分类
知识中心

HTTPS协议是如何防中间人窃听的

HTTPS协议是在HTTP协议的基础上,通过添加SSL加密协议而成的,其载体就是SSL证书。SSL协议是一种用于网络通信安全的加密协议,可以将数据在传输过程中进行加密,防止中间人窃听,保证数据的机密性和完整性。

HTTPS协议是如何防中间人窃听的

那么,HTTP协议具体是如何防止中间人窃听的呢?要回答这个问题,我们就要明白HTTPS协议双方(客户端和服务器)的通信过程。

客户端发送请求

当用户在浏览器中输入一个HTTPS网址时,客户端会向服务器发送一个请求,请求将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

服务器回应

服务器确定本次通信采用的SSL版本和加密套件,并将携带自己公钥信息的数字证书发送给客户端,通知客户端版本和加密套件协商结束,开始进行密钥交换。

客户端验证证书并生成密钥

客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成密钥,并通知SSL服务器。

客户端发送密钥

客户端使用已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),发送给SSL服务器。

服务器解密密钥

服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

经过以上的验证和加密,HTTPS通信就建立了起来。此时,客户端和服务器之间的数据传输都是通过对称密钥进行加密的,通信过程非常安全。

理解了以上内容就会明白,客户端和服务器实现加密通讯最重要的过程就是验证SSL证书,只要证书是合规的,服务器是安全的,就可以防止中间人窃听和攻击。

SSL证书由专业的CA机构颁发和管理,所以是可信的。最后,要注意的是,当您浏览网页时遇到浏览器或手机端弹出安全警告时,一定不要随意信任和继续浏览,因为,黑客可能正在暗处等待着,窥探您的隐私并窃取数据。

分类
知识中心

SSL和TLS

TLS(传输层安全性)是用于身份验证和加密的 SSL(安全套接字层)协议的后继者。目前,TLS 1.3 被认为是最安全的,与其前身相比,它在 RFC 8446 中定义。SSL和TLS版本1.2由于这些协议(如ROBOT,LogJam和WeakHD)的漏洞和攻击而被弃用。这些攻击利用了在协商阶段客户端和服务器之间发生密钥交换的方式。随着TLS 1.2的引入,这些攻击得到了缓解,但是仍然容易受到降级攻击,如POODLE。这些漏洞已在 TLS 1.3 中得到缓解,TLS 1.3保护了客户端-服务器协商期间的握手,从而缓解了这些漏洞。

为什么SSL证书很重要?使用SSL证书的好处

SSL和TLS是用于加密网络设备之间通信通道的协议。SSL和TLS用于在数字证书的帮助下绑定系统,用户,网站等的身份。这些数字证书由内部受信任的证书颁发机构或公共证书颁发机构颁发。内部证书在企业内的网络设备之间受信任,而公共证书受全球网络设备信任。这些证书保存最终实体的身份,并包含一个由一对公钥和私钥组成的加密密钥对。公钥与证书一起分发,而私钥由实体保护。使用这些密钥对网络通道进行加密,以确保这些网络设备之间通信的数据不会被篡改或更改。

但是,在所有这些安全措施到位的情况下,始终存在漏洞,技术和流程差距,使黑客能够利用和窃取数据。

分类
知识中心

证书管理的重要性

拥有强大的自动化证书管理系统的最重要原因之一是您是否拥有自己的公钥基础结构(PKI)。PKI是为基于数字证书对用户进行身份验证而创建的基础结构。PKI也可以加密通信。最常见的PKI是TLS/SSL,它使用对称和非对称加密来保护两个用户之间的连接。PKI的核心信任来自连接双方之间交换的证书。大多数PKI使用两层体系结构,其中包括根CA和颁发CA

根CA是保持脱机状态的证书颁发机构,并为联机颁发CA创建证书。这将创建一个信任链,其中包含颁发CA颁发的所有证书,因为根CA保持脱机状态,因此可以防止恶意意图。颁发CA会为最终用户和设备分发证书。PKI不太常用的三层体系结构包括根CA和颁发CA之间的中间CA,它充当根CA和颁发CA之间的中间CA。自动证书管理主要由PKI使用的原因是,正确创建一次PKI,然后让自动化服务使证书保持最新更安全。这减少了公司的成本、保持PKI运行所需的工时以及人为错误。由于如此多的组织正在创建自己的PKI,因此适当的证书管理是任何公司安全计划的关键。

如此重视证书管理的另一个原因是,连接到Internet的每个设备和用户都需要拥有数字证书。每当用户或设备连接到网站时,都会检查其数字证书的真实性以及网站的证书。通过拥有强大的信任链和有效的证书,您可以访问互联网上的任何地方。但是,如果证书所属的用户或设备无法访问大多数网站,则证书无效或已过期,因为无法建立安全连接。网站证书也是如此。如果他们的数字证书无效,那么用户将不会或不能使用该网站,因为担心他们的设备上出现恶意软件或病毒。

确保强大的证书管理的另一个原因是,组织中不会发生违规行为。如果允许证书进入网络,即使其信任链中具有不受信任的CA,则该证书的所有者可能会窃取敏感数据或以其他方式滥用公司数据用于恶意目的。此外,如果证书未正确存储,则攻击者可能会窃取该证书并伪装成合法用户,同时窃取、更改或删除敏感数据。

分类
公司新闻

DigiCert根证书和中间CA 证书更新计划

2023月3月8日,DigiCert将开始向我们的公共第二代(G2)根和中间CA(ICA)证书层次结构更新TLS/SSL证书的默认公开发行。

为什么DigiCert将开始从G2根和中间CA证书层次结构颁发公共TLS/SSL证书?

2025年,Mozilla将开始不信任旧的DigiCert根证书。在下面的Mozilla证书不信任和日期表中指定的日期,Mozilla也将停止信任您的活动最终实体证书:首先是TLS/SSL证书,然后是S/MIME证书。

DigiCert已对移动到G2根证书层次结构进行了计时,以确保您的现有证书不会受到Mozilla不信任策略的影响。从G1层次结构颁发的活动TLS/SSL证书将保持受信任,直到过期。

Mozilla不信任证书和日期
Generation Root certificate *Mozilla TLS distrust date *Mozilla S/MIME distrust date
 G1  Baltimore CyberTrust Root  2025年4月15日  N/A
 G1  DigiCert Assured ID Root CA 2026年4月15日  2029年4月15日
 G1  DigiCert Global Root CA 2026年4月15日 2029年4月15日
 G1  DigiCert High Assurance EV Root CA  April 15, 2026 2029年4月15日
 G2  DigiCert Global Root G2 2029年4月15日 2032年4月15日
 G5  DigiCert TLS RSA4096 Root G5 2036年1月15日  N/A
 *在不信任日期,Mozilla 也将停止信任您的活动最终实体证书:首先是 TLS/SSL 证书,然后是 S/MIME 证书
受影响的数字证书品牌
品牌  类型  产品
  DigiCert  OV
  • Basic OV
  • Secure Site OV
  • Secure Site Pro SSL
  • Cloud
  • Standard SSL
  • Multi-Domain SSL
  • Wildcard
  • Secure Site SSL
  • Secure Site Multi-Domain SSL
  • Secure Site Wildcard SSL
  DigiCert  EV
  • Basic EV
  • Secure Site EV
  • Secure Site Pro EV SSL
  • Extended Validation SSL
  • EV Multi-Domain SSL
  • Secure Site EV SSL
  • Secure Site EV Multi-Domain SSL
  GeoTrust  DV
  • GeoTrust DV SSL
  • GeoTrust Cloud DV
  • GeoTrust Standard DV
  • GeoTrust Wildcard DV
 GeoTrust  OV
  • GeoTrust TrueBusiness ID OV
  GeoTrust  EV
  • GeoTrust TrueBusiness ID EV
  RapidSSL  DV
  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  Thawte  DV
  Thawte  OV
  • Thawte SSL Webserver OV
  Thawte  EV
  • Thawte SSL Webserver EV
 Encryption Everywhere  DV
  • Encryption Everywhere DV
2023年3月8日,ICA根替换
Certificate brand G1 ICA证书-当前 G1根证书-当前 G2 ICA证书-新 G2 根A证书-新
 DigiCert DigiCert TLS RSA SHA256 2020 CA1 DigiCert Global Root CA DigiCert Global G2 TLS RSA SHA256 2020 CA1 DigiCert Global Root G2
  DigiCert DigiCert SHA2 Extended Validation Server CA DigiCert High Assurance EV Root CA DigiCert EV RSA CA G2 DigiCert Global Root G2
  Thawte Thawte RSA CA 2018 DigiCert Global Root CA Thawte TLS RSA CA G1 DigiCert Global Root G2
  Thawte Thawte EV RSA CA 2018 DigiCert High Assurance EV Root CA Thawte EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust RSA CA 2018 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  GeoTrust GeoTrust EV RSA CA 2018 DigiCert High Assurance EV Root CA GeoTrust EV RSA CA G2 DigiCert Global Root G2
  GeoTrust GeoTrust Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA GeoTrust TLS RSA CA G1 DigiCert Global Root G2
  RapidSSL RapidSSL Global TLS RSA4096 SHA256 2022 CA1 DigiCert Global Root CA RapidSSL TLS RSA CA G1 DigiCert Global Root G2
 Encryption Everywhere Encryption Everywhere DV TLS CA – G1 DigiCert Global Root CA Encryption Everywhere DV TLS CA – G2 DigiCert Global Root G2
根证书和 ICA 证书的用途是什么?
根证书

根证书是公共证书信任的锚点。证书颁发机构 (CA) 与操作系统、浏览器和其他应用程序合作,将其根证书包含在信任存储区中,以确保您的公共证书受信任。

CA 使用公共根证书颁发中间 CA 证书。它们不使用根证书来颁发公共 TLS 证书。

ICA证书

CA 使用 ICA 证书颁发 TLS 和其他数字证书。ICA 证书还会将您的 TLS 证书链接到信任存储中的根证书,使浏览器和其他应用程序能够信任它。

切换根证书和 ICA 证书对我有何影响?

1、Digicert 及旗下所有品牌SSL证书自升级日期起将现有SHA1根证书签发体系升级到SHA2根证书签发体系,届时Digicert将使用新的根和中级CA签发证书;

2、升级日期之前已经生效的证书不受影响,可正常进行替换或加域名操作,在升级日期起进行替换或加域名操作,新证书的证书链会升级到新的根证书签发体系。

天威诚信提示您:

1、升级日期起签发的证书,请使用全新的中级证书进行安装部署,否则会因为中级证书链配置不完整而影响证书的兼容性;

2、如果您的客户端预埋了旧的证书链,使用升级日期起签发的证书后会导致业务中断的风险,请提前做好相关准备工作,若有问题欢迎随时联系我们。

分类
知识中心

什么是证书颁发机构?

每次访问以 HTTPS 开头的网站时,您都会使用证书颁发机构。但问题是,什么是证书颁发机构,它如何通过保护互联网使我们的生活更轻松?让我们深入了解 CA 是什么。

证书颁发机构是维护现代数字世界中安全性的最关键组成部分之一。证书颁发机构 (CA) 是高度受信任的实体,负责签名和生成数字证书。CA 是 PKI 最重要的支柱之一。证书颁发机构专门颁发数字证书,这些证书随后用于确认网站、设备、个人等的合法性。

公共证书颁发机构本质上是一个公共可靠的机构,用于向个人、公司和其他实体颁发数字证书。这些颁发的证书是简短的数据文件,其中包含经过验证的组织标识信息。因此,通过为您提供值得信赖的第三方担保,CA 是一种在那些不直接了解您(或您的组织)的人中建立信誉的技术。

但问题是,在所有这些中,网站安全性如何?
因此,证书颁发机构会经历一组规则来确保证书的完整性。认证机构在颁发证书之前对申请实体进行调查。他们检查来自官方来源的记录和文件,以确保业务的真实性。之后,CA 颁发数字证书,公司可以使用该证书对其软件、网站和电子邮件通信进行加密和数字签名

因此,如果您是需要公司证书的人,证书颁发机构会帮助您实现以下目标:

  • 验证组织的身份
  • 验证组织的合法性
分类
公司新闻

天威诚信提供双算法SSL证书最佳解决方案

SSL证书是提升网站服务器防护能力的重要措施,也是在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

伴随着国际算法SSL证书的市场增长,国家层面也在持续推进国密算法应用建设,相继颁布了一系列法律法规。尤其是2020年《中华人民共和国密码法》的施行,标志着我国在密码的应用和管理等方面有了统一针对性的法律保障,也意味着SSL证书国产化成为必然趋势。

但在实际应用中,金融、政务、电商等领域企业在部署SSL证书时面临多重考量因素。既要能达到数据审核不出境、数据安全受保障、密码算法合规定,还能做到与主流应用/浏览器兼容,以保障业务的连续性。

参考遵循国家密码管理及信创产品等多项规范标准,依据客户实际需求,天威诚信基于坚实的密码技术和数字证书服务经验,在推进国产密码算法应用的同时,适时推出国产/国际双算法证书自适应解决方案,以满足企业数据传输加密与国密算法合规等要求。

-1

双算法证书由一张国际算法证书和一张国密算法证书组成,可兼顾国密合规性和全球通用性。在客户端环境支持国产密码算法时,自动选择国产密码算法SSL证书;在客户端环境仅支持国际算法时,自动选择国际算法SSL证书。通过国产密码算法与国际密码算法无缝切换应用,满足企业在不同场景、条件下的应用。

天威诚信是国内可信网络安全认证服务商,同时也是制定国密SM算法服务器证书体系标准课题研究的牵头单位之一。在探索国密算法应用过程中,天威诚信自主建设的vTrus系列SSL证书已广泛应用于政府、电信、金融、能源等重点行业和关键领域,帮助企业实现轻量化国密改造

截至目前,天威诚信vTrus国密算法自主根和国家根下的二级根已通过奇安信、麒麟操作系统、统信操作系统联合认证,并实现了在360、红莲花、赢达信、零信等主流国产浏览器的预埋,有力推动了国密算法生态建设。

在国家的大力支持下,市场上将会出现越来越多可用、好用的国产化产品和应用,天威诚信也将在夯实现有业务的基础上,携手更多业内机构,积极推进国密算法应用落地,提供满足不同用户需求的SSL证书及证书全生命周期管理服务。

分类
知识中心

证书颁发机构的作用

证书可以通过受信任的证书颁发机构或通过对证书本身进行签名来生成。证书颁发机构(CA)为用户生成用于TLS/SSL身份验证的证书。为了确保证书颁发机构可以信任,可以将CA的信任链跟踪回源CA。信任链是由受信任的CA发布的证书链,一直通向根CA。若要开始获取数字证书的过程,请求者必须向CA发送证书签名请求(CSR)。CSR必须具有请求者创建的密钥对的公钥,以及用于确认请求者身份的信息,例如社会保险号或驾驶执照。确认请求者身份后,CA将签名并返回证书,并可用于识别请求者。

获取证书的另一个选项是使用相同的信息自行创建一个证书,然后对其进行自签名。这使用频率较低,因为无法通过其他可信CA验证签名者的身份,从而使自签名证书变得可疑。因此,许多人不会接受自签名证书,因此建议使用CA创建证书。

分类
知识中心

TLS握手的过程

1.客户端问候:客户端向服务器发送通信请求时,会出现客户端问候。TLS版本、支持的密码套件以及称为“客户端随机数”的随机字节字符串包含在hello中。

2.服务器问候:在服务器问候中,服务器确认客户端问候。然后,它确保它使用的是与客户端TLS版本兼容的TLS版本,从客户端提供的密码套件中选择兼容的密码套件,并将其证书、服务器随机(类似于客户端随机数)和公钥发送到客户端。

3.证书验证:客户端首先通过证书颁发机构检查服务器证书的有效性。证书颁发机构(CA)是一个高度受信任的实体,负责签署和生成数字证书

4.预主字符串:然后客户端使用服务器的公钥加密一个随机的字节串,称为“预主字符串”,并将其发送回服务器。这可确保只有服务器可以使用自己的私钥解密密钥,从而充当另一个安全级别。

5.会话密钥创建:服务器解密预主密钥,然后客户端和服务器都从客户端随机数、服务器随机数和预主字符串创建会话密钥。

6.完成消息传递:然后客户端和服务器相互发送消息,说他们已经完成了密钥的创建,并且他们相互比较密钥。如果会话密钥匹配,则TLS握手完成,会话密钥用于加密和解密服务器和客户端之间发送的任何数据。

创建后,证书可用于服务器、客户端或其他设备的身份验证。证书被视为在特定时间段内有效,并在该时间范围之后过期。证书遵循恒定的生命周期,其中包括创建、续订、暂停、过期等阶段。如果证书过期,则证书持有者将不再受信任,从而导致正在使用的网站或设备的服务丢失。要获得证书,用户或网站必须首先通过证书颁发机构或自己签名。

分类
知识中心

什么是证书管理?

数字证书在互联网上用于对彼此交换数据的用户进行身份验证。由于每个合法网站都使用证书,因此证书管理非常重要。如果证书被盗和滥用,攻击者可能会冒充另一个更合法的来源,并通过他们的网站用恶意软件感染用户。证书的证书过期可能会导致中断,导致组织失去潜在客户。

证书管理是监视、处理和执行证书生命周期中每个进程的过程。证书管理负责颁发、续订证书并将其部署到端点(服务器、设备、设备等),以便网络服务不间断。证书管理还应自动执行任务(颁发、续订等),并提供网络基础设施的实时状态。

证书管理有助于管理网络并防止中断和停机,同时提供对整个基础架构的详细监控。良好的证书管理计划应该能够处理任何网络,甚至是具有数千台设备的网络。如果证书过期或配置错误,则可能会发生整个网络的灾难性中断。

证书(也称为 SSL/TLS 证书)是网络中用户、设备和其他端点的数字标识符。证书与公钥/私钥对链接,并验证与有效证书匹配的公钥是否可以信任。证书的主要工作是确保通过用户和服务器之间的连接发送的数据保持私密。证书通过在连接发送数据时对数据进行加密和解密来实现此目的。这是通过称为SSL / TLS握手来实现的。

分类
公司新闻

vTrus通过零信浏览器国密根证书可信认证

随着国密算法在各重要领域的深入应用,支持国密算法的SSL证书和浏览器之间的合作也愈加紧密。在2022年6月,由天威诚信自主研发的支持国密SM2算法的vTrus自主根证书和国家根下的二级根证书正式通过零信浏览器国密根证书可信认证,获得《国密SM2可信根》证明书。

vTrus通过零信浏览器国密根证书可信认证-1

目前,天威诚信研发的国密根证书已被预置于全球唯一一个支持国密证书透明的零信浏览器信任,并全球多语言版本发布。

天威诚信签发的vTrus国密SSL证书在得到零信浏览器信任后,可实现有效的网络身份鉴别、信息传输国密算法加密,将有效保障我国网络空间安全、身份可信、加密传输,在防范网络入侵、网络钓鱼,保障网民的信息和财产安全等方面发挥着重要作用。

随着《密码法》、《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的深入贯彻实施,国内重要领域越来越需要实现网站安全的国密合规,并逐渐开始部署国密SSL证书,同时在对内对外的业务场景中应用国密浏览器,以实现国密算法HTTPS加密,保障系统信息的安全。

天威诚信是为金融行业客户签发占比较多国密证书的CA机构之一,可为客户提供完善的国密HTTPS升级改造方案。目前,天威诚信vTrus国密SSL证书业已完成在360安全浏览器、奇安信可信浏览器、红莲花安全浏览器、赢达信国密安全浏览器的根证书预埋,广泛应用于政府、电信、金融、能源等重点领域,保障关键基础设施的信息安全。

天威诚信vTrus国密证书正式入根零信浏览器,意味着天威诚信将同其他零信浏览器信任的CA机构一道,携手发展壮大国密数字证书体系,共同承担维护国家重要领域和关键信息基础设施的安全责任,在为用户提供更安全使用体验的同时,共同助力国密生态安全的建设发展。

在国密SM算法升级改造HTTPS应用不断加速的大趋势下,天威诚信将以vTrus国密SSL证书为纽带,协手国内众多安全生态伙伴,共同为国密数字证书体系的发展壮大和国密生态安全的建设发展贡献力量。

  零信浏览器

零信浏览器是目前全球唯一一个支持国密证书透明的、完全免费的国密浏览器,并且独家特别增显国密加密标识、云WAF防护标识、网站可信认证标识、EV认证绿色地址栏等。