分类
安全播报

某知名汽车公司遭到网络攻击,公司如何保护网站的信息安全?

近日,一个勒索软件团伙对某知名跨国车企发起的网络攻击引起了业内外高度关注。虽然此次事件只影响了其在当地的一家经销商,但也再次为该公司的数据安全问题敲响了警钟。

据了解,勒索软件团伙使用包括钓鱼邮件、利用漏洞、破坏远程桌面协议等方法对企业信息系统发动攻击。成功的攻击后,他们可以访问客户文件、合同和财务信息。

近年来,国内外网络安全事件频发。大众、三星、微软、英伟达等大型跨国公司都遭遇过网络攻击,业务受到不同程度的影响。

数据安全,作为每个企业关注的焦点,是黑客们最喜欢的目标。一旦攻击成功,黑客会对窃取的数据进行分析,然后展开精准的钓鱼诈骗,或者直接向企业索要赎金,对企业和客户都会造成伤害。信息财产安全构成严重威胁。

进入数字经济时代,网络信息已经深入到生产生活的各个方面。无论是传统企业还是互联网平台,都要保持警惕。通过加强网络安全建设,要确保企业数字资产、品牌声誉和客户信息的安全。既是重视客户权利的具体表现,也是企业软实力的重要体现。

针对黑客组织常用的钓鱼攻击、DNS劫持、软件勒索等,天威诚信建议企业为公司网站域名、邮件等信息系统部署SSL证书,实现对服务器的可信身份认证,并对公司邮件、密钥数据进行数字签名和加密传输,确保数据的真实性和可靠性,有效阻断网络钓鱼和信息泄露等攻击。

SSL证书由可信的CA机构颁发,可以保护网站的关键信息不被窃取或篡改,是现代互联网安全的基石。天威诚信是一家经国家权威部门许可的CA机构。目前已服务超过200万家企业,并长期为客户提供包括DigiCertGeotrustGlobalSign、Entrust等全球可信CA在内的SSL证书服务。

在服务客户的同时,天威诚信自主研发的vTrus国产品牌证书通过了WebTrust CA国际审核认证,继续通过权威、可信、安全、规范的服务,为企业的网络安全和数字化转型保驾护航。

分类
知识中心

什么是证书颁发机构?

每次访问以 HTTPS 开头的网站时,您都会使用证书颁发机构。但问题是,什么是证书颁发机构,它如何通过保护互联网使我们的生活更轻松?让我们深入了解 CA 是什么。

证书颁发机构是维护现代数字世界中安全性的最关键组成部分之一。证书颁发机构 (CA) 是高度受信任的实体,负责签名和生成数字证书。CA 是 PKI 最重要的支柱之一。证书颁发机构专门颁发数字证书,这些证书随后用于确认网站、设备、个人等的合法性。

公共证书颁发机构本质上是一个公共可靠的机构,用于向个人、公司和其他实体颁发数字证书。这些颁发的证书是简短的数据文件,其中包含经过验证的组织标识信息。因此,通过为您提供值得信赖的第三方担保,CA 是一种在那些不直接了解您(或您的组织)的人中建立信誉的技术。

但问题是,在所有这些中,网站安全性如何?
因此,证书颁发机构会经历一组规则来确保证书的完整性。认证机构在颁发证书之前对申请实体进行调查。他们检查来自官方来源的记录和文件,以确保业务的真实性。之后,CA 颁发数字证书,公司可以使用该证书对其软件、网站和电子邮件通信进行加密和数字签名

因此,如果您是需要公司证书的人,证书颁发机构会帮助您实现以下目标:

  • 验证组织的身份
  • 验证组织的合法性
分类
知识中心

CA如何工作?

证书颁发机构使用非对称加密来颁发证书。一个公钥和一个私钥用于非对称加密,以加密和解密通信,并防止其滥用或不必要的访问。私钥用于解密已使用关联的公钥加密的消息,证书持有者应该只知道它。此外,证书持有者可以在使用数字签名或代替密码时使用它来验证其身份。

CA层次结构是支持证书颁发机构整体概念的一个关键组件。从本质上讲,这表明CA的存在是为了确认另一个证书颁发机构的合法性并向另一个证书颁发机构颁发证书。两个最常见的层次结构包括两层和三层CA层次结构,因为更多的层可能会导致更多的复杂性。

两层CA层次结构包括根CA和颁发CA,而三层CA层次结构包括根CA、策略CA和颁发CA。根CA将颁发中间CA证书。中间CA随后将颁发或签署最终实体证书或另一个CA低一级。

分类
知识中心

什么是EV代码签名证书

在互联网世界中,很多人都会通过下载各种软件进行工作、生活,这其中就会用到代码签名证书,否则将会被网站提示“软件不安全”。

由此可知,代码签名证书是软件开发者/发行者对所要发布的软件进行数字签名的一种数字证书。它支持对.exe、.cab、.dll、.ocx、.msi、.xpi和.xap等文件进行数字签名

事实上,没有数字签名的软件,不仅仅是在安装的时候有警告,就算是在下载的时候,也会遇到微软SmartScreen的抵御,导致软件无法下载,由此可见数字签名之于软件发布的重要性。

那么,代码签名有哪些类型?

代码签名分为普通的OV代码签名证书和扩展验证的EV代码签名证书。

这两种代码签名证书都可以对软件进行数字签名,但作用是不一样的。简单来说,普通的OV代码签名证书仅仅能够对软件进行数字签名实现基本的发布者身份验证和代码防篡改。而应用EV代码签名证书,那么无论是下载还是安装,Windows皆对这个软件进行无条件放行,没有风险警告,没有安装拦截,也没有“发行者未知”的不友好提示,可谓是下载的“VIP通道”。

为何EV代码签名证书有这么安全高效的作用呢?我们不妨从下面几个方面看待这个问题:

1、EV代码签名证书执行的是更加严格的审核标准,它对于证书的申请者进行了严格的身份确认,确保证书的使用者身份真实可信;

2、EV代码签名证书通常使用更加严格的证书载体来存贮证书,即软件发布者在使用EV代码签名证书对软件进行数字签名的时候,需要拿到对应的eToken插入到电脑中,输入密码方可进行数字签名,这种方式减少了证书被恶意复制后滥用的风险。

由此可见,EV代码签名证书从性质上就已经被微软Windows认为值得信赖。所以微软的SmartScreen直接对EV代码签名证书的数字签名进行立即信任放行。

所以,如果您是软件发行商,那么天威诚信强烈建议您申请EV代码签名证书来为您的用户提供更好的软件下载、安装、运行体验。

分类
公司新闻

代码签名证书私钥保护升级措施延期至2023年6月1日

CA/B论坛最新消息,原定于2022年11月15日起执行的代码签名证书私钥保护升级措施,将延期至2023年6月1日,期间用户可在天威诚信继续按照现有规则申请和使用代码签名证书

此次变更旨在加强代码签名证书私钥保护升级对代码签名证书私钥的保护。按CA/B论坛规定,2023年6月1日以后,普通(OV)代码签名证书密钥对必须在达到FIPS 140-2 Level2或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。

代码签名证书私钥保护升级措施延期至2023年6月1日-1

  具体变更详情如下:

变更前:对于普通代码签名证书,天威诚信获取到用户的CSR后,将其提交至CA进行数字签名后生成证书,再通过邮件的方式将证书发送给用户,无需硬件介质。

变更后:自2023年6月1日起,购买普通代码签名证书将和EV代码签名证书一样,证书由天威诚信签发并存储在预配置的USB Key上,再通过邮寄的方式将USB Key寄送给用户。

需要注意的是,此次升级只针对普通代码签名证书。EV代码签名证书及2023年6月1日前签发的普通代码签名证书不受影响。

同时,已经使用代码签名证书或EV代码签名证书签名且加盖时间戳的软件不受影响并长期有效。

代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告,保证代码完整性和不被恶意篡改,使软件开发者信息对下载用户公开可见,从而建立良好的软件品牌信誉度。

然而近年来由私钥泄漏导致的网络安全事件频发,引起了微软等国际巨头的充分重视。可以预见的是,代码签名私钥存储新规开始执行后,OV代码签名证书也将从“软证书”变为“硬证书”,更有助于降低私钥泄漏的可能性。

为避免此次代码签名证书私钥保护升级带来的不便,天威诚信在此提醒,请有需要的用户提前做好计划和工作安排,天威诚信可为用户提供各主流厂商的代码签名证书以及相应的USBkey寄发和更换服务。

依托22年为全行业95%以上大客户提供可靠证书服务的经验,天威诚信在证书审核、签发以及全生命周期自主管理服务方面不断创新,自主研发了更加贴合国内用户使用的vTrus证书品牌,以及更便于用户下单和进行证书管理的证书智能管理平台,持续保障用户网站信息安全,护航企业业务线上化发展。

分类
公司新闻

代码签名证书私钥保护升级措施延期通知

CA/B论坛最新消息,原定于2022年11月15日起执行的代码签名证书私钥保护升级措施,将延期至2023年6月1日,期间用户可在天威诚信继续按照现有规则申请和使用代码签名证书

此次变更旨在加强对代码签名证书私钥的保护。按CA/B论坛规定,2023年6月1日以后,普通(OV)代码签名证书密钥对必须在达到FIPS 140-2 Level2 或EAL4+通用标准以及更高标准的硬件加密模块中生成并存储。

具体变更方式如下:

变更前:对于普通代码签名证书,天威诚信获取到用户的CSR后,将其提交至CA进行数字签名后生成证书,再通过邮件的方式将证书发送给用户,无需硬件介质。

变更后:自2023年6月1日起,购买普通代码签名证书将和EV代码签名证书一样,证书由天威诚信签发并存储在预配置的USB Key上,再通过邮寄的方式将USB Key寄送给用户。

需要注意的是,此次升级只针对普通(OV)代码签名证书。EV代码签名证书及2023年6月1日前签发的普通代码签名证书不受影响。

同时,已经使用代码签名证书或EV代码签名证书签名且加盖时间戳的软件不受影响并长期有效。

代码签名证书是提供软件开发者可以进行代码软件数字签名的认证服务。通过对代码的数字签名可以消除软件在Windows系统被下载安装时弹出的“不明开发商”安全警告,保证代码完整性和不被恶意篡改,使软件开发者信息对下载用户公开可见,从而建立良好的软件品牌信誉度。

可以预见的是,代码签名私钥存储新规开始执行后,OV代码签名证书将从“软证书”变为“硬证书”,更有助于降低私钥泄漏的可能性。

为避免此次代码签名证书私钥保护升级带来的不便,天威诚信提醒有需要的用户提前做好计划和工作安排,天威诚信可为用户提供各主流厂商的代码签名证书以及相应的USBkey寄发和更换服务。

分类
知识中心

代码签名如何工作?

代码签名有几个步骤,从创建唯一密钥对开始。创建的密钥对是公钥-私钥对,因为代码签名使用公钥加密。创建密钥对后,公钥将发送到受信任的证书颁发机构或 CA,该证书颁发机构通过向软件开发人员返回公钥以及经过数字签名的代码签名证书来验证密钥是否属于所有者。CA 是高度受信任的实体,负责签名和生成数字证书。CA 返回的带有附加公钥的证书确认了开发人员及其创建的任何软件的可信度。

现在已返回公钥和数字代码签名证书,软件的代码将通过哈希函数运行。哈希函数是一个单向函数,它将放入函数中的文本转换为无法反转的值的任意混合。这提供了一个值,用于与将数据发送给使用者时进行比较。然后,输出或摘要由私钥加密。私钥用于加密而不是公钥的原因是,开发人员希望任何人都能够读取消息,但没有人能够篡改它。摘要、代码签名证书和哈希函数现在被组合成一个签名块,并放入软件中,然后发送给消费者。

收到软件后,消费者的计算机首先检查代码签名证书的真实性。一旦确认了真实性,摘要就会使用最初创建的密钥对的公钥进行解密。然后,在软件的代码上使用哈希函数,并将生成的摘要与开发人员发送的摘要进行比较。如果摘要匹配,则软件可以安全安装。

分类
知识中心

如何避免证书中断|SSL证书过期

长期以来,证书一直是重要安全保障。证书用于各方之间的安全通信、对用户进行身份验证、代码签名、数字签名等等。许多内部功能也需要授权,并涉及相同的证书。证书在固定期限内有效 – 它显示证书可以信任多长时间。证书的有效期可以是任何时间段。如果证书在到期日期之前未续订或替换,则该证书将变为无效或已过期。过期的证书可能会对企业造成很大的损害,从创建错误到终止整个系统。

SSL证书到期日期的重要性

什么是证书中断及其影响?

当任何与证书相关的操作失败,并且进程停止响应时,将发生中断。如果不进行充分评估,这些中断可能会导致严重的安全漏洞。它可能会让企业付出沉重的代价。我们最近目睹了安全新闻中出现的许多证书中断问题。从90年代到现在,我们仍然面临这些中断问题,这很奇怪,因为整个安全行业一直在那里使用称为证书管理系统的证书管理工具。

面临问题的大配置文件

许多备受瞩目的IT公司最近一直面临这些中断。最近,谷歌发生了一起案件,他们的一项服务,谷歌语音服务,在短时间内不可用。在调查了整个场景后,该报告指出他们的证书已过期。去年在微软的Office 365上也发生了同样类型的中断。不仅是谷歌微软,许多大型知名公司也经常面临这些问题。

证书中断背后的原因

最终,每个使用证书的公司都安装了证书管理系统。尽管如此,他们仍然面临着中断的问题。它背后的原因可能是:

  • 缺乏可见性
    公司的基础结构中可能存在一些证书,但证书管理系统中不存在。因此,证书管理系统只知道它们中存在的证书,并且存在于其系统外部的证书仍未评估。留下这些证书的原因可以是任何事情;也许我们忘记添加它们,也许它们是无法进入的第三方证书,还有更多。
  • 另一个原因可能是在证书续订之后
    证书可能未转到正确的位置以启用该服务。为什么会发生这种情况的一个例子是Java密钥库。因此,Java 密钥库是放置 Java 应用程序正在使用的证书的位置。我们可以在 Java 密钥库中续订或更新证书,它将密钥加载到内存中。但是,假设在寻找过期的证书时,应用程序尚未重新启动或重新评估Java密钥存储,它将不知道那里有新证书。因此,这些可能是它的问题。

使用天威诚信CIM证书智能管理系统

自动识别功能:

天威诚信CIM证书智能管理系统是国内首个支持内网与公网同时扫描的智能管理系统。自动识别国际主流CA机构证书品牌及产品,无需手动搜索,就能自动发现网络中应用的SSL证书。并能同时管理自签名SSL证书和企业内部CA系统SSL证书。获取证书及服务器详情信息,各项参数一目了然。

实时更新功能:

可定时更新数据,获取最新的证书应用状态及证书链信息,自动判断证书链完整性,确保证书客户端兼容性。

一键下单功能:

登陆即可快速下单,支持证书极速签发。证书到期自动提醒,一键提交证书更新。30天内可取消订单,并能跟踪订单处理的进度。证书签发后自动推送到客户端,证书自动安装到CIM中。

实时通知功能:

CIM证书智能管理系统采用C/S架构,多机房管理,分布式部署,可对多个机房进行分析和报告。在客户端可集成短信、微信、邮件等多种通知模式进行即时消息通知。

安全漏洞检测功能:

CIM可关注证书生命周期状态与核心服务器https服务状态,即时推送证书到期时间及漏洞报告分析消息,发现问题与故障,并及时提供可行的应对方案。还可以进行底层协议及密钥套件分析,精确评估服务器可能存在的问题,综合分析后安全问题清晰可见。

密钥安全存储功能:

本地自动创建并加密保存证书私钥,密钥存储更安全。支持证书格式本地互转,密钥转换防泄露。

分类
知识中心

什么是批量/对称加密,它与非对称加密有何不同?

如前所述,为了确认服务器的真实性,身份验证过程通过公钥加密(非对称加密)和数字签名进行。但是,一旦服务器身份验证完成,对于会话的其余部分,客户端和服务器将使用批量/对称密钥加密,以加密所有交换的信息并检测任何篡改。

换句话说,非对称加密在SSL握手时用作验证方法,其中浏览器和服务器协商加密连接并交换会话密钥。会话密钥使用对称加密在整个安全会话期间进一步通信。

让我们了解一下两者之间的区别:

非对称加密

批量/对称加密

对称加密是一种加密方法,它涉及一个密钥来加密和破译信息。这是旧技术之一,它使用数字,单词或随机字母字符串作为密钥。

但是,若要加密和解密邮件,收件人必须知道密钥。对称加密算法的一些例子是Blowfish,AES,DES,RC4,RC5和RC6。其中,使用最广泛的算法是AES-128,AES-192和AES-256。

另一方面,与对称加密相比,非对称加密(也称为公钥加密)是一种新方法。它使用两个不同的密钥来加密纯文本。在这里,密钥通过大型网络或互联网进行交换,同时确保它不会被滥用。任何想要向您发送消息的人都可以使用公钥,并且第二个私钥仅对您保密。

此外,通过公钥加密的消息只能通过其私钥解密,而通过私钥加密的消息只能使用其公钥解密。但是,公钥不需要任何安全性,任何人都可以通过互联网使用它。最后,非对称加密是互联网上日常通信中使用最广泛的加密之一。一些众所周知的非对称密钥加密算法是ElGamal,RSA和DSA。

分类
知识中心

什么是认证?

身份验证是身份确认最简单的术语之一。它是用于网络交互的过程之一,它还涉及一方对另一方的识别。此外,有多种方法可以通过网络使用身份验证,证书就是其中之一。

网络通信通常在两个客户端之间完成,例如,Web 浏览器和服务器。这里,客户端身份验证是由服务器对客户端的标识,而服务器身份验证是由客户端对服务器的标识。(例如,客户端是使用软件/Web 浏览器的人员,服务器是在网络地址上运行其服务器的组织。

服务器和客户端身份验证不限于证书支持的身份验证形式,而且还确保了不可否认性。例如,具有数字签名和证书相结合的电子邮件可识别并验证邮件的发件人,同时使签名者难以判断该电子邮件不是由该人发送的。

需要注意的一点是,基于证书的客户端身份验证是 SSL 协议的一部分。在这里,客户端对随机生成的一段数据进行数字签名,并将该签名数据以及证书发送到网络。最后,服务器在验证签名后确认证书的有效性。

以下是说明如何通过服务器对客户端进行身份验证的步骤:
1. 客户端软件管理一个数据库,该数据库由与为该客户端颁发的所有证书中发布的公钥相对应的私钥组成。在这里,客户端要求输入数据库的密码,以便首次访问任何给定会话的数据库。例如,尝试访问启用了 SSL 的服务器的用户需要对基于证书的客户端进行身份验证。

注意: 输入密码后,在整个会话期间不会再次询问密码,甚至无法访问其他启用了SSL的服务器。

1. 之后,客户端解锁由私钥组成的数据库,并将其检索为用户的证书,并使用该私钥对从服务器和客户端输入中随机生成的数据进行签名。作为回报,数据和数字签名可以作为私钥有效的证据。此外,数字签名仅使用私钥创建,并使用相应的公钥根据已签名的数据进行验证,并且它对SSL会话保持唯一。

3.随机生成的数据以及用户的证书都由客户端通过网络发送

4. 为了验证用户的身份,服务器同时使用签名数据和证书。

5. 服务器还可以执行其他身份验证任务,例如检查证书是否存储在客户端显示的用户条目中的 LDAP 目录中。一旦检查,它还会评估是否允许已识别的用户访问请求的资源。此外,评估过程可以使用其他授权机制,可能是公司数据库或由LDAP目录组成的信息。如果评估结果为正,则服务器将允许客户端访问请求的资源。

在这里,客户端和服务器交互的身份验证部分被证书所取代。不是请求用户频繁地通过网络发送密码,而是使用单一登录功能。在这里,用户首次输入私钥数据库的密码,而不通过网络发送。完成整个会话后,客户端将提供用户的证书,以对用户遇到的每个新服务器进行身份验证。最后,现有授权不受影响,这是基于经过身份验证的用户标识。