的服务器证书之所以不起作用,是因为它无法消除伪装的可能性。自认证机构能够产生的作用顶多也就是自己对外宣称”我是○○”的这种程度。即使采用自签名证书,通过SSL加密之后,可能偶尔还会看见通信处在安全状态的提示,可那也是有问题的。因为就算加密通信,也不能排除正在和已经过伪装的假服务器保持通信。

值得信赖的第三方机构介入认证,才能让已植入在浏览器内的认证机构颁布的公开密钥发挥作用,并借此证明服务器的真实性。

中级认证机构的证书可能会变成自认证证书

多数浏览器内预先已植入备受信赖的认证机构的证书,但也有一小部分浏览器会植入中级认证机构的证书。

对于中级认证机构颁发的服务器证书,某些浏览器会以正规的证书来对待,可有的浏览器会当作自签名证书。

分类
知识中心

SSL证书彼此交换公钥加密技术

在对SSL证书进行讲解之前,我们先来了解一下加密方法。SSL采用一种叫做公开密钥加密(Public-key cryptography)的加密处理方式。

近代的加密方法中加密算法是公开的,而密钥却是保密的。通过这种方式得以保持加密方法的安全性。

加密和解密都会用到密钥。没有密钥就无法对密码解密,反过来说,任何人只要持有密钥就能解密了。如果密钥被攻击者获得,那加密也就失去了意义。

SSL证书共享密钥加密的困境

加密和解密同用一个密钥的方式称为共享密钥加密(Common key crypto system),也被叫做对称密钥加密。

 

以共享密钥方式加密时必须将密钥也发给对方。可究竟怎样才能安全地转交?在互联网上转发密钥时,如果通信被监听那么密钥就可会落入攻击者之手,同时也就失去了加密的意义。另外还得设法安全地保管接收到的密钥。

 

使用两把密钥的公开密钥加密

公开密钥加密方式很好地解决了共享密钥加密的困难。

公开密钥加密使用一对非对称的密钥。一把叫做私有密钥(private key),另一把叫做公开密钥(public key)。顾名思义,私有密钥不能让其他任何人知道,而公开密钥则可以随意发布,任何人都可以获得。

使用公开密钥加密方式,发送密文的一方使用对方的公开密钥进行加密处理,对方收到被加密的信息后,再使用自己的私有密钥进行解密。利用这种方式,不需要发送用来解密的私有密钥,也不必担心密钥被攻击者窃听而盗走。

另外,要想根据密文和公开密钥,恢复到信息原文是异常困难的,因为解密过程就是在对离散对数进行求值,这并非轻而易举就能办到。退一步讲,如果能对一个非常大的整数做到快速地因式分解,那么密码破解还是存在希望的。但就目前的技术来看是不太现实的。

 

HTTPS采用混合加密机制

HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。若密钥能够实现安全交换,那么有可能会考虑仅使用公开密钥加密来通信。但是公开密钥加密与共享密钥加密相比,其处理速度要慢。

所以应充分利用两者各自的优势,将多种方法组合起来用于通信。在交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段则使用共享密钥加密方式

分类
知识中心

HTTPS加密和认证以及完整性保护HTTP安全

如果在HTTP协议通信过程中使用未经加密的明文,比如在Web页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。

另外,对于HTTP来说,服务器也好,客户端也好,都是没有办法确认通信方的。因为很有可能并不是和原本预想的通信方在实际通信。并且还需要考虑到接收到的报文在通信途中已经遭到篡改这一可能性。

为了统一解决上述这些问题,需要在HTTP上再加入加密处理和认证等机制。我们把添加了加密及认证机制的HTTP称为HTTPS(HTTP Secure)。

经常会在Web的登录页面和购物结算界面等使用HTTPS通信。使用HTTPS通信时,不再用http://,而是改用https://。另外,当浏览器访问HTTPS通信有效的Web网站时,浏览器的地址栏内会出现一个带锁的标记。对HTTPS的显示方式会因浏览器的不同而有所改变