分类
知识中心

为什么证书生命周期很重要?

实现证书生命周期很重要的原因之一是由于证书的用途。证书标识 Internet 上的网站和用户,这意味着如果证书在其生命周期的任何时候遭到入侵,攻击者可能会伪装成该人,并且该证书所属的用户将被归咎于与该证书关联的任何攻击。此外,由于用户的密钥与其数字证书相关联,因此该密钥也会受到损害,由同一密钥加密的任何数据也会受到损害。

保持强大的证书生命周期的另一个原因是它与网站一起使用。网站数字证书的泄露可能导致中断,从而给其网站所在的组织造成损失。该网站还可能被用来用恶意软件感染用户的计算机,或者在网站所有者的幌子下执行网络钓鱼活动。正确实现证书生命周期的第一步是了解生命周期的每个阶段是什么,以及如何保护每个阶段。

分类
知识中心

证书生命周期

那些发送电子邮件或运行网站的人的真实性每天都受到质疑,因为攻击者会假装成他们不会破坏互联网用户的敏感数据。证明这种真实性的最简单方法是使用数字证书。数字证书利用只有密钥对的创建者才能拥有的密钥对,从而证明他们是他们所说的人。证书还由称为证书颁发机构或 CA 的受信任颁发机构创建和签名。CA利用信任链,回到原始CA,该CA保持离线和安全,以确保它不会受到损害。

但是,证书不仅仅是创建并提供给用户的。它们遵循一个重要的生命周期,该生命周期用于保护和续订证书,因此可以持续使用它们,而不必担心攻击者窃取它们并掩盖自己是证书的所有者。对证书颁发机构创建的证书的信任始于保证其证书生命周期得到良好管理并且不受损害。证书生命周期的实现非常重要,因为它等同于颁发证书的用户的身份。

分类
知识中心

代码签名如何工作?

代码签名有几个步骤,从创建唯一密钥对开始。创建的密钥对是公钥-私钥对,因为代码签名使用公钥加密。创建密钥对后,公钥将发送到受信任的证书颁发机构或 CA,该证书颁发机构通过向软件开发人员返回公钥以及经过数字签名的代码签名证书来验证密钥是否属于所有者。CA 是高度受信任的实体,负责签名和生成数字证书。CA 返回的带有附加公钥的证书确认了开发人员及其创建的任何软件的可信度。

现在已返回公钥和数字代码签名证书,软件的代码将通过哈希函数运行。哈希函数是一个单向函数,它将放入函数中的文本转换为无法反转的值的任意混合。这提供了一个值,用于与将数据发送给使用者时进行比较。然后,输出或摘要由私钥加密。私钥用于加密而不是公钥的原因是,开发人员希望任何人都能够读取消息,但没有人能够篡改它。摘要、代码签名证书和哈希函数现在被组合成一个签名块,并放入软件中,然后发送给消费者。

收到软件后,消费者的计算机首先检查代码签名证书的真实性。一旦确认了真实性,摘要就会使用最初创建的密钥对的公钥进行解密。然后,在软件的代码上使用哈希函数,并将生成的摘要与开发人员发送的摘要进行比较。如果摘要匹配,则软件可以安全安装。

分类
知识中心

如何处理违规的SSL证书和密钥?

根据全球企业的攻击统计数据,找出企业环境中的漏洞至少需要一天或更长时间。发现漏洞所需的时间越长,造成更多损害的可能性就越高,因为有不良行为者不断监控情况并利用它来谋取利益。

SSL证书安全性如何?

每个组织都必须有一个如何应对受到攻击的环境的计划。考虑到不同的行业都有针对其场景的不同 IT 流程,我们可以得出一些应该遵循的补救步骤,而不管行业类型如何:

  • 清点受违规/攻击影响的系统。
  • 遵循标准的、预定义的攻击方法。
  • 验证不良行为者是否已被处理。

一旦识别并确认了攻击,就只完成了一半。接下来,挑战在于如何消除对手对企业关键数字资产(如密钥和证书)的访问权限,因为大多数组织都无法了解证书或密钥泄露的真正影响。我们可以深入研究过去,发现存在诸如数字证书被盗之类的违规事件,其中组织由于没有立即更换数字证书而无法理解后果。理想情况下,组织应该能够快速响应并响应受违规行为影响的所有系统,以安全的方式运行其运营。

让我们详细说明在发生违规/攻击时需要遵循的步骤:
影响分析

在修复违规行为时,第一步是确定环境中受影响的系统的清单。例如,如果发现任何与 SSL 相关的违规行为,则后续步骤是找出 SSL 在连接到 URL、Web 服务器、共享点门户等时的全面使用情况。有了这个,可以在很大程度上确定违规的渗透深度。可以考虑任何 SSL/TLS 证书的使用或密钥泄露,以确定对环境的总体影响。

遵循预定义的方法

一旦攻击得到确认,预定义的方法就应该开始,其中责任预先决定了谁将做什么。同时,当安全团队采取措施遏制和修复攻击时,攻击者会尝试植入一些恶意证书和密钥,以帮助他们将来访问资源。在这种情况下,安全团队应通过证书和密钥生命周期管理工具重新验证证书/密钥的清单,并丢弃/停用恶意数字资产。

修复操作的验证

一旦针对攻击的修复操作完成,并且恶意证书和密钥已成功替换,重新验证修复报告并确认修复步骤是否已成功完成就变得非常重要。如果对手的足迹仍然留在环境中,这可能会导致严重后果。组织可以匹配违规报告和修复报告,以确定修复尝试的准确性,并对其当前的安全强度充满信心

分类
公司新闻

网商银行与天威诚信,共同推进国密算法升级改造

《中华人民共和国密码法》的落地实施和一系列有关网络安全政策的密集出台,为信创领域基于国产商用密码的数字证书带来了更加广泛的使用空间,国产自主的商用密码体系建设也随之进入了新热潮,支持国密SM2算法的SSL证书已广泛应用于银行、政府、科研机构等领域。

  网商银行国密升级改造需求

网商银行是由蚂蚁集团发起成立、银保监会批准成立的中国首批民营银行之一,致力于解决小微企业、个体户、经营性农户等小微群体的金融需求。借助实践多年的无接触贷款模式,网商银行为更多小微经营者提供纯线上的金融服务。成立6年来,累计超过4000万小微经营者使用过网商银行的数字信贷服务。

为进一步提升网商银行的信息安全性,同时为贯彻国家密码管理局“实现金融领域信息安全核心产品及系统的自主可控”的精神,在新形势下,网商银行的网络系统亟需进行SM国密算法升级改造,在此过程中,如何合理规划以及安全有序的实施成为网商银行需要重点考虑的问题。

网商银行与天威诚信,共同推进国密算法升级改造

  天威诚信-网商银行SM国密改造方案

在天威诚信主导实施的网商银行SM国密改造过程中,天威诚信结合网商银行的平台特性和业务流程,为之量身定制了全生态一站式的国密算法证书改造方案。

改造方案以SM国密算法为核心,通过SM4这一金融行业国内通用的标准算法进行网络信息加密,同时使用SM3进行讯息身份验证并使用SM2作为密钥交换机制,从多个维度确保网商银行系统和客户端的信息安全。

方案覆盖了网商银行的手机银行、企业网银系统,对网商银行业务流程的关键环节进行了安全合规改造。通过使用天威诚信颁发的数字证书和紧密结合业务需求的改造方案,网商银行快速而稳健的完成了银行企业版和个人版SM国密改造工作,进一步保障了网商银行系统安全和数千万网商银行用户的金融信息安全。

考虑到网商银行广阔的业务应用场景和庞大的用户基数,为保障兼容性和高可用性,天威诚信同时为网商银行提供了vTrus RSA+SM2国密合规改造方案,实现网商银行业务在线双算法自适应切换模式,在满足国密算法改造的基础上进一步保障了业务的稳定性,真正做到无缝兼容和平稳过渡,提升了网商用户的使用体验。

  天威诚信在国密算法领域的优势

密码算法和密码产品的自主可控是确保我国信息安全的重中之重,作为国密算法改造工作的推进者,天威诚信积极响应国家政策,公司自主研发的支持国密SM2算法的vTrus SSL系列证书,已全部通过国家密码管理局的安全性审查,并实现了在360、红莲花、奇安信等国产浏览器预埋。

同时,天威诚信作为电子认证行业代表参与了《电子认证服务管理办法》和《电子政务电子认证服务管理办法》的起草,牵头实施《中国服务器证书信任体系研究课题》,并参与建设和维护中国最大的底层密码库开源社区——BabaSSL,展现了优于同行业其他机构的服务能力和水平。

结合多年来在金融行业的深厚积淀,天威诚信已经逐步探索出了可行的国密改造项目实施步骤,在以网商银行为代表的银行机构国密改造实践中得到了成功应用,受到客户的积极好评和充分肯定。

随着国密算法改造的应用日益深入,天威诚信将继续立足技术优势,扎实推进国密算法在我国银行等重点领域的推广和应用,从而在算法层面确保金融信息安全,为我国金融信息系统的安全自主可控做出积极贡献。

分类
网络新闻

谷歌警告称存在一个未经授权的证书危害所有操作系统

谷歌称,在3月20日发现有未经授权的数字证书,冒充成受信任的谷歌的域名。由一家叫 MCS 的中间证书颁发机构颁发的证书。此中间证书是由CNNIC发布的。谷歌警告称此证书可能会冒充其他网站。

谷歌警告称存在一个未经授权的证书危害所有操作系统-1

 

CNNIC包含在所有主要操作系统的受信任的根证书存储区中,所以其颁发的证书被几乎所有浏览器和操作系统所信任。包括Windows、OS X、Linux等系统。

谷歌已经就此事及时通知了CNNIC和其他主流浏览器厂商,我们阻止了chrome信任 MCS的证书。CNNIC22日解释称MCS只会在其已经注册拥有的域名上颁发证书。然而,MCS没有把私匙放在合适的HSM,MCS把它安装在中间人代理设备上。这些设备伪装成安全连接,用来拦截MCS雇员的安全通讯用以监视雇员或者其他目的。雇员的计算机通常必须被配置为信任代理才能够做到这一点。然而,MCS为了简单省事,直接将证书颁发到公共受信任证证书。这种做法严重违反了证书信任系统的规则。

这种解释是符合事实的。然而,CNNIC还签发了不适合MCS持有的证书权利和预期母的。

由于谷歌已经使用了CRLSet更新,所以Chrome用户不需要采取任何行动。我们并不建议人们更改密码,或采取其他行动。

再次,此事件也凸显了互联网证书颁发机制公开透明的必须要。

在 twitter上,谷歌发言人补充道:”我们理解MCS只是想查看他们的员工的通讯内容。”

Mozilla发言人随后称对 MCS颁发的中级证书将在即将到来的Firefox 37中被吊销

(文章中提到的证书的软件供应商的详细信息可以在这里找到)

谷歌警告称存在一个未经授权的证书危害所有操作系统-2

分类
知识中心

用SSL证书解决假冒钓鱼网站

随着网络贸易的飞速发展,不仅让我们的生活发生了很大的改变,也给了很多不法分子利用钓鱼网站诈骗广大网民的钱财,要防止网站假冒的发生,需要在许多方面采取安全防范措施。有的需从管理方面着手,如域名注册的严格管理、实名制手机、安全防范教育等;有的需从技术方面入手,如确保域名解析系统的安全等。除了这些措施外,SSL服务器证书是目前防止网站假冒最有效的技术手段。

服务器证书是一个标识网站身份的电子身份凭证(electronic credential),它采用密码技术构造。安装了服务器证书的网站通过使用Secure Socket Layer(SSL)安全协议进行身份鉴别和数据保密传送,因此,服务器证书又称为SSL服务器证书,或SSL证书

这里的证书,又称为数字证书(digital certificate),是公开密钥基础设施(Public Key Infrastructure,PKI)安全技术和服务体系的一个重要要素,它由一个被称为证书认证机构(Certification Authority,CA)的独立第三方签发,用于标识最终实体的身份。这里的实体,可以是人、组织或设备(如Web服务器)。

SSL协议,又称为Transport Layer Security(TLS)协议,它基于密码学原理设计;在用户通过浏览器访问一个Web网站时,SSL协议可以基于数字证书进行单向(仅鉴别网站身份)或双向(同时鉴别用户和网站身份)的身份鉴别,并通过构建安全的加密通道,保证数据在互联网上传送时不被泄露、窃取。

在有了服务器证书后,一个用户可以根据如下两点来判断这个网站是否真实可信:1)这个网站是否安装了服务器证书?2)如果安装了,这个网站的服务证书是否可信和有效?

判断一个网站是否安装了服务器证书,可以看这个网站是否可以通过https:\\xxx形式的URL(Uniform Resource Locator)访问(URL,即是输入到浏览器地址栏的网站访问地址及访问方法信息),例如,https:\\www.icbc.com.cn。若是,则说明网站安装了服务器证书;否则,就没有。没有安装服务器证书的网站是通过http:\\xxx形式的URL访问的,例如,http:\\www.icbc.com.cn。二者的差别是,https比http多一个“s”。

即便网站安装了服务器证书,如果服务器证书不可信或无效,则在用户访问网站时,浏览器会弹出一个警告窗口,提示用户,比如该证书的签名无效,或者证书不是由一个可信的证书认证机构(CA)签发(即证书不可信),又或者该证书已过了有效期、证书上的主机域名与网站的域名不相符等等;如果证书可信并有效,则浏览器不会弹出警告信息。若证书可信并有效,则用户可以进一步通过点击浏览器右下角的黄色小锁,或地址  栏右边的黄色小锁,查看证书的详细信息(但用户通常不会这么做)。

如果网站安装了服务器证书,且证书可信并有效,那么,这个网站就基本上可以确定是真实可信的了。

分类
网络新闻

微软更新数字证书列表补丁KB2798897

微软发布了KB2798897更新数字证书列表安全补丁,带来了全新版本的证书信任列表,面向所有Windows版本,以抵御一种已知的黑客攻击。

根据微软安全公告,TURKTRUST发布的一个数字证书是欺诈认证,而这个欺诈认证可能被用来骗取内容、执行网络钓鱼攻击,或执行中间人攻击。微软已经发现了利用此欺诈数字证书进行的攻击,这一问题影响所有Windows版本,包括Windows 8、Windows RT。

微软更新了证书信任列表,并且提供了安全更新KB2798897,删除了导致上述问题的受信任证书。开启了自动更新的用户无需执行任何操作,但是Windows XP和Windows Server 2003以及那些关闭了自动更新的用户,就需要手动下载并安装这个更新。

KB2798897补丁官方下载:http://support.microsoft.com/kb/2798897

分类
网络新闻

天威诚信 电子商务企业的安全使者

2011年,团购热引起电商的上市憧憬,但一年时间这个泡沫就已破灭。团购企业包括部分电商网站抱团过冬。很大原因是团购模式雷同、企业信誉度不高、诈骗现象频出,消费者渐渐失去了安全感和信任感。电子商务企业的安全谁来保障?电商消费者的权益谁来保障?

作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。目前,电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。

由中国软件网主办的2011中国软件“金牛奖”评选活动(http://www.soft6.com/topic/jiniu2012/)正在火热进行中,为结合3.15的特殊意义,中国软件网组成软件3.15调查小组,通过明察暗访揭开软件服务的不良现象,同时帮企业用户挑选出一系列高质量服务以及拥有创新服务模式的软件企业,评选出当前中国软件产业产品和服务的领袖“金牛”。为此,中国软件网记者也就远光软件的产品及服务做了相关调查。

天威诚信是信息产业部批准的第一家全国性电子认证机构,自主开发了一系列网络层、应用层和终端层的安全可靠产品,为客户提供全方位、专业性、持续性和个性化的信息安全解决方案。天威诚信表示,目前,团购网站在信用、安全方面做的很是不足,国内的大多数团购网站没有标明联系方式、没有公司名称,未采取必要安全手段,极易被仿冒,安全交易风险极大。致使团购面临着网络诈骗、质量难保、信息泄露等风险。发展迅速的团购行业乱象百出,国内团购业发展急需成熟有效的信用体系和监管机制作为保障。

SSL证书作为一个服务类产品,每年天威诚信都要为老客户提供更新服务,这也是对于天威诚信服务质量的考验。为了提升售后服务质量,天威诚信还定期举办客户交流活动,帮助客户了解SSL证书技术的发展,利用天威诚信在数字认证方面的技术优势,现场为客户提供更有针对性的数字认证咨询服务。

在提升响应速度方面,天威诚信SSL证书技术支持团队在业内率先开通24小时技术支持电话,让客户随时随地得到帮助。SSL证书全天候在线,天威诚信的技术支持就要二十四小时在线。天威诚信作为国内领先的电子认证服务机构,在技术实力方面拥有绝对优势。多年的服务经验,强大的技术支持力量,让天威诚信的技术人员可以在最短时间内帮助客户排除问题。

分类
知识中心

FTP服务器SSL证书配置方法

如何在5R2版OS/400操作系统中设置一个具有SSL加密功能的FTP服务器?

iSeries FTP服务器既支持TLS(传输层安全)又支持SSL(安全套接层)保护的进程,包括客户身份识别和自动登录,以便为通过FTP控制和数据连接传输的数据进行加密。在你能够设置你的FTP服务器使用SSL之前,你必须要在你的iSeries服务器上安装必要的程序和设置数字证书。不过,在我们考察如何设置你的FTP服务器之前,了解FTP协议是非常重要的。

FTP使用两个TCP连接,一个连接用于控制,另一个连接用于数据。标准的控制连接使用TCP端口21,默认的数据连接是端口20。要开始一个安全的FTP进程,用户可以连接没有加密的TCP端口21,然后协商身份识别和加密选项。这个过程称作显示控制。另一方面,当用户选择安全FTP端口的时候,这种连接是隐式连接,通常使用990端口,在这个端口的连接是TLS/SSL证书。对这个控制连接进行加密的主要原因是在登录FTP服务器时隐藏口令。没有安全控制连接,FTP协议不允许你拥有一个安全的数据连接。

当你为控制连接使用TLS/SSL加密的时候,这个FTP客户端软件也在为在FTP数据连接上发送的数据加密。加密具有很高的性能成本,在数据连接中可以绕过这种加密措施以便在不降低网络性能的情况下发送非机密的文件,而且仍可以通过不暴露口令的方式保护系统。iSeries FTP服务器提供了这两种选择。为了在你的iSeries V5R2服务器上设置具有SSL功能的FTP服务器,你需要确保这个服务器安装了如下软件:

·OS/400操作系统V5R2版或者以上版本。

·TCP/IP连接工具。

·用于iSeries服务器的128位“Cryptographic Access Provider”。

·IBM的数字证书管理器。

·IBM HTTP服务器。

下一步你需要进行如下操作:

1.创建一个本地证书授权,或者使用数字证书管理器设置FTP服务器使用与这个FTP服务器有关的公开证书。

2.要求FTP服务器对客户进行身份识别。

3.在FTP服务器上启用SSL加密功能。

 


FTP SSL证书推荐:

序号 推荐证书 品牌优势 鉴证时长
1 DigiCert 多达99个许可的SAN支持,2048位根证书,128-256位加密强度, 99%+的浏览器兼容,最高175万美金的赔付保证 ,诺顿安全认证签章,证书签发之日起30天内无条件退款、免费替换,证书有效期内无限次免费重签。 1-3个工作日
2 GlobalSign 支持付费扩展,最多可扩展至250个常规SANs或通配符SANs,提供证书有效期内重签发,证书安装服务器无数量限制,支持RSA + ECC 2048 位 / 3072 位 / 4096 位,提供网站安全徽章,可实时进行状态查询,桌面机及移动设备支持率高达99.9%以上,7天之内免费退款,提供免费电话、邮件、即时聊天等技术支持,支持SHA-2 签名。 2-5个工作日
3 EnTrust 128-256位加密强度,2048位秘钥,域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,30天无条件退款,风险承保计划,安全网站签章。 2-5个工作日
4 Geotrust 2048位秘钥域名验证揭露域名验证及企业名称验证揭露,免费客服支持及安装检查,兼容主流浏览器及各式移动设备,30天无条件退款,最高100万美金的风险承保计划,安全网站签章。 2-5个工作日