分类
知识中心

应对sha1算法变更,天威诚信发布最佳方案

“程序数字签名无法通过验证,不是被告警、就是被拦截。”连日来,很多一线的软件开发人员叫苦不迭。据微软公告显示,出现上述情况的主要原因是,微软自2016年1月1日起更新代码签名证书验签策略(Windows Enforcement of Authenticode Code Signing andTimestamping),取消对SHA1算法证书在软件数字签名验签中的支持,并从2017年1月1日起在Windows 10中取消对sha1算法时间戳摘要的支持。

 

发现这一问题后,赛门铁克证书亚太区战略合作伙伴“天威诚信”及时组织技术人员进行系统研究,第一时间对问题的存在形势进行分析,研究解决方案。经过多方测试后,近日,他们将最佳解决方案进行了公布。

 

“根据微软公告,sha1算法的应用环境和应用方式被设定时限”

天威诚信分析指出,任何在2016年1月1日之前使用SHA1算法证书签名的文件(签名需含时间戳),在Windows 7及以上版本操作系统中的验签可正常支持到2020年1月1日。另外,2016年1月1日之后,使用SHA1算法证书签名的应用模式文件,在Windows 7及以上版本操作系统中不被支持。同时2017年1月1日之后,使用sha1时间戳摘要的签名(/td sha1),在Windows 10操作系统应用模式文件中不被支持。因RFC3161新版sha256时间戳在Windows 7 以下版本系统中不受支持,2017年1月1日前的单签名文件,仍推荐使用旧版时间戳及sha1算法时间戳摘要(/t)。需要注意的是,仅持有sha1算法的代码签名证书用户,需要将证书升级到SHA256算法。升级后原sha1算法证书仍然有效。可根据应用情况,灵活使用sha1证书单签名、sha256证书单签名或双签名方式,确保文件数字签名的的兼容性不受影响。

 

应对sha1算法变更应根据文件格式和应用模式使用签名证书及签名参数

针对相关用户普遍在此次微软变更shal算法时间中遭遇的问题,天威诚信认为不同格式或应用模式的文件,应该使用不同的签名证书及签名参数。

SHA1证书

/fd sha1   /t

SHA256证书

/fd sha1   /t

SHA1证书

/fd sha1   /t

SHA256证书
/fd sha256  /tr /td sha256
.cat文件 不推荐 ×
内核驱动文件 可用 不推荐
Vista内核驱动文件

/ph

× 可用
.msi文件 × ×
ActiveX文件 × ×
其他PE格式文件 × 可用

另外,天威诚信分析指出,Signtool中影响签名兼容性的部分签名参数包括:/fd 即 File Digest(文件摘要算法),可选值:sha1、sha256、sha284、sha512,默认值sha1;/t即旧版时间戳地址;/tr新版RFC3161时间戳地址;/td新版RFC3161时间戳签名摘要算法,可选值:sha1、sha256 ,默认值sha1。如需使用sha256算法时间戳签名摘要,/td 参数必须在 /tr之后指定;/ph指定SignTool 应打印和验证页面哈希值。Vista内核驱动文件签名必须。

针对“内核驱动文件”天威诚信明确:.cat文件不支持双签名,只能选择单签名。微软目前对驱动文件并没有限定必须使用sha256算法的证书,为适配最优的兼容性,推荐使用sha1单签名;.sys、.dll等文件:内核驱动文件中的PE格式文件,微软虽未限定必须使用sha256算法证书做签名,为适配最优的应用场景,建议应尽量使用双签名。同时,他们认为.msi文件不支持双签名,为适配最优的应用场景,建议应尽量使sha256单签名。

针对“ActiveX控件程序”,天威诚信强调:.cab文件不支持双签名,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名;.cab文件中内含的pe格式控件文件,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名;.ocx格式直接发布的控件文件,为避免新版本操作系统中IE浏览器错误拦截,建议尽量使用sha256单签名。

针对“其他Pe格式可执行文件”,天威诚信认为:应用模式PE格式可执行文件,应尽量使用双签名以适配不同版本操作系统。

 

天威诚信代码签名证书助手和微软signtool.exe双签名可解sha1算法问题

为能更为有效的解决此次事件带了相关问题,天威诚信推荐使用“天威诚信代码签名证书助手(下载:http://www.ert7.com/download/iTrusSignTool.exe)”。其优势在于:首先,天威诚信代码签名证书助手支持创建证书请求和安装,支持管理多张证书。其次,当选择使用单签名规则时,代码签名证书助手将默认使用兼容性更好的 /fd sha1 及 /t 参数为您做程序签名。另外,如果同时拥有sha1和sha256算法的证书,还可以创建新的签名规则从而方便快捷的支持双签名操作。双签名中将默认使用 sha1算法证书的 /fd sha1 + /t 和 sha256算法证书的 /fd sha256 + /tr + /td sha256,既保障兼容性,同时确保签名的安全性和易用性。另外天威诚信指出,使用微软signtool工具做命令行下的签名,也可以参考signtool相关签名要求。

同时,天威诚信推荐使用微软signtool.exe双签名。据介绍,为解决SHA1算法证书被逐步淘汰禁用,同时SHA256算法证书在部分版本系统和环境中不被支持的问题,软件开发者可使用双签名解决方案一达到更好的兼容不同平台的目标。可为同一程序同时添加 SHA1 及 SHA256签名,允许不同操作系统自动适配程序签名信息。另外,天威诚信明确,要使用双签名,须升级signtool.exe到 6.3.9600或以上版本(Windows SDK V8.1及以上版本中包提取),签名用机操作系统需 Windows8 及以上版本。Windows 7 及Server 2008 系统用户,可按照微软文档中介绍的signtool依赖文件,从sdk中提取可执行的签名工具包。同时也可以选择从天威诚信下载提取好的signtool依赖文件:http://www.ert7.com/download/soft/signtool.zip

另外,天威诚信介绍双签名操作方式为:SHA1签名:signtool.exe sign /f sha1.pfx  /p <sha1cert password> /t http://timestamp.verisign.com/scripts/timstamp.dll <file to be signed>可附加 /ac 用法,添加交叉证书做驱动模式签名;SHA256签名:signtool.exe sign /f sha256.pfx /p <sha256 cert password> /as /fd sha256 /trhttp://timestamp.geotrust.com/tsa /td sha256 <file to be signed>可附加 /ac 用法,添加交叉证书做驱动模式签名。

品牌 时间戳 网址
Symantec SHA1 http://timestamp.verisign.com/scripts/timstamp.dll
SHA256 http://timestamp.geotrust.com/tsa
GlobalSign SHA1 http://timestamp.globalsign.com/scripts/timestamp.dll
SHA256 http://timestamp.globalsign.com/?signature=sha2
Comodo SHA1 http://timestamp.comodoca.com/authenticode
SHA256 http://timestamp.comodoca.com/rfc3161

代码签名可选的时间戳服务器

天威诚信指出,完成两次签名操作之后,即可在 Windows 8 及以上版本系统中(Windows 7 及Server 2008 R2需安装KB3033929),通过右键点击已签名文件, “属性”=>“数字签名”,并看到 sha1 及 sha256两个版本的签名信息了。

sha1算法变sha256算法后存在的兼容问题需要使用专业应对策略

随着SHA1算法安全性逐年降低,各机构均制定了详细的时间表以启用新的SHA256算法。根据微软最新的策略,一些老版本Windows操作系统中,仍然存在SHA256算法的兼容性问题,而部分新版本操作系统已经开始禁用sha1算法。策略详情请参考下表:应对sha1算法变更,天威诚信发布最佳方案-1

策略详情请参考下表

应对sha1算法变更,天威诚信发布最佳方案-2

 

针对文件摘要算法和时间戳的影响天威诚信提醒:在Windows 7 及以上版本操作系统中,仅支持/t 时间戳用法及 /fd sha1文件摘要算法。而在2017年1月1日之后,Windows 10应用模式签名将仅支持 /tr 时间戳,并要求使用 /td sha256。

针对SmartScreen报告“此程序不是常见的下载内容,可能会危害您的计算机”提示,天威诚信指出,非EV代码签名证书,需要累积软件下载安装量并基于代码签名证书来获得声誉。在累积足够的声誉后,该提示将自动消除。微软未发布声誉评价系统的详细策略数据,但微软策略表明,声誉评价与软件签发时间及安装下载量成正相关。即签发时间越久,下载安装量越大,提示消除的可能性越大。

 

为帮助软件开发者摆脱SmartScreen声誉累积系统的影响,天威诚信建议结合应用场景选择下列方法,消除提示。

1、使用EV代码签名证书签名通过网络下载的可执行文件。EV代码签名证书可立即获得信誉,无需通过累积过程即可快速消除不友善的提示信息。
2、使用已获得良好声誉评价的非EV代码签名证书签名通过网络下载的可执行文件。使用新的非EV证书签名安装包中的所有可执行程序文件,然后使用已获得声誉并且不会出现拦截提示的证书签名打包后的setup文件。用户在安装setup文件后,将同时为新证书累积信誉。在获得足够安装量和信誉之后,新证书将不再出现拦截提示,可正常投入使用。
3、将可执行程序文件打包成zip、rar等格式压缩包。用户下载解压后执行安装操作。未标记为网络下载的可执行程序,将不会被SmartScreen拦截。因此,使用压缩软件压缩的可执行程序,将不会被拦截。注意在为可执行程序打压缩包之前,需确保可执行程序未被标记为通过网络下载的文件。
4、尽快发布非EV代码签名证书签名的文件,累积足够信誉。通过自然累积信誉发布应用虽然是一个非常痛苦的过程,但当上述条件均无法应用时,自然累积信誉的方式发布应用就会成为必然选择了。
分类
安全播报

互联网+兴起 HTTPS加密成趋势

近年来,互联网经济迅猛发展,在各种力量和因素的推动下,互联网+的概念应运而生,它在打破传统行业壁垒的前提下,不断向大众显示出信息对称性以及交易便利性等诸多优势,而在互联网+的持续发展中,遇到了最大的瓶颈—互联网信任,互联网安全与信任体系在任何时候都是至关重要的,尤其在虚拟的互联网环境中,存在太多的安全隐患,这些网站在运维的过程中,出现任何一个环节的疏漏,之前完成的人气集聚都会土崩瓦解。

 

在当今的互联网环境中,木马、病毒、钓鱼网站、网络诈骗等等手段和方式严重威胁着互联网用户的财产安全。这时,创造健康的互联网环境,建立网民的信任感是必要的。而无论任何一个行业的发展,都必须建立完善的信任体系,互联网行业也是一样,我们必须快速提升互联网信用建设,在这一环节中,必不可少的是给网站一个身份认证,最简单的是部署SSL证书,这样便可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息是高强度加密的,这样才能确保网络交易的安全。

 

以众多中小网站面临的安全交易为例,想要长足发展,HTTPS化是必然的选择,HTTPS是以安全为目标的HTTP通道,而HTTPS的安全基础是SSL,HTTPS协议要建立信息安全通道,必须安装SSL。天威诚信Symantec证书作为全球数字认证领域最知名的品牌,也是全球最先通过 WebTrust 审核的证书,在国际上具有最高可信度。已为超过93%的财富500强企业,97%的世界100大银行,以及全球50家最大电子商务网站中的47家提供了数字认证服务,这都是对天威诚信业界实力和口碑的最好认可。

 

选择一个权威、安全等级高的SSL证书至关重要,互联网平台不仅应在技术上对产品进行革新,更应该在安全上投入精力,这样才能打造可信的品牌,赢得更多的客户以及信任。

分类
知识中心

5起网络安全事件 预示SSL认证将成发展趋势

2015年初,国内某知名互联网安全公司发布《2014中国个人电脑上网安全报告》。令人瞠目结舌的是,14起重大网络安全事故中,5起与中国有关:1•21中国互联网DNS大劫难;携程漏洞事件;中国快递1400万信息泄露;飓风熊猫本地提权工具;12306用户数据泄露含身份证及密码信息。这5起让人触目惊心的重大安全事件,套用句网络用语,细思极恐。互联网并不是我们所想那样,温和而富于创造。互联网也同所有事物一样,有其双面剑的属性,在不经意间给用户温柔一刀,见血见肉。

 

时代大背景 线上经济火爆

自从李克强总理提出“大众创新·万众创业”以来,无论是浸淫职场多年的企业高管,技术出身的大牛大拿,甚至是初出茅庐的校园毕业生,内心都憋了一股创业劲儿,并且努力寻找途径和资源,让创业梦早日实现。不可否认的是,在创业项目里,互联网+、线上经济备受青睐,政策的倾斜,资本的追捧,让中国的互联网+遇到了最好的时代。

 

但线上经济的火爆,带来的问题也日益凸显。例如,电商的火爆带来物流行业的快速膨胀,以“双11”为代表,线下物流难承其重。另外,更为严重的问题则是交易的安全性。文首所列举的网络安全事故,必然敲响警钟,让平日里对网络安全不太上心的网民,意识到平日上网,除了关心网速快不快,更应该关心网站安不安。

 

企业网站安全,企业自身需走心

网民的大量个人信息存储在注册登录过的网站,而极少数人才会去关心网站的安全性,网站有没有在面对攻击时,有竖起铁闸的能力。也不要迷信大企业的网站就一定安全,诚然,大企业有能力投入更多在自身网站安全上,但有能力和有意愿,很多情况下是两码事。

 

所以,企业不应该对自家网站的安全性自说自话,甚至是自卖自夸,必须有第三方权威认证机构,经过专业测评,对网站的安全性作出评级。例如赛门铁克Symantec)这是全球领先的信息安全领域解决方案提供商,国内诸多电子认证机构与其合作,如天威诚信。赛门铁克的权威性到底有几何呢?与其合作的天威诚信,成为了支付宝的安全认证机构,达成战略合作。连支付宝如此庞大交易体量的平台,都认准了天威诚信,可见天威诚信与赛门铁克(Symantec)合作的深入性与战略性。

 

最后要说的是,企业必须为自身的网站安全性走心。只有走心的企业,网民才会买账。

 

SSL证书成发展趋势 企业网站应当主动“办证”

SSL证书分为域名型SSL证书企业型ssl证书增强型ssl证书通配符ssl证书四大类型。企业型证书简称OVSSL证书。企业型SSL证书(OVSSL)进行严格的网站所有权的真实身份验证,证书标示企业组织机构详情,强化信任度。认证过程中,对网站的域名及所有权进行严格的书面审查,让网民直接了解拥有该网站的企业真实身份。

 

综观这个时代的企业,有哪家企业没有自己的网站?互联网经历了门户、论坛,再到今天的移动互联网,升级的不仅是屏幕越小沟通越快使用越便捷,安全性更应该跟上乃至超越其他硬件、软件的升级迭代速度。随着网民结构趋向高学历、年轻化,钓鱼网站没有生存之地,正规网站也应该增加自身筹码,让网民在第一时间建立信任感,以免被“首因效应”波及,使原本应得的流量和用户流失掉。

 

总而言之,企业网站应当主动“办证”,以身作则,给网民一个安全的上网环境。从大的方面来讲,随着时代的发展,ssl证书将成为一种发展趋势,安全认证似乎在潜移默化中成为了互联网发展的潮流,与网站的迭代升级密不可分,是“网惠民生”的重要环节,国家在未来,也必将以立法的形式全面展开企业网站安全认证工作。

 

据了解,国内目前一流的认证机构有天威诚信,这是一家与赛门铁克深度合作的认证机构。企业应当与这样的机构早日合作,为互联网淘金做好最基本的准备。

分类
知识中心

P2P网贷平台危机四伏 教你如何净化理财之路

近两年,P2P网贷开始流行,由于资金门槛较低,收益率高于普通理财产品,P2P网贷吸引了不少投资者前赴后继。据统计目前已有700多家P2P网贷平台,且仍以每天三五家的速度上线。P2P网贷的快速发展客观上解决了部分小微企业和个体经营户的融资困难,不过,这种快速发展的势头也隐藏了巨大的隐患。由于P2P网贷平台的盛行,网贷公司又疏于对安全的重视,使网贷虚假诈骗趁虚而入,让不少人蒙受巨大经济损失。

 

自2011年开始,P2P网贷平台的关门或高管跑路事件就时有发生,原因大体上分为两类:第一种是由于运营或资金的问题而宣布关闭,第二种则是少数人搭建起一个草台班子,再借助一些背书,并承诺很高的年化利率,最后将投资人的钱一卷而空,比如贝尔创投、哈哈贷等。

 

那对于投资者来说怎样的网贷平台才是安全可靠的。如何选择网贷平台呢?

 

第一、首先要选择一家可信安全的网站平台,一些正规大型的金融企业平台都会安装Symantec ssl证书,网站安装了ssl证书的就会显示绿色地址栏,小金锁等标识。网民只要看到这些标识,就可以放心访问此网站。这种ssl证书能够使网民在信息和资金交互时对其内容进行强度加密,避免遭受黑客的攻击,钓鱼网站的陷阱。

 

第二、多学习充电,掌握网贷知识,深入接触、了解网贷行业,把握主流和非主流平台,高息平台一律不投,采取主流平台优先,非主流平台小金额参与原则。

 

第三、以自有资金进行投资,切不可找他人低息融资或透支信用卡到平台赚取利差,万一出现风险就得不偿失。

对于p2p网贷平台而言,网贷行业发展迅速,竞争残酷。那么如何提升网贷平台信誉度,知名度从而获得更多的商机呢?

 

首先,诚信是第一要素,承担起保护网民隐私的责任,真正让网民放心安全的访问您的网站。

 

其次,就是提升用户的忠诚度,网贷平台应先部署高端SSL证书,现在是互联网+的时代,百度,阿里,都已实现了SSL证书的全站加密。对于网站来说,这种全站加密对于P2P平台而言将是双重保障,也是发展的趋势。

 

最后,P2P企业该如何选择ssl证书?这就一定要选择经过身份验证、拥有良好品牌信誉的ca厂商了。如,北京天威诚信itruschina),天威诚信是国际第一品牌Symantec SSL证书亚洲区唯一白金代理合作伙伴。拥有最专业的鉴证及技术支持团队。例如朋友贷,365易贷,人人贷等都已安装了Symantec SSL证书。企业真正想做到构建信任,赢的客户就从SSL证书开始吧。